VPN : MNF + routeur roadwarrior W2k

par **Guepi** » 18 Sep 2003 16:16

Bonjour. Je dois monter un VPN entre des ordinateurs portables connectés à l'Internet via des modems ( pour l'instant RTC ), et notre entreprise. La configuration ressemble pour l'instant à ça : Win2k_portable + modem ==(Internet)===Modem ADSL---routeur---switch---MNF Je sais que la configuration n'est pas bonne pour l'instant, mais tant que le VPN n'est pas fonctionnel, je ne peux me permettre de changer ça. J'ai accès à la configuration du routeur (merci Wanadoo), ce qui fait que j'ai pu définir un NAT sur le port 500 (IPSec). Les autres ports ouverts sont : 22 ( SSH ), 25 ( SMTP) redirigé vers un serveur Notes, 80(HTTP) redirigé vers un serveur Notes ( et un port pour eMule). Ma MNF fonctionne... correctement ( et elle est mise à jour en plus ). je dispose d'un adresse IP publique ( IP fixe ). Le routeur a pour adresse 10.0.0.238 le serveur a pour adresses : 10.0.0.210 ( eth1 "normallement" connecté au routeur ) et 10.0.0.4 ( eth0 relié au réseau). le réseau entreprise est de la forme 10.0.0.0/255.255.255.0 ( défini par un serveur DHCP autre que la MNF ) une carte eth2 est prévue pour faire une DMZ. Cependant, le meilleur résultat que je réussi à obtenir sur le portable, c'est : Négociation de la sécurité IP. Sur le serveur j'ai maintenant : packet from 62.147.xxx.yyy:500: ignoring Vendor ID payload packet from 62.147.xxx.yyy:500: initial Main Mode message received on 10.0.0.210:500 but no connection has been authorized J'ai lu les documents suivant : la doc d'Eric Faure ( vpn-1.02.pdf ), le doc officielle de Mandrake, une partie de la doc FreeS/WAN ( où j'ai compris que Left = Local et Right = Remote, soit left = poste local, et right = poste distant ), etc. Le firewall est "ouvert" complètement ( vous comprenez pourquoi je ne change pas la configuration réseau ... ). Maintenant, je vais passer aux questions :  Routeur : Est-ce que le routeur est correctement configuré ? N'y a t'il pas de port à ouvrir en plus pour L2TP ( bien que je pense que L2TP est encapsulé dans IPSec ) ? Sur le portable W2k : Je dispose d'une connexion modem. A la création d'une connexion VPN, il ouvre automatiquement la connexion modem... Mais qu'en est-il de IPSec ? J'ai testé en démarrant la connexion modem à la main, puis IPSec, et en testant un ping sur un machine du réseau.( Résultat = Négociation de la sécurité IP ). J'ai lu que les clés DSN posaient problème à Windows : le code pays doit être en minuscule et il ne doit pas y avoir de @ dans la clé DSN... J'ai donc modifié la clé dans le ipsec.conf du portable, mais pas celle des certificats. Dois-je refaire les certificats ? Donnez moi des pistes s'il vous plaît ! Je me perds dans la configuration, et je me dit que je vais bientôt tout reconfigurer ( MNF remise à plat ! )... <IMG SRC="images/smiles/icon_cussing.gif"> Des idées s'il vous plaît ... <IMG SRC="images/smiles/icon_find.gif"> <IMG SRC="images/smiles/icon_help.gif">

par **louis** » 19 Sep 2003 09:50

Bonjour, Pour mieux analyser où cela coince donnes-nous : - tes logs : coté client et coté MNF ? - la sortie console lors du lancement de IPSEC.EXE sur ton client - IPSEC.CONF coté client et coté serveur - vérifie bien tes certificats (regénère si tu as un doute)

par **Guepi** » 19 Sep 2003 14:58

Les logs :  côté MNF :  Maintenant, c'est principalement ça... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Sep 18 15:18:32 Pluto packet from 62.147.xxx.yyy:500: initial Main Mode message received on 10.0.0.210:500 but no connection has been authorized Sep 18 15:18:33 Pluto packet from 62.147.xxx.yyy:500: ignoring Vendor ID payload </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> avant, ça donnait : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Sep 16 14:50:15 fwsp Pluto[4310]: packet from 62.147.139.31:500: ignoring Vendor ID payload Sep 16 14:50:15 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #79: responding to Main Mode from unknown peer 62.147.139.31 Sep 16 14:50:15 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #79: policy does not allow OAKLEY_RSA_SIG authentication. Attribute OAKLEY_AUTHENTI CATION_METHOD Sep 16 14:50:17 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #80: OAKLEY_DES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ALGORITHM Sep 16 14:50:17 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #80: no acceptable Oakley Transform Sep 16 14:50:17 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31: del eting connection "sp-dell-p-02.savoirpro.fr" instance with peer 62.147.139.31 Sep 16 14:50:18 fwsp Pluto[4310]: packet from 62.147.139.31:500: ignoring Vendor ID payload </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ---------------------------------- du côté client :  ( je rappelle que les logs sont à activer - en changeant une clé du registre, si je me souviens bien-, et qu'ils se trouvent dans C:WINNTDebugOakley.log ) <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 9-19: 14:49:44:1dc SecMaxToken 12000 9-19: 14:49:44:1dc FormatMessage from system 9-19: 14:49:44:1dc Impossible d'obtenir les informations d'identification du serveur Kerberos pour le service ISAKMP/Oakley. L'authentification Kerberos ne fonctionnera pas. La raison la plus probable de ce problème est l'absence d'appartenance de domaine. Ceci est normal si votre ordinateur est membre d'un groupe de travail. 9-19: 14:49:47:1dc Get DH Prov type failed 234 9-19: 14:49:47:1dc MaxDHLength 512 9-19: 14:49:47:1dc Get DH Prov type failed 234 9-19: 14:49:47:1dc MaxDHLength 512 9-19: 14:49:47:1dc DH Provider 3 9-19: 14:49:47:1dc Reapertimer a9978 9-19: 14:49:47:1dc Before processing 9-19: 14:49:47:160 Acquire thread waiting 9-19: 14:49:47:1dc After processing 9-19: 14:49:47:1dc Oakley Init done 9-19: 14:49:47:1dc Oakley group 2 from UI 9-19: 14:49:47:1dc Isakmp policy (4 total): fb8c12ee-4212-4134-84059e4b76db9e42 PFS=0 9-19: 14:49:47:1dc #0: C.Id = 3, H.ID= 2, A.ID = 0, Group = 2 LT=28800 QMs=0 9-19: 14:49:47:1dc #1: C.Id = 3, H.ID= 1, A.ID = 0, Group = 2 LT=28800 QMs=0 9-19: 14:49:47:1dc #2: C.Id = 1, H.ID= 2, A.ID = 0, Group = 1 LT=28800 QMs=0 9-19: 14:49:47:1dc #3: C.Id = 1, H.ID= 1, A.ID = 0, Group = 1 LT=28800 QMs=0 9-19: 14:49:47:1dc flush guid(isakmp): fb8c12ee-4212-4134-84059e4b76db9e42 9-19: 14:49:47:1dc isadb_schedule_kill_oldPolicy_sas: fb8c12ee-4212-4134-84059e4b76db9e42 1 9-19: 14:49:47:1dc Added Timeout b7440 9-19: 14:49:47:1dc flush(isakmp): fb8c12ee-4212-4134-84059e4b76db9e42 9-19: 14:49:47:1dc Oakley group 2 from UI 9-19: 14:49:47:1dc Isakmp policy (4 total): 4b3a9959-e327-4191-8e59d8b9a07a5914 PFS=1 9-19: 14:49:47:1dc #0: C.Id = 3, H.ID= 2, A.ID = 0, Group = 2 LT=28800 QMs=0 9-19: 14:49:47:1dc #1: C.Id = 3, H.ID= 1, A.ID = 0, Group = 2 LT=28800 QMs=0 9-19: 14:49:47:1dc #2: C.Id = 1, H.ID= 2, A.ID = 0, Group = 1 LT=28800 QMs=0 9-19: 14:49:47:1dc #3: C.Id = 1, H.ID= 1, A.ID = 0, Group = 1 LT=28800 QMs=0 9-19: 14:49:47:1dc flush guid(isakmp): 4b3a9959-e327-4191-8e59d8b9a07a5914 9-19: 14:49:47:1dc isadb_schedule_kill_oldPolicy_sas: 4b3a9959-e327-4191-8e59d8b9a07a5914 1 9-19: 14:49:47:1dc Added Timeout bada0 9-19: 14:49:47:1dc Adding policy guid(ipsec): aea5eb81-f0d8-437e-b912cf6dd5ae513a 9-19: 14:49:47:1dc Authentication Method[0] from UI 5 9-19: 14:49:47:1dc Auth[0]: 5 Authinfosize: 0 9-19: 14:49:47:1dc Flags from UI 0 9-19: 14:49:47:1dc Ipsec policy (6 total): aea5eb81-f0d8-437e-b912cf6dd5ae513a PFS=10158044 9-19: 14:49:47:1dc #0: Encrypt C.Id = 3, C.KeyLen = 64, I.ID = 2, 9-19: 14:49:47:1dc #1: Encrypt C.Id = 3, C.KeyLen = 64, I.ID = 1, 9-19: 14:49:47:1dc #2: Encrypt C.Id = 1, C.KeyLen = 64, I.ID = 2, 9-19: 14:49:47:1dc #3: Encrypt C.Id = 1, C.KeyLen = 64, I.ID = 1, 9-19: 14:49:47:1dc #4: Auth C.Id = 2, C.KeyLen = 64, I.ID = 0, 9-19: 14:49:47:1dc #5: Auth C.Id = 1, C.KeyLen = 64, I.ID = 0, 9-19: 14:49:47:1dc flush guid(ipsec): aea5eb81-f0d8-437e-b912cf6dd5ae513a 9-19: 14:49:47:1dc Adding policy guid(ipsec): e4b26905-83dd-4958-85078512927c0d92 9-19: 14:49:47:1dc Authentication Method[0] from UI 3 9-19: 14:49:47:1dc Auth[0]: 3 Authinfosize: 129 9-19: 14:49:47:1dc Flags from UI 2 9-19: 14:49:47:1dc Ipsec policy (1 total): e4b26905-83dd-4958-85078512927c0d92 PFS=10158044 9-19: 14:49:47:1dc #0: Encrypt C.Id = 3, C.KeyLen = 0, I.ID = 1, 9-19: 14:49:47:1dc flush guid(ipsec): e4b26905-83dd-4958-85078512927c0d92 9-19: 14:49:47:1dc Adding policy guid(ipsec): ddbaac8f-c15b-4b47-a016868d3a7df990 9-19: 14:49:47:1dc Authentication Method[0] from UI 3 9-19: 14:49:47:1dc Auth[0]: 3 Authinfosize: 83 9-19: 14:49:47:1dc Flags from UI 2 9-19: 14:49:47:1dc Ipsec policy (1 total): ddbaac8f-c15b-4b47-a016868d3a7df990 PFS=10158044 9-19: 14:49:47:1dc #0: Encrypt C.Id = 3, C.KeyLen = 0, I.ID = 1, 9-19: 14:49:47:1dc flush guid(ipsec): ddbaac8f-c15b-4b47-a016868d3a7df990 9-19: 14:49:47:104 entered kill_old_policy_sas 9-19: 14:49:47:104 entered kill_old_policy_sas </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ===================================================== les fichiers config IPSec.conf  Côté MNF : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> #-------------------------------------------------------------------------- # DO NOT MODIFY THIS FILE! It is updated automatically # by the naat/backend. Modify the templates/etc/freeswan/ipsec.conf instead #------------------------------------------------------------------------- # # Copyright (C) 2002 Mandrakesoft # Author Florin Grad # ####################################################################### ## /etc/ipsec.conf - FreeS/WAN IPsec configuration file config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default pfs=yes keyingtries=1 compress=yes disablearrivalcheck=no left=aaa.bbb.ccc.ddd leftcert=savoirpro.com.crt leftrsasigkey=%cert leftsubnet=10.0.0.0/24 leftnexthop=10.0.0.238 conn savoirpro.com-vpn authby=rsasig auto=add right=0.0.0.0 rightcert=savoirpro.com.crt rightrsasigkey=%cert rightsubnet=0.0.0.0/0 rightnexthop=10.0.0.238 conn sp-dell-p-02.savoirpro.fr left=10.0.0.210 leftnexthop=10.0.0.238 leftsubnet=10.0.0.0/24 right=%any network=auto auto=add pfs=yes compress=yes # LAST LINE -- EOF </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>  Côté Client :  <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> conn %default dial=free conn sp-dell-p-02.savoirpro.fr left=%any right=aaa.bbb.ccc.ddd rightsubnet=10.0.0.0/24 rightca="C=FR, S=France, L=Paris, O=SavoirPro, CN=fwsp, E=adresse-mail@domaine.com" network=auto auto=add pfs=yes </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **Guepi** » 19 Sep 2003 15:03

et l'extrait de ce que produit le lancement du ficheir IPSec : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> C:VPN>ipsec IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller Getting running Config ... Microsoft's Windows 2000 identified Setting up IPSec ... Deactivating old policy... Removing old policy... Connection sp-dell-p-02.savoirpro.fr: MyTunnel : 62.147.138.111 MyNet : 62.147.138.111/255.255.255.255 PartnerTunnel: aaa.bbb.ccc.ddd PartnerNet : 10.0.0.0/255.255.255.0 CA (ID) : C=FR, S=France, L=Paris, O=SavoirPro, CN=fwsp, E=a... PFS : y Auto : add Auth.Mode : MD5 Rekeying : 3600S/50000K </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ( je préçise que aaa.bbb.ccc.ddd est en réalité une adresse IP fixe ! <IMG SRC="images/smiles/icon_wink.gif"> )

par **louis** » 19 Sep 2003 15:47

Re. Le service ipsec tourne-t-il sur la MNF : service ipsec status Le tunel est-il monté : ipsec look - il ne doit pas l'être mais cela doit donner : fw_mnf ven sep 19 15:52:58 CEST 2003 ipsec0->eth1 mtu=1435(1500)->1500 0.0.0.0 10.0.0.210 0.0.0.0 UG 40 0 0 eth1 10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 eth1 10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 ipsec0 Destination Gateway Genmask Flags MSS Window irtt Iface Lors du ping du client vers un poste derrière la mnf, il y a t-il négociation ? des erreurs ? Si tu monte manuellement le tunel (après avoir modifier ipsec.conf pour donner l'adresse ip du roadwarrior) par : ipsec auto --up <roadwarrior> Quel est le résultat ?

par **louis** » 19 Sep 2003 15:49

J'ai oublié : C:WINNTDebugOakley.log, après la négociation lors du ping (roadwarrior -> client derière mnf)

