vpn windows

par **Moigno** » 11 Juin 2003 09:45

lu all, déjà je m'excuse, je sais que ce sujet est traité dans dautre topic mais je n'y ai pas trouvé exactement mes réponses. Donc après l'avoir fait entre 2 mnf, je voulais tester le VPN avec un client nomade windows. J'ai donc suivi la très bonne doc (le .pdf) dont on a parlé dans thread précédent. Mais ça ne fonctionne pas, j'ai donc plusieurs questions qui sont surement cons mais bon, je cherche toutes les possibilités <IMG SRC="images/smiles/icon_smile.gif"> : -lors de la création de certificats et clés avec ca.sh, il est indiqué dans la doc que le -newreq crée un "newcert.pem" et que le -sign crée un "newreq.pem". Chez moi ça fait l'inverse, donc c juste une petite erreur dans la doc ou c moi? et après c bien le newcert.pem qu'il faut renommer en .pem et l'autre en .key? -faut-il lancer le ipsec.exe du coté windows pour "lancer" le VPN? faut-il créer une connexion de type VPN dans Connexion réseau? Dans mes logs, j'ai: - au lancement d'ipsec coté mnf : "couldn't find my x509cert file" -> il n'est pas présent c vrai, est-il indispensable? "added connection machine-distante et machien-distante-net" "listening ike messages" "added intreface ipsec0/IP" "loaded ipsec.secrets et le keyfile" Puis plus rien, un ping vers le réseau distant ne fonctionne pas. Si je crée une connexion Windows de type Vpn coté client, et que je la lance, ça me rajoute: "machine-distante-net : responding to Main Mode from unknown peer ip-client" "deleting connection machine-distante-net instance with peer" "ignoring Delet SA payload" "ignoring Vendor ID payload" "machine-distante : : responding to Main Mode from unknown peer ip-client" "machine-distante ; ISAKMP SA established" "machine-distante ; IPSEC established" Puis quelques paquets ESP entre le client et la MNF; un ping du client vers la MNF envoie aussi des paquets ESP auquel la mnf ne répond pas. Et un ping (ou autre type de connexion ) vers le réseau distant ne fonctionne pas ("impossible de joindre l'hote"). Voila si qqun a déjà eu ce type de pbs, merci d'avance.

par **Moigno** » 11 Juin 2003 15:13

par **belugha** » 11 Juin 2003 16:05

Je connais assez bien maintenant le VPN Ipsec mais je n'ai pas essayé avec le certificat X509. J'ai tjs utilisé la clé PSK puisque je suis sur Ipcop. Juste pour savoir ton client nomade Windows, c'est quelle version ?

par **Moigno** » 11 Juin 2003 16:10

windows 2000 server jaimerais au moins savoir si je dois créer une connexion VPN ds connexion réseau ou si ça se fait tout seul par ipsec.exe ou les deux <IMG SRC="images/smiles/icon_redface.gif">

par **belugha** » 12 Juin 2003 08:50

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-11 16:10, Moigno a écrit: windows 2000 server jaimerais au moins savoir si je dois créer une connexion VPN ds connexion réseau ou si ça se fait tout seul par ipsec.exe ou les deux <IMG SRC="images/smiles/icon_redface.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Cela se fait tout seul lorsque tu lance la cde ipsec.

par **Moigno** » 12 Juin 2003 10:22

tu veux dire la commande ipsec qui lance le ipsec.exe du paquetage qu'il est dit d'installer dans la doc? bon à part ça, j'ai activé mon log oakley, et tout au début de .log, correspondant au démarrage de windows, j'ai un message du style "impossible d'obtenir les informations d'identification du serveur Kerberos pour le service ISAKM/Oakley.L'authentificationKerberos ne fonctionnera pas? La raison la plus probable est l'absence d'appartenance de domaine".Puis après, à chaque lancement de ipsec.exe, tout un tas de messages un peu compliqué. Faut-il désactiver cette authentification Kerberos afin quil ne se limite pas à ce type d'authentification, ou une fois échoué, il continue à valider dautres modes dauthentification (certificats ici) ?

