Pb IPCop 1.3 et Checkpoint encore et toujours...

[bast44]

Bonjour,
J’ai eu beau chercher dans tous les précédents posts et tester toutes les solutions proposées sur le forum, je ne parviens toujours pas à régler mon pb. C’est pourquoi, je recrée un post expliquant l’intégralité du problