VPN entre 2 MNF - Tunnel non monté si PAP

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Publier une réponse

Messagepar louis » 09 Juil 2003 15:20

Bonjour, <BR> <BR>Je bute depuis plusieurs jours sur un problème et je ne vois pas de solution ! <BR> <BR>Je tente de monter une liaison VPN entre 2 MNF. <BR> <BR>La 1er MNF (A) est connecté à Internet via une liaison TDSL (France Telecom - IP fixe). <BR>La 2ième MNF (B) est connecté à Internet via une liaison ADSL (Free.fr - Ip variable - non dégroupé - modem Bewan Eternet). <BR> <BR>Les connexions vers Internet pour A et B sont correctes. <BR> <BR>C'est B qui initie le tunnel vers A : dans la plupart des cas, ça ne marche pas (cela marche qq fois !!!) : quand ça ne marche pas, l'envoie de MI3 (STATE_MAIN_I3) est redemandé par A car jamais reçu, jusqu'à l'arrêt de l'initialisation du tunnel. <BR> <BR>Si l'on passe IPSEC en mode debug, on s'aperçoit que le certificat de B est fragmenté car plus gros que le MTU mais la 2ième partie n'est jamais reçue par A ! <BR> <BR>Ma 1er approche du problème a été de "jouer" sur le parametrage d'IPSEC et du MTU/MRU de mes interfaces (A et B) : aucun résultat. <BR> <BR>Ma 2ième approche a été de chercher dans les logs de A et B, des différences entre le tunnel monté (RARE) et le tunnel non monté (La plupart du temps). <BR> <BR>Je me suis alors aperçu que si la connexion internet de B (free.fr) se faisait par l'authentification CHAP, le tunnel était monté , si l'authentification se faisait par l'authentification PAP, le tunnel n'était pas monté. <BR> <BR>Lors de la connexion internet, c'est toujours l'authentification CHAP qui est proposée en 1er par free, le "CHAP Challenge" est bien reçu et B renvoie bien sa réponse "CHAP Response" mais entre cet envoi et la réception de "CHAP Succes", free propose l'authentification PAP (beaucoup plus rapide) si cette proposition arrive avant "CHAP Succes", la connexion sera authentifiée par PAP. <BR> <BR>Même en jouant sur les options de PPPD (refuse-pap, require-chap, ... ou sur les intervales - je crois avoir tout essayé), cela ne marche pas : même si je force l'authentification CHAP, il suffit que je reçoive de la part de free.fr un message "rcvd [LCP ConfReq id=xxx <auth pap> ...." pour que le tunnel ne soit pas monté même si l'authentification (forcé) se fait par la suite en CHAP. <BR> <BR>Avez-vous une idée à part changer de provider ? <BR> <BR>Merci. <BR> <IMG SRC="images/smiles/icon_help.gif">
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00
Haut
Publier une réponse

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron