IpCop + client VPN Checkpoint

[Pit_Bull]

Bonjour,

J'ai vu plusieurs posts passés concernant Checkpoint mais pas de solution concrète à mon problème.
J'ai un Ipcop 1.3 et un utilisateur doit utiliser Checkpoint VPN-1 secureclient pour se connecter à un VPN Checkpoint externe.

Plusieurs indications m'ont été données pour aboutir à la connection.
Les forwards suivants doivent être appliqués :
500/UDP IKE
500/TCP IKE over TCP
2746/UDP UDP encapsulation
18233/UDP FW1_scv_keep_alive
18231/TCP FW1_pslogon_NG
18232/TCP FW1_sds_logon

J'ai donc appliqué ces forwards de l'ip default (ip du firewall ipcop - un forward sur une autre ip n'aboutit pas !) vers la machine interne.

J'ai aussi, comme c'est indiqué dans plusieurs posts, paramétré le client checkpoint avec :
force udp et support ike over tcp.

Seulement, il me faut aussi forwarder les protocoles 50 et 51 (je parle de n° de protocole, pas de n° de port !!) qui correspondent respectivement à ESP (Encap Security Payload) et AH (Authentication Header).

J'ai passé quelques temps avec l'admin du VPN checkpoint et d'après ses logs, le client checkpoint se connecte mais l'échange de clés ipsec ne se fait pas à cause de l'absence de ces protocoles.

J'ai donc tenté dans le rc.firewall d'IpCop :
/sbin/iptables -A INPUT -p 50 -j ACCEPT
/sbin/iptables -A INPUT -p 51 -j ACCEPT

Mais ca ne marche pas et je ne suis sûr de rien. En fait, peut-on forwarder un protocole ?

[Pit_Bull]

Personnes n'a une idée ?
Il y a bien un expert iptables dans le coin !!

Merci...

[guiguid]

sbin/iptables -I FORWARD -p 50 -j ACCEPT
/sbin/iptables -I FORWARD -p 51 -j ACCEPT

[Pit_Bull]

J'avais testé cette solution mais sans résultat.

Malgrè tout, il me semble que c'est la bonne solution.
Voilà ce que j'obtiens dans les règle iptables :

Chain RED (1 references)
pkts bytes target prot opt in out source destination
1 112 ACCEPT esp -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah -- eth1 * 0.0.0.0/0 0.0.0.0/0

Donc j'ai bien le protocole esp et ah d'autorisé mais je ne sais pas si cela suffit.

Malheureusement, j'ai constaté un autre problème lors de mes tests. Lorsque je fais des changements dans le rc.firewall et que je le relance par un restart, tous les forwards que j'ai mis en place sont inopérants. La seule solution que j'ai trouvé pour le moment c'est de redémarré complètement Ipcop et c'est pas cool pour mes utilisateurs.

Help-me, please...

[belugha]

Et toi qu'as-tu dans tes logs du coté VPN ?

Tes fichiers ipsec.conf et ipsec.secrets se presentent de quelles facons ?

Avant de mettre tes regles dans le rc.firewall, il faut les tester simplement en ligne de commande comme cela pas besoin de rebooter Ipcop

[Pit_Bull]

Je n'ai rien du côté VPN puisque pour cette connexion je ne me sert pas du tout du VPN Ipcop.
Il s'agit bien de faire passé un client VPN de mon réseau vers un VPN checkpoint externe.

En fait, lorsque la machine est directement sur internet par un modem rtc ou adsl. Il n'y a pas de problème. Par contre, à travers ipcop, c'est plus problématique. C'est pourquoi les transfert de port précédent sont indispensable ainsi que le transfert des protocole esp et ah.

J'ai peut-être mal compris où tu veux en venir. Tu peux préciser ?

[belugha]

Euh , tu veux faire passer du VPN dans ton réseau au travers d'Ipcop sans l'activer .


J'ai pas tout compris moi

Peux-tu nous donner ton schéma réseau ?

[Pit_Bull]

Comme je l'ai expliqué plus haut, il ne s'agit que d'un client VPN qui doit se connecter sur un serveur VPN Checkpoint externe :

clientVPN sur Green
|
Ipcop
|
internet
|
Serveur VPN Checkpoint

Pour cela, voici les contraintes apportées par l'admin du serveur VPN Checkpoint :

- Forward de ces ports :
500/UDP IKE
500/TCP IKE over TCP
2746/UDP UDP encapsulation
18233/UDP FW1_scv_keep_alive
18231/TCP FW1_pslogon_NG
18232/TCP FW1_sds_logon

- Forward de ces protocoles :
50 Ipsec ESP
51 Ipsec AH

[belugha]

Il faut donc bien configurer le client VPN, car comment veux-tu creer une liaison Ipsec ? Et ton client VPN passe par Ipcop puis le net pour s'accrocher sur le checkpoint .

[Pit_Bull]

Il s'agit d'un client VPN CheckPoint dit "roadwarrior".

J'ai bien 2 VPNs déjà installé mais il s'agit de réseaux interconnectés. Or dans ce cas, il s'agit non pas d'un réseau mais d'un client.

Il me semble que ce n'est pas possible avec Ipcop, non ?

[Pifou]

Bonsoir Pit_Bull

J'utilise occasionnellement un client VPN RoadWarrior (SafeNet) vers un Firewall VPN Netasq F50 au travers de mon IPcop et je n'ai aucun souci, ni eu aucune manip à faire sur IPcop. Testé avec les version 1.3.xxx et 1.4.0b3.

Ca ne solutionne pas ton problème, mais ça te rassurera peut-être...

Bon courage,

++
Pifou

[pkaer]

Salut,

Si ton client VPN est dans ton GREEN et si c'est ton client qui a l'initiative de la connexion, normalement tu n'as rien à faire car du GREEN vers Internet, tout est ouvert.

@+
PK

[Pit_Bull]

Bonjour,

Je suis bien d'accord avec vous. Normalement rien à faire.
Il ne s'agit que d'un client, Ipcop doit accepter toutes connexions établies.
Donc les forward ne sont pas nécessaires.

Quelqu'un a-t-il déjà fait fonctionné un Client VPN Checkpoint dans un réseau protégé par Ipcop ?

Bouhou , je désespère...

[keraden]

Salut à tous, je confirme, il n'y a rien à faire sur l'IPCOP.
Je me connecte tous les soirs à mon réseau d'entreprise avec un client remote checkpoint vers un serveur VPN Checkpoint et je n'ai rien touché dans mon IPCOP 1.30.

Essaie de te connecter au travers d'un autre accès Internet (ligne RTC par exemple)

Bon courage ......

[Pit_Bull]

Vu que ca ne marche pas derrière Ipcop, j'ai voulu revérifier que la config du client VPN checkpoint était correcte.

Je me suis donc connecté à internet avec un modem RTC et ca fonctionne

Keraden, as-tu essayé en activant un VPN sur IPCOP ?
J'ai effectivement 2 VPNs qui sont définis sur Ipcop. Cela peut-il jouer ?