par **belugha** » 12 Juin 2003 10:47

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-12 10:22, Moigno a écrit: tu veux dire la commande ipsec qui lance le ipsec.exe du paquetage qu'il est dit d'installer dans la doc? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ouaip c'est ça. Comme je te l'ai déjà dit je ne pourais pas t'aider conernant la certificat avec la norme X509, désolée.

par **Moigno** » 12 Juin 2003 16:19

bon on reste calme... dans mes logs coté windows, je vois à un moment (après quelques messages de négociation IKE): "error 9032165 during CryptSignHash1" kan je lance le ipsec.exe, je vois en protocole de hachage md5. Y-aurait-il une incomptabilité md5/sha1, ma mnf tentant pt etre du sha1 et le client du md5? kkun a déjà eu ce type de probleme? mais c bizarre puisqune certaine négociation semble passer puisque des paquets ESP transitent du client à la MNF, mais pas vers le réseau privé.

par **Moigno** » 16 Juin 2003 16:10

pas d'idée sur ça alors? snif

par DV » 17 Juin 2003 13:24

Salut va voir <a href="http://www.fnt.fr/intra/Download/vpn1-02.pdf" target="_blank">http://www.fnt.fr/intra/Download/vpn1-02.pdf</a> pas encore essayé mais je suis en train DV

par **Moigno** » 17 Juin 2003 14:16

lu, c justement avec cette doc (très bien faite) que j'ai essayé mais il me reste juste ce pb que je n'arrive pas à regler. Tiens moi au courant si tu y arrives stp

par **samuel** » 17 Juin 2003 14:36

Bonjour, Je suis en train d'essayer de tester les vpn pour client windows avec MNF. J'ai téléchargé le pdf d'Eric faure mais je suis déjà bloqué à l'installation de l'autorité de certification car le fichier newreq.pem n'est pas créé. Cela proviens peut-être du fait que je n'ai pas installé les mises à jour de MNF. Avez-vous été bloqué comme moi ?

par **Moigno** » 17 Juin 2003 14:42

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-11 09:45, Moigno a écrit: -lors de la création de certificats et clés avec ca.sh, il est indiqué dans la doc que le -newreq crée un "newcert.pem" et que le -sign crée un "newreq.pem". Chez moi ça fait l'inverse, donc c juste une petite erreur dans la doc ou c moi? et après c bien le newcert.pem qu'il faut renommer en .pem et l'autre en .key? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> c pas plutôt ce problème que t'as rencontré?

par **samuel** » 17 Juin 2003 15:10

Différence par rapport à la doc : -----------page 9------------- Je dois faire : >cd /usr/lib/ssl/misc au lieu de (>cd /usr/lib/ssl) Quand je tape: ./CA.sh -newca une arborescence /demoCA est crée mais aucun fichier dans ssl ou ssl/misc Quand je tape: ./CA.sh -sign un fichier newcert.pem est créé sous ssl/misc/ mais il fait 0 octet et j'ai un message d'erreur me signifiant que newreq.pem est manquant. Ca ressemble à ce que tu as connu ?

par **Moigno** » 17 Juin 2003 15:36

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-17 15:10, samuel a écrit: Différence par rapport à la doc : -----------page 9------------- Je dois faire : >cd /usr/lib/ssl/misc au lieu de (>cd /usr/lib/ssl) Quand je tape: ./CA.sh -newca une arborescence /demoCA est crée mais aucun fichier dans ssl ou ssl/misc </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ça je suis d'accord par contre pour le -newreq, ça marche chez moi, mais ça ne crée pas le fichier indiqué dans la doc t'as pas oublié le -newreq avant le -sign ? si non, le -newreq fonctionne? il te crée quel fichier? _________________ Et ça moignonne.. <IMG SRC="images/smiles/icon_smile.gif">

vpn windows

Qui est en ligne ?