Simple VPN lan-to-lan avec certificats ne monte pas...

[rootiedub]

Bonjour,

J'ai un souci avec une configuration VPN ultra basique LAN-to-LAN entre 2 IPCop qui reste invariablement fermée...

le schéma est le suivant :

LAN1 (192.168.0.0/255.255.255.0)
|
IPCop1 ver. 1.4.20 (PPPOE / ipcop1.dyndns.org)
|
INTERNET
|
IPCop2 ver. 1.4.20 (IP fixe Freebox 82.xxx.xxx.xx)
|
LAN2(192.168.1.0/255.255.255.0)

Fichier de conf côté 1 :

conn monvpn1 #RED
left=ipcop1.dyndns.org
leftnexthop=%defaultroute
leftsubnet=192.168.0.0/255.255.255.0
right=82.xxx.xxx.xx
leftcert=/var/ipcop/certs/hostcert.pem
rightcert=/var/ipcop/certs/PEmerignaccert.pem
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=clear
pfs=yes
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
auto=add

Fichier de conf côté 2 :

conn monvpn2 #RED
left=82.xxx.xxx.xx
leftnexthop=%defaultroute
leftsubnet=192.168.1.0/255.255.255.0
right=ipcop1.dyndns.org
leftcert=/var/ipcop/certs/hostcert.pem
rightcert=/var/ipcop/certs/ipcop1cert.pem
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=clear
pfs=yes
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
auto=add


Extrait du log IPSec côté 2 :
20:23:59 ipsec_setup Starting Openswan IPsec 1.0.10...
20:23:59 ipsec_setup KLIPS debug `none'
20:23:59 ipsec_setup KLIPS ipsec0 on eth1 82.xxx.xxx.xx/255.255.255.0 broadcast 82.237.170.255
20:23:59 ipsec__plutorun Starting Pluto subsystem...
20:23:59 pluto[1888] Starting Pluto (Openswan Version 1.0.10)
20:23:59 pluto[1888] including X.509 patch with traffic selectors (Version 0.9.42)
20:23:59 pluto[1888] including NAT-Traversal patch (Version 0.6)
20:23:59 pluto[1888] ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
20:23:59 pluto[1888] ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
20:23:59 pluto[1888] Changing to directory '/etc/ipsec.d/cacerts'
20:23:59 ipsec_setup ...Openswan IPsec started
20:23:59 pluto[1888] loaded cacert file 'cacert.pem' (1302 bytes)
20:23:59 pluto[1888] loaded cacert file 'ipcop1cert.pem' (1294 bytes)
20:23:59 pluto[1888] Changing to directory '/etc/ipsec.d/crls'
20:23:59 pluto[1888] loaded crl file 'cacrl.pem' (573 bytes)
20:23:59 pluto[1888] OpenPGP certificate file '/etc/pgpcert.pgp' not found
20:23:59 pluto[1888] | from whack: got --esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
20:23:59 pluto[1888] | from whack: got --ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1 536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3d es-md5-modp1024
20:23:59 pluto[1888] loaded host cert file '/var/ipcop/certs/hostcert.pem' (1172 bytes)
20:23:59 pluto[1888] loaded host cert file '/var/ipcop/certs/ipcop1cert.pem' (1176 bytes)
20:23:59 pluto[1888] added connection description "monvpn1"
20:23:59 pluto[1888] listening for IKE messages
20:23:59 pluto[1888] adding interface ipsec0/eth1 82.xxx.xxx.xx
20:23:59 pluto[1888] adding interface ipsec0/eth1 82.xxx.xxx.xx:4500
20:23:59 pluto[1888] loading secrets from "/etc/ipsec.secrets"
20:23:59 pluto[1888] loaded private key file '/var/ipcop/certs/hostkey.pem' (887 bytes)

Le seul truc bizarre à priori c'est OpenPGP certificate not found mais je ne sais pas quoi faire pour le résoudre ?
J'ai la même erreur côté 1.
Il n'y a effectivement pas de fichier pgpcert.pgp dans /etc

Je précise que j'ai bien synchronisé l'heure des 2 IPCop avant création des certif.
J'ai déjà fait ce type de conf. par le passé sans aucun problème, je ne comprends pas ce qui se passe.

J'ai essayé avec une simple clé PSK, ça fonctionne.

Merci d'avance.
byye