VPN MNF - XP "IPsec SA established" mais ça ne mar

[iffefroi]

Bonjour,

J'ai un problème que je traîne depuis un moment, je veux mettre en place un VPN. Mais avant celà, je dois réaliser les tests si c'est exploitable...

Si vous voulez tout de suite voir mon problème, allez directement au "[Début du problème]"


Voici le test que j'essaie de réaliser :
sur réseau local de l'entreprise :
poste XP avec IP 192.168.4.11 ayant pour nom COMMERCIAL-LH
firewall MNF avec IP (lan) eth0 : 192.168.4.24 ayant pour nom testfw
et IP (pseudo DMZ) eth1 :192.168.5.1 avec dhcp
puis un serveur Mandrake 192.168.5.10 connecté à eth1

Si je ne mets pas de VPN, tout va bien ! J'ai configuré les routes.
Si je ping 192.168.5.10 depuis le poste XP, ca marche nickel.

Le problème vient maintenant du VPN : comme vous pouvez le deviner je me suis servi de la doc de Eric Faure. Et ça a l'air de marcher nickel! Evidemment j'ai mis les modifications nécessaires :

voici le fichier ipsec.conf du poste XP :
--------------------------------------------
conn %default
dial=Free ADSL

conn COMMERCIAL-LH
left=%any
right=192.168.4.24
rightca="C = FR, S = France, L = Reichstett, O = Eberle, CN = CAtest, E = adresse@email.cachee"
network=auto
auto=start
pfs=yes

conn COMMERCIAL-LH-net :
left=%any
right=192.168.4.24
rightsubnet=192.168.5.0/24
rightca="C = FR, S = France, L = Reichstett, O = Eberle, CN = CAtest, E = adresse@email.cachee"
network=auto
auto=start
pfs=yes

voici le fichier ipsec.conf du MNF :
---------------------------------------
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert

conn COMMERCIAL-LH-net
leftsubnet=192.168.5.0/24
also=COMMERCIAL-LH

conn COMMERCIAL-LH
left=%defaultroute
right=%any
leftcert=CAtest.pem
auto=add
pfs=yes

Ensuite j'ai lancé le fichier ipsec.exe :
-------------------------------------------
IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller
Getting running Config ...
Microsoft's Windows XP identified
Setting up IPSec ...

Deactivating old policy...
Removing old policy...

Connection COMMERCIAL-LH:
MyTunnel : 192.168.4.11
MyNet : 192.168.4.11/255.255.255.255
PartnerTunnel: 192.168.4.24
PartnerNet : 192.168.4.24/255.255.255.255
CA (ID) : C = FR, S = France, L = Reichstett, O = Eberle, CN...
PFS : y
Auto : start
Auth.Mode : MD5
Rekeying : 3600S/50000K
Activating policy...

Connection COMMERCIAL-LH-net:
MyTunnel : 192.168.4.11
MyNet : 192.168.4.11/255.255.255.255
PartnerTunnel: 192.168.4.24
PartnerNet : 192.168.5.0/255.255.255.0
CA (ID) : C = FR, S = France, L = Reichstett, O = Eberle, CN...
PFS : y
Auto : start
Auth.Mode : MD5
Rekeying : 3600S/50000K
Activating policy...



[Début du problème]
------------------------
Tout semble bien dans le meilleur des mondes jusqu'à ce que je fasse un ping sur 192.168.5.10
1 ligne de "négociation de la sécurité "
3 lignes de "Délai d'attente de la demande dépassé"

la connection a l'air de se passer correctement :
Il y a indiqué "Mar 23 11:27:34 localhost Pluto[18507]: "COMMERCIAL-LH" 192.168.4.11 #16: IPsec SA established" dans auth.log

lorsque je sniffe tout à l'air de se passer bien, il y a des paquets ESP qui sont envoyés à 192.168.4.24 mais pas de réponse de la part de 192.168.4.24
lorsque je sniffe sur ipsec0 sur MNF pas de ICMP
lorsque je sniffe sur eth0, on voit les ESP
lorsque je ping sur eth1 pas de ICMP

Là ou ca devient marrant, c'est que la SA a l'air bien établi :
Si je désattribue la stratégie FreeSwan sur le poste XP et que je fais un ping à nouveau :
le ICMP arrive jusqu'à 5.10, le 5.10 répond un reply qui se transforme en ESP dans la MNF et je fais du tcpdump sur ipsec0 ça m'indique qu'il y a des paquets ICMP reply vers 4.11
mais le client XP n'arrive pas à les lire semble-t-il, car le ping n'aboutit pas non plus.

Encore un truc, dont je viens juste de me rendre compte :
Dès que je me connecte au firewall en SSH sur le port 22 ou en HTTPS sur le port 8443, les messages sont cryptés par IPSec correctement...

L'ennui, c'est que vous comprendrez que c'est inutile de crypter deux fois. Et que je voudrais bien que ce soit mon trafic ICMP ou VNC ou n'importe quoi vers 5.10 qui soit crypté.

Merci pour vos réponses, je ne comprends bientôt plus rien...

Ifféfroi

[iffefroi]

re-bonjour,

Je n'avance toujours pas.
En fait j'ai l'impression qu'il doit y avoir un souci dans ma configuration dans la connection :
conn COMMERCIAL-LH-net
qu'il n'y a pas dans la configuration de COMMERCIAL-LH.

Le pire c'est que je sens que c'est une grosse boulette visible à 100 mètres mais je ne compte déjà plus les fois où j'ai recommencé à zéro sans différence.

Si quelqu'un la voit cette grosse boulette, dîtes le moi, s'il vous plait.

Ifféfroi

[iffefroi]

Re-bonjour

En fait mon problème n'avance pas beaucoup...

Je pense avoir découvert à peu près pourquoi ça ne marche pas :
ça doit sans doute venir du fait que les paquets envoyés depuis ma machine et qui ne sont pas décrypté par le firewall ne passent pas sur l'interface ipsec0.

Si quelqu'un sait comment est configuré l'interface ipsec0. Comment on dit ce qui doi être considéré comme ipsec0 en détail n'hésitait pas à me le dire. Ca m'aiderait beaucoup.
Merci
Ifféfroi

[iffefroi]

un petit up en expliquant plus clairement mon problème :
j'ai suivi la documentation d'Eric Faure pour réaliser un VPN de test entre mon poste local et le MNF
lorsque je communique avec le MNF (ping, ssh, etc.) sur eth0 je vois les paquets ESP et sur ipsec0 je vois les paquets ICMP, SSH etc. . Cette connexion fonctionne correctement re-:D
mais lorsque j'essaie de communiquer avec la machine derrière la MNF (ping, ssh, vnc etc.), sur eth0 je vois les paquets ESP mais sur ipsec0 je ne vois pas de paquets ni icmp ni ssh ni vnc ni etc. et les paquets ne sont pas transmis du tout à la machine derrière.

Si quelq'un peux m'aider , ou me mettre en contact avec une personne qui sait ou juste m'orienter.

Merci

Iffefroi desespéré

[iffefroi]

Résolution de mon problème :

Mon problème était sans doute un problème matériel :
J'ai installé MNF sur une autre machine et ça a marché nickel, du premier coup avec exactement la même config.

Iffefroi