Double NAT avec MNF et Windows 2000...

[sebastien133]

Bonjour, <BR> <BR>J'utilise MNF et je veux connecter un Windows 2000 en roadwarrior avec un MNF avec du NAT de chaque coté. <BR> <BR>J'ai utilisé le package de <!-- BBCode auto-link start --><a href="http://vpn.ebootis.de" target="_blank">http://vpn.ebootis.de</a><!-- BBCode auto-link end --> et regardé le site de Nate Carlson. <BR> <BR>J'utilise actuellement des Clés Partagées (PSK), et je souhaiterai savoir si je peux avoir du NAT des deux cotés. <BR> <BR>Je veux bien utiliser des certificats si quelqu'un a réussi à les faire fonctionner en double NAT. <BR> <BR>Quelqu'un peut-il m'aider? <BR> <BR>Merci d'avance... <BR> <BR>sebastien133. <BR> <BR>La config de mon MNF : <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> pfs=yes <BR> keyingtries=1 <BR> compress=yes <BR> disablearrivalcheck=no <BR> left=192.168.1.3 <BR> leftsubnet=192.78.232.0/24 <BR> leftnexthop=192.168.1.1 <BR> leftid=x.x.x.x <BR> <BR>conn nat-vpn <BR> authby=secret <BR> auto=add <BR> right=y.y.y.y <BR> rightid=192.168.42.2 <BR> <BR>et sous windows : <BR> <BR>conn sebastien-vpn <BR> left=%any <BR> right=x.x.x.x <BR> rightsubnet=192.78.232.0/255.255.255.0 <BR> presharedkey=zzzzzzzzzzzzzzzzzzzzzz <BR> network=lan <BR> auto=start <BR> pfs=yes <BR>

[sebastien133]

Je suis passé aux certificats... <BR> <BR>Mon système fonctionne très bien dans cette configuration : <BR> <BR>réseau1 ------- MNF --------- Routeur NAT -----Internet -------- PC WIN 2K avec modem. <BR> <BR>Il ne fonctionne plus du tout dans le cas ou le PC WIN 2K est derrière un routeur... <BR> <BR>réseau1 -- MNF -- Routeur NAT --Internet -- Routeur NAT --PC WIN 2K. <BR> <BR>Est-ce que quelqu'un a déja expérimenté une configuration de ce type? <BR>Où interviennent les adresses IP dans le cas d'utilisation de certificats? (quel protocole?) <BR> <BR>Merci d'avance pour l'aide que vous pourrez m'apporter... <BR> <BR>Sebastien133.

[sebastien133]

Avec un bon vieux tcpdump, je recois cela : <BR> <BR>19:42:47.701480 adresseclient.isakmp > firewall.isakmp: isakmp: phase 1 I ident: [|sa] <BR>19:42:47.702293 firewall.isakmp > adresseclient.isakmp: isakmp: phase 1 R ident: [|sa] (DF) <BR>19:42:48.052185 adresseclient.isakmp > firewall.isakmp: isakmp: phase 1 I ident: [|ke] <BR>19:42:48.123056 firewall.isakmp > adresseclient.isakmp: isakmp: phase 1 R ident: [|ke] (DF) <BR>19:42:50.244668 adresseclient.isakmp > firewall.isakmp: isakmp: phase 1 I ident[E]: [encrypted id] (frag 1559:1480@0+) <BR> <BR>Je pense que mon routeur coté client (OLITEC SX200) ne fait pas "VPN pass through (IPSec -mode tunnel ESP, L2TP, PPTP)" comme précisé dans sur la boite... <BR> <BR>Je vais de ce pas leur écrire... <BR> <BR>Sebastien133.

[sebastien133]

J'ai également cela comme message d'erreur sous le MNF : <BR> <BR>Dec 9 08:36:15 pluto "sebastien-vpn"[5] x.x.x.x #7: responding to Main Mode from unknown peer x.x.x.x <BR> <BR>Dec 9 08:36:15 pluto "sebastien-vpn"[5] x.x.x.x #7: policy does not allow OAKLEY_PRESHARED_KEY authentication. Attribute OAKLEY_AUTHENTICATION_METHOD <BR> <BR>Dec 9 08:36:15 pluto "sebastien-vpn"[5] x.x.x.x #7: no acceptable Oakley Transform <BR> <BR>Dec 9 08:36:15 pluto "sebastien-vpn"[5]x.x.x.x #7: sending notification NO_PROPOSAL_CHOSEN to x.x.x.x:500 <BR> <BR>Dec 9 08:36:15 pluto "sebastien-vpn"[5] x.x.x.x: deleting connection "sebastien-vpn" instance with peer x.x.x.x <BR> <BR>Sinon, je ne pense pas que le problème vienne de mon routeur ni de MNF : J'ai essayé la configuration avec un autre MNF et cela marche parfaitement. <BR> <BR>Cela doit venir de Windows. (mais où??) <BR> <BR>Sebastien133.