VPN avec CISCO

par **Fluxzeug** » 30 Juin 2009 21:00

Bonjour,

j'essaie depuis 3 jours de tirer un VPN vers 1 CISCO. Je me sers pour cela du RPV natif. Je suis en 1.4.21, avec un Zerina qui tourne déjà tout à fait correctement (Zerina en 0.9.7a14).
Mon réseau se compose coté Internet d'un Load Balancer suivi d'un IPCOP et enfin de mon réseau vert.
Internet -> 2Ip public - Load Balancer -> Réseau Privé Rouge A -> IPCOP -> Réseau Privé Vert B.

Je reroute le Port 500 vers la carte rouge de mon IPCOP à partir du load balancer.

Et j'obtiens sur le log du RPV

next event EVENT_RETRANSMIT in 20 seconds for #1
| inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #1
| handling event EVENT_RETRANSMIT for xx.xx.xx.xx "ESSAI" #1
| event after this is EVENT_SHUNT_SCAN in 109 seconds
| *time to handle event
|
| next event EVENT_RETRANSMIT in 6 seconds for #1
| kernel_alg_esp_auth_keylen(auth=2, sadb_aalg=3): a_keylen=20
| *received whack message
|
| next event EVENT_RETRANSMIT in 10 seconds for #1
| inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #1
| 7_256-6-2, flags=-strict
"ESSAI" #1: initiating Main Mode
| Queuing pending Quick Mode with xx.xx.xx.xx "ESSAI"
| inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #1
| state hash entry 1
| peer: 51 5d 14 44
| RCOOKIE: 00 00 00 00 00 00 00 00
| ICOOKIE: 10 f8 c5 c3 51 22 b4 24
| creating state object #1 at 0x80f79c0
| *received whack message

Et la, je suis complètement paumé. Bien entendu, je me suis réglé sur les paramètres du CISCO pour l'IKE et l'ESP.

Si qq'un à une idée, je suis preneur.

Bonne soirée

par **jdh** » 30 Juin 2009 21:10

Bonsoir,

J'ignore quel est votre niveau de compétence, mais il y a là un très joyeux mélange :

- Zerina est un module de VPN basé sur SSL (c'est OpenVPN),
- IPSEC est un AUTRE standard de VPN assez strict concernant l'implantation et relativement interopérable.

Alors si vous ne clarifiez pas vos connaissance, il n'y a aucun risque que cela fonctionne.

(Et puis c'est ce que ce "loadbalancer" ? Avant de mettre en place un tel outil, il faudrait peut-être maîtriser ce qui se passe. Je ne suis pas sur qu'on puisse faire un VPN de type IPSEC derrière un "load balancer" ...)

par **Fluxzeug** » 30 Juin 2009 21:22

Oui, j'ai juste précisé que j'avais Zerina qui fonctionnait avec des tunnels tirés (NetToNet et RoadWarrior) et c'est en effet de l'OpenVPN.

Mais mon souci concerne le RPV natif, et en effet je veux faire de l'IPSEC (ce qui n'est pas possible avec Zerina et encore moins avec CISCO).

Pour le LoadBalancer, il faut faire en sorte de balancer les trames à travers une seule des adresses publics, ce qui n'est pas plus joyeux qu'autre chose.

par **Franck78** » 30 Juin 2009 21:26

Salut,
C'est déja pas évident derrière des IP type dynamiques (adsl), alors derrière deux IP pour la même extrémité...
Ajoutes du NAT et tu obtiens la totale...

Essaie d'abord sans 'load balancer' de simplement monté le VPN CISCO/IPCop.

par **jdh** » 30 Juin 2009 21:37

OK mais, alors, pourquoi indiquer Zerina dès la première ligne ? Il eut fallu noter "en autres éléments de description du contexte". Cela rend la présentation totalement confuse ...

Quelle différence faites vous entre RPV natif et IPSEC ?

(Je ne connais pas bien IPCOP, mais il me semble que c'est strictement la même chose !)

Le loadbalancer est un élément d'architecture très significatif : moi, je mettrais au point mon schéma SANS ce type matériel, puis j'essayerai avec. Je ne vois pas bien le fonctionnement de ce type de matériel avec une SEULE adresse ip publique. De plus cette répartition de flux n'effectuerait-elle pas un ANT quelconque qui ne serait pas supporté par IPSEC (dont il faut impérativement une option quand au NAT).

Bref pas clair, confus ...

Edit/ je vois que Franck est aussi inquiet. Et, lui, connait parfaitement, et pour cause, IPCOP et ses VPN ...

par **Fluxzeug** » 30 Juin 2009 21:42

Hello

C'est ce que j'ai fais aujourd'ui. J'ai mis une patte de mon IPCOP, la rouge, directe (sur l'IP Publique) sur le net en chintant le loadbalancer.

Et je m'arrête au même endroit -> et pas de connexion et même message.
Mais en effet, dans cette config, cela m'a permis de corriger pas mal d'erreur et de comprendre certaine choses.

Pour info j'ai fait en sorte que les port udp 500 et 4500 sorte par 1 seul WAN sur le load balancer.

par **Fluxzeug** » 30 Juin 2009 21:47

Pour répondre à jdh,

oui j'utilise le RPV, parce que CISCO en face, et eux pas vouloir installer d'OPENVPN.
Sinon, avec OPENVPN, la pas de souci, j'ai en déjà une petite collection qui tourne nickel à travers le load balancer.

par **Fluxzeug** » 30 Juin 2009 21:51

La, en discutant, j'ai pensé à certaine choses et modifier la config du load balancer et j'obtiens

21:46:45 pluto[5950] | next event EVENT_RETRANSMIT in 30 seconds for #17
21:46:45 pluto[5950] "ESSAI" #17: discarding duplicate packet; already STATE_MAIN_I3
21:46:45 pluto[5950] | state object #17 found, in STATE_MAIN_I3
21:46:45 pluto[5950] | peer and cookies match, provided msgid 00000000 vs 00000000
21:46:45 pluto[5950] | state hash entry 11
21:46:45 pluto[5950] | peer: 51 5d 14 44
21:46:45 pluto[5950] | RCOOKIE: d7 f0 fb a0 5e 6b 10 49
21:46:45 pluto[5950] | ICOOKIE: cc 46 1f dc 5c 98 4e d0
21:46:45 pluto[5950] | *received 316 bytes from xx.xx.xx.xx:4500 on eth3

Si cela peut aiguiller... j'ai fais pas mal de recherche sur pluto, mais rien qui pourrait m'éclaircir le souci.

par **jdh** » 30 Juin 2009 22:36

Le conseil (commun) de Franck78 est-il suivi ?

Ensuite, je lis "udp 500 et 4500". Mais IPSEC n'utiliserait-il pas d'autres protocoles ? (ni udp ni tcp).

IPSEC et NAT, comme mentionné à juste titre par Franck78, y aurait-il l'option indispensable ?
Autrement dit chaque extrémité IPSEC supporte-t-elle le NAT ?

La distance avec la solution semble loin ...

par **Fluxzeug** » 01 Juil 2009 09:59

Concernant mais adresse IP publiques, elles son fixes.

Ensuite si tout était toujours simple, ou serait le bonheur.
Pour les ports, en effet nous avons aussi en TCP 50 et 51.

Bon, je continue mes investigations, une idée illuminera peut-être ce tunnel.

par **jdh** » 01 Juil 2009 10:04

TCP 50 et 51 ?

J'ai écris "ni udp ni tcp" !

Il y a donc, visiblement, quelque chose qui échappe ...
50 et 51 c'est bon ... mais ...

par **Fluxzeug** » 01 Juil 2009 10:19

Si nous récapitulons

je forward les port UDP 500 et 4500 et TCP 50 et 51.
Mais pas d'amélioration.

10:17:41 pluto[13130] | next event EVENT_NAT_T_KEEPALIVE in 1 seconds
10:17:41 pluto[13130] "ESSAI" #17: discarding duplicate packet; already STATE_MAIN_I3
10:17:41 pluto[13130] | state object #17 found, in STATE_MAIN_I3
10:17:41 pluto[13130] | peer and cookies match, provided msgid 00000000 vs 00000000
10:17:41 pluto[13130] |

par **jdh** » 01 Juil 2009 11:04

Cela fera la troisième fois : j'ai écris "ni udp ni tcp" ! Le français serait-il une une langue inconnue des berruyers ?

Si je réponds NON en moins de 5 minutes, cela voudrait-il dire quelque chose ?

Il est temps d'enlever les doigts du clavier, et de se poser quelque questions, les bonnes questions ...

(tcp c'est 6 et udp c'est 17).

par **Fluxzeug** » 01 Juil 2009 13:40

OUI, mea culpa, lu en diagonale entre deux autres choses.

Autre protocole 47 (GRE) 50 et 51 (ESP + AH) en bidirectionnel pour IPSEC VPN + les ports sortant UDP 500 pour IKE, UDP 4500, UDP 62515 et TCP 1723 et 1000.

A bah la ça se complique.

par **jdh** » 01 Juil 2009 14:25

Et maintenant c'est le troisième VPN !
Quand je disais "joyeux mélange" ...

On ne peut survivre en mélangeant tout ...
Plutôt que tout faire en même temps, ne serait-il pas bien plus simple de faire étape par étape ?

(Pour IPSEC, il y a là 4 choses en trop ...)

VPN avec CISCO

VPN avec CISCO

Qui est en ligne ?