VPN entre deux MNF, chacune derrière un routeur

[gnutux]

Salut tout le monde,

J'ai absoluement besoin de connecter deux LAN distants via deux passerelles MNF, et je ne m'en sort vraiment pas...

Je vous expose ma config :


--------------

LAN1 : 192.168.0.0/24 --> MNF1 --> Internet <-- MNF2 <-- LAN2 : 192.168.9.0/24

Chaque MNF est connectée à un réseau d'entreprise (prise ethernet murale), donc pas de routeur pour le moment, et chacune possède son IP publique.

Interface locale de la MNF1 : 192.168.0.1, IP publique 213.x.x.208, gw 213.x.x.y
Interface locale de la MNF2 : 192.168.9.1, IP publique 213.x.x.209, gw 213.x.x.z

J'ai fait un tunnel sur la MNF1 : ipsec, zone wan, IP de la passerelle 213.x.x.209, gw vpn.
Un autre tunnel sur la MNF2 : ipsec, zone wan, IP de la passerelle 213.x.x.208, gw vpn.

Pour les tests, j'ai tout accépté sur chaqune des MNF dans les règles par défault de shorwall.

J'ai configuré et généré le CA sur la MNF1, puis j'ai créé (toujours sur la MNF1) une clé pour la MNF1 puis une autre pour la MNF2.

J'ai ensuite envoyé par ssh mes clés et certificats de la MNF1 vers la MNF2.

J'ai créé deux serveur VPN sur la MNF1 :
Left : MNF1, IP publique MNF1 (213.x.x.208), 192.168.0.0/24, VPN distant 213.x.x.209, x509.
Right : MNF2, IP publique MNF2 (213.x.x.209), 192.168.9.0/24, VPN distant 213.x.x.208, x509.

Et deux serveurs VPN sur la MNF2 :
Right : MNF1, IP publique MNF1 (213.x.x.208), 192.168.0.0/24, VPN distant 213.x.x.209, x509.
Left : MNF2, IP publique MNF2 (213.x.x.209), 192.168.9.0/24, VPN distant 213.x.x.208, x509.

----------------


- Ma première question : lorsque je redémarre ipsec sur la MNF2, c'est extrêment rapide (3 ou 4 secondes), et je n'ai aucun log dans l'authentification. Par contre, lorsque je redémarre ipsec sur la MNF1, cela prend beaucoup plus de temps, et j'ai des logs d'authentification Pluto. J'en déduis donc que c'est la MNF1, celle qui héberge le CA, qui initie la connection. Est-ce correcte ?
Ce qui m'étone, c'est que je ne vois pas la MNF2 charger les clés et certificats dans les logs...

- Ma deuxième question : OK, j'ai vu à mainte reprises(ssss) dans le forum que les trois fichiers à transferer vers la MNF2 sont décris dans la doc de Mandrake... Mais il n'y aurait pas aussi la clé et le certificat du CA à transferer ?

Au final, le tunnel ne s'établi pas...
Voilà comment se terminent mes log de Pluto sur la MNF1 :

Pluto : "MNF2-vpn" #1: initiating Main Mode
Pluto : "MNF2-vpn" #1: ERROR: asynchronous network error report on eth1 for message to 213.x.x.209 port 500, complainant 213.x.x.209: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

Avant cette erreur, tout est correctement chargé sur la MNF1 :

loaded cacert file 'ca.crt' (1302 bytes)
loaded crl file 'crl.crt' (686 bytes)
loaded my default X.509 cert file '/etc/freeswan/x509cert.der' (1302 bytes)
loaded host cert file '/etc/freeswan/ipsec.d/MNF1.crt' (1302 bytes)
loaded host cert file '/etc/freeswan/ipsec.d/MNF2.crt' (1306 bytes)
added connection description "MNF2-vpn"
listening for IKE messages
adding interface ipsec0/eth1 213.x.x.208
loading secrets from "/etc/freeswan/ipsec.secrets"
loaded private key file '/etc/freeswan/ipsec.d/private/MNF1.key' (1675 bytes)

Déjà, je dis merci à ceux (ou celles. Je crois que les informaticiennes, ça existe aussi... ), qui auront lu ce message en entier... Et merci d'avance à ceux (ou celles...) qui prendront le temps d'y répondre.

[gnutux]

OK, c'est bon, j'ai trouvé le hic ! Et maintenant tout fonctionne !

En fait, il y avait bien un problème du côté de ma MNF2 : je l'avais installée sur une Compact Flash de 256 Mo... Et je n'ai eu aucun message d'erreur à l'install, mais ipsec n'était tout simplement pas installé... par manque de place ! Merci Mandrake pour ta super interface graphique d'install qui ne balance aucun message et qui nous fait croire que tout fonctionne !!! (il faut bien que je me trouve une excuse ).
Et forcément, pas de ipsec, donc pas de chargement de clé ni de log Pluto... et pas de VPN...

Et du coup, je confirme (même si ce n'est pas nécéssaire vu les nombreuses affirmations à ce propos...), la copie des trois certificats indiqués dans la doc de Mandrake suffisent à l'authentification...

Donc si je comprend bien, ni l'une ni l'autre des MNF n'initie la connexion. En fait, un tunnel étant matérialisé sur le net par ses deux extrémités uniquement (et non pas par le chemin entre les deux), chacune des MNF crée son propre bout du tunnel et le tunnel n'existe que lorsque les deux côtés existent.

Bon c'est pas tout ça, mais maintenant, il va falloir que je rajoute un routeur entre les MNF et les IP publiques...

A suivre...

[gnutux]

Je n'arrive décidement pas à faire fonctionner le VPN lorsqu'il y a un routeur devant la MNF... Pour le routeur, il est bien "ipsec passthrought". Quelqu'un aurait-il un retour d'expérience ? Help, SVP ! Mon problème devient urgent à résoudre !

Et j'aimerai bien pouvoir mettre [résolu] dans le titre de mon post...

[Methos_Hi]

Pour le VPN entre MNF, je peux te proposer de te rapprocher de "eden91" qui est à fond dedans en ce moment.

Pour l'ajout de [résolu], tu édites ton premier post et tu modifies le sujet.

[gnutux]

OK, merci. Je vais questionner "eden91".

Pour l'ajout de [résolu], tu édites ton premier post et tu modifies le sujet.

Pour le [résolu], ce n'est pas que je ne sais pas utiliser le forum, mais c'est qu'il faut que je solutionne mon pb avant de modifier le titre...

[Methos_Hi]

Comme j'avais lu çà :

OK, c'est bon, j'ai trouvé le hic ! Et maintenant tout fonctionne !
[...]

je croyais que tu voulais vraiment mettre "résolu".

[gnutux]

D'ailleurs, j'ai modifié le titre du thread. J'y ai rajouté le mot "routeur", qui présente mieux mon problème.

[savory]

Tu as mis une regle nat sur ton routeur pour l'ike ?