par louis » 09 Juil 2003 15:20
Bonjour,
<BR>
<BR>Je bute depuis plusieurs jours sur un problème et je ne vois pas de solution !
<BR>
<BR>Je tente de monter une liaison VPN entre 2 MNF.
<BR>
<BR>La 1er MNF (A) est connecté à Internet via une liaison TDSL (France Telecom - IP fixe).
<BR>La 2ième MNF (B) est connecté à Internet via une liaison ADSL (Free.fr - Ip variable - non dégroupé - modem Bewan Eternet).
<BR>
<BR>Les connexions vers Internet pour A et B sont correctes.
<BR>
<BR>C'est B qui initie le tunnel vers A : dans la plupart des cas, ça ne marche pas (cela marche qq fois !!!) : quand ça ne marche pas, l'envoie de MI3 (STATE_MAIN_I3) est redemandé par A car jamais reçu, jusqu'à l'arrêt de l'initialisation du tunnel.
<BR>
<BR>Si l'on passe IPSEC en mode debug, on s'aperçoit que le certificat de B est fragmenté car plus gros que le MTU mais la 2ième partie n'est jamais reçue par A !
<BR>
<BR>Ma 1er approche du problème a été de "jouer" sur le parametrage d'IPSEC et du MTU/MRU de mes interfaces (A et B) : aucun résultat.
<BR>
<BR>Ma 2ième approche a été de chercher dans les logs de A et B, des différences entre le tunnel monté (RARE) et le tunnel non monté (La plupart du temps).
<BR>
<BR>Je me suis alors aperçu que si la connexion internet de B (free.fr) se faisait par l'authentification CHAP, le tunnel était monté , si l'authentification se faisait par l'authentification PAP, le tunnel n'était pas monté.
<BR>
<BR>Lors de la connexion internet, c'est toujours l'authentification CHAP qui est proposée en 1er par free, le "CHAP Challenge" est bien reçu et B renvoie bien sa réponse "CHAP Response" mais entre cet envoi et la réception de "CHAP Succes", free propose l'authentification PAP (beaucoup plus rapide) si cette proposition arrive avant "CHAP Succes", la connexion sera authentifiée par PAP.
<BR>
<BR>Même en jouant sur les options de PPPD (refuse-pap, require-chap, ... ou sur les intervales - je crois avoir tout essayé), cela ne marche pas : même si je force l'authentification CHAP, il suffit que je reçoive de la part de free.fr un message "rcvd [LCP ConfReq id=xxx <auth pap> ...." pour que le tunnel ne soit pas monté même si l'authentification (forcé) se fait par la suite en CHAP.
<BR>
<BR>Avez-vous une idée à part changer de provider ?
<BR>
<BR>Merci.
<BR> <IMG SRC="images/smiles/icon_help.gif">