Sme 5.6 et contrib Freeswan Shad Lords

[vindevogel]

J'essaie de relier deux lan via des passerelles SME 5.6 et la contrib Feeswan. <BR>Les deux passerelles sont quasiment jumelles. Elles ont toutes les deux les même contribs, les mêmes fournisseurs pour le dns dynamique, etc. <BR> <BR>Elles fonctionnent très bien. <BR>J'ai installé la contrib freeswan sans problème, j'ai suivi à la lettre les indications. <BR>Ça ne marche PÔ !!! <BR> <BR>J'ai approfondi, re-vérifié, cherché sur le net, chou blanc. <BR> <BR>Depuis l'install et la création des profiles ipsec, je ne peux plus pinger un serveur depuis l'autre ou depuis une machine du lan. <BR> <BR>Mais si je me branche sur le net via une machine indépendante ( portable + modem ), j'arrive à atteindre les deux serveurs. <BR> <BR>Comment je pourrais voir où ça coince ? <BR> <BR>Ah, j'ai failli oublier, l'une des passerelles, pour des raisons d'intégration dans un lan existant, utilise une adresse du range 168.10.10.x. Une adresse pas vraiment bien choisie pour un lan. Cela aurait-il des influences sur le vpn ? <BR>

[Muzo]

Question $%#&! : Les 2 VPN y doivent pas être dans la même plage d'adresse ip? <BR> <BR>Je ne sais pas, c'est pour faire avancer le schmilblick (qui est un oeuf, on le sait).

[MasterSleepy]

Correct Muzo, <BR>Il faut deux sous-réseaux distinct. <BR> <BR>P ex : 192.168.1.1 / 255.255.255.0 pour le réseau 1 <BR>et 192.168.2.1 / 255.255.255.0 pour le réseau 2 <BR> <BR>

[vindevogel]

Si ça ne marche qu'à cette condition-là ? Evidemment, je suis mal. <BR> <BR>Le site maître vpn est dans le range 192.168.1.x et le site client 168.10.10.x <BR> <BR>Vraiment aucun autre moyen ? <BR> <BR>En jouant sur le masque réseau par exemple ? <BR> <BR> <BR> <BR> <BR> <BR>_________________ <BR>De Bruxelles , une fois !!! <BR>( non peut-être ? )<BR><BR><font size=-2></font>

[pkaer]

Pour tes ranges IP C'est OK. <BR> <BR>Il n'aurait pas fallu que tu ais tes 2 sites sur le même range ex : les 2 sites en 192.168.1.x/24

[pkaer]

Pour tes ranges IP C'est OK. <BR> <BR>Il n'aurait pas fallu que tu ais tes 2 sites sur le même range ex : les 2 sites en 192.168.1.x/24

[vindevogel]

Il n'est donc pas nécessaire d'avoir une racine commune entre tous les ranges d'IP utilisés par les sites. <BR> <BR>C'est déjà ça !!! <BR> <BR>Je devrais donc pouvoir faire du vpn sur ces configurations. <BR> <BR>En regardant sur le site freeswan, j'ai vu qu'il y avait des commandes en mode console pour établir et vérifier les infos de la config. <BR> <BR>Les infos que ces commandes affichent ne me disent rien, je veux dire que je ne suis pas capable de les interpréter. <BR> <BR>Quelqu'un peut-il m'aiguiller ?

[vindevogel]

Personne, vraiment ? <BR> <BR>

[Muzo]

As tu fait des test en mettant un un réseau en 192.168.2.X et l'autre en 192.168.1.X ?

[vindevogel]

J'peux pas vraiment faire ça, un des réseaux est en exploitation. <BR> <BR>J'ai un peu "investigué" au niveau de freeswan, j'ai l'impression que ce que me montre l'interface gui du server-manager n'est pas en phase avec les fichiers config de freeswan. Il faut que j'approfondisse. <BR> <BR>

[Muzo]

Une merdouille dans les templates?

[vindevogel]

Je reste dans l'expectative ( rassurez-vous , ça fait pas mal ). <BR> <BR>Au fond , dans un mois, tout ceci ne servira plus à rien, étant donné que l'on passera à une solution VPN sur des lignes adsl et sdsl avec des routeurs cisco. <BR> <BR>Mais j'aime bien comprendre, ou du moins sans comprendre tout, faire fonctionner ce qui fonctionne déjà ailleurs. <BR> <BR>J'ai joint deux printscreens , un "ipsec verify" et un "ipsec eroute" de l'une des passerelles. <BR> <BR>Le "failed" dans les lignes concernant les clés me turlupine ( ça ne fait pas mal non plus ). <BR> <BR> <BR>[root@wasrvl0 root]# ipsec verify <BR>Checking your system to see if IPsec got installed and started correctly <BR>Version check and ipsec on-path [OK] <BR>Checking for KLIPS support in kernel [OK] <BR>Checking for RSA private key (/etc/ipsec.secrets) [OK] <BR>Checking that pluto is running [OK] <BR>DNS checks. <BR>Looking for forward key for wasrvl0 [FAILED] <BR>Looking for KEY in reverse map: 254.10.10.168.in-addr.arpa [FAILED] <BR>Looking for KEY in reverse map: 47.113.240.81.in-addr.arpa [FAILED] <BR>Does the machine have at least one non-private address [OK] <BR>[root@wasrvl0 root]# <BR> <BR> <BR>[root@wasrvl0 root]# ipsec eroute <BR>0 81.240.113.47/32 -> 192.168.1.0/24 => %trap <BR>18 81.240.113.47/32 -> 217.136.22.113/32 => %hold <BR>1150 168.10.0.0/16 -> 192.168.1.0/24 => %hold <BR>0 168.10.0.0/16 -> 217.136.22.113/32 => %trap <BR>[root@wasrvl0 root]# <BR>