par **Guepi** » 19 Sep 2003 16:19

je rajouterais ce problème là, qui va certainement orienter le débat : lors du lancement de la connexion VPN créée sur le portable, j'ai ce message : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Erreur 792 : La tentative de connexion L2TP a échoué car le délai de la négociation a été dépassé.</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je dois définir les paramètres de Shorewall pour nater les trames L2TP vers mon serveur de domaine ? <IMG SRC="images/smiles/icon_find.gif"> <IMG SRC="images/smiles/icon_help.gif"> ============================================ Sur le client, la connexion VPN n'abouti jamais. -------------- Louis, pour tes questions : le service ipsec tourne sur la MNF : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> IPsec running pluto pid 14340 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> le résultat de ipsec look: <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> [root@localhost admin]# ipsec look localhost ven sep 19 16:26:12 CEST 2003 ipsec0->eth0 mtu=16260(1500)->1500 0.0.0.0 10.0.0.238 0.0.0.0 UG 40 0 0 eth0 10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 eth0 10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 ipsec0 Destination Gateway Genmask Flags MSS Window irtt Iface </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> lorsque je tente de pinger un poste du réseau entreprise depuis le client, comme je n'ai pas de VPN d'ouvert, ça me donne <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> délai d'attente de la demande dépassé</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **Guepi** » 19 Sep 2003 17:55

ça ping !!! <IMG SRC="images/smiles/icon_biggrin.gif"> Je me suis rendu compte que je devais envoyer les informations sur la mauvaise interface ( eth1 au lieu de eth0 ). De plus ma machine a changé d'adresse IP entre temps. Ce qui fait que je pinguais une adresse qui n'est plus affectée.

par **Guepi** » 22 Sep 2003 12:27

Bonjour. Voilà, j'aimerais faire l'identification d'un poste sur un serveur de domaine. Cependant, je ne sais pas quel port forwarder au serveur de domaine. De plus, dans ma config ci-dessus, j'arrive à pinguer certaines machines, mais pas toutes... Une idée du pourquoi ?

par **louis** » 22 Sep 2003 16:11

Bonjour, Concernant le ping sur certaine machine de ton réseau : J'ai eu ce problème car sur ces machines, une route statique permanente était configurée !!!

par **Guepi** » 22 Sep 2003 17:04

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-22 16:11, louis a écrit: Bonjour, Concernant le ping sur certaine machine de ton réseau : J'ai eu ce problème car sur ces machines, une route statique permanente était configurée !!! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> tu peux détailler un peu plus l'idée de la route statique, s'il te plaît ?

par **louis** » 22 Sep 2003 17:53

Re. Ces machines permettent de faire de la télémaintenance vers d'autres sites (via un modem sur le reseau). Pour cela, une route statique est ajoutée pour rerouter le flux de données vers ce modem si une des adresses de ces sites est demandée. Tout cela grace à la commande dos "route -p add ... ". Pour connaitre si des routes permanentent existent sur tes machines, lance sous dos "route print", les itinéraires persistants se trouvent à la fin.

par **Guepi** » 22 Sep 2003 18:20

je n'ai pas de route persistante, mais je pense que mon opérateur internet oui ... ping 10.0.0.81 ça réponds chez Free ... <IMG SRC="images/smiles/icon_confused.gif">

par **Guepi** » 04 Nov 2003 13:22

<IMG SRC="images/smiles/icon_up.gif"> Je suis toujours bloqué au même point : je n'établis pas de connexion entre le roadwarrior sous windows 2000 et le MNF. <IMG SRC="images/smiles/icon_frown.gif">

par 6r » 28 Nov 2003 16:00

bonjour a tous encore et toujours des soucis avec la bete donc j'ai lu ce topic qui me concerne a 100% j'ai les meme message d'erreur dans le log du serveur vpn (ignoring vendor ID payload et initial main mode message received on 192.168.1.127:500 but no connection has been authorized) j'ai pensé au regle du fw (shorewall) et apparement elles sont bonnes (defini comme dans la doc) les tunnels itoo et parfois j'ai aussi un ; ignoring delete SA payload ou un received and ignored informational message <IMG SRC="images/smiles/icon_frown.gif"> tout ca sur le port 500 et qui vient de ma machine client vpn j'ai regardé un peu ce que ca devrait donnar selon ce que louis a consseillé et j'ai exactement ce qui a ete donné sauf que en lancant un ipsec auto --up cy_trayaud il me dit : no connection named "cy_trayaud" <IMG SRC="images/smiles/icon_eek.gif">

VPN : MNF + routeur roadwarrior W2k

Qui est en ligne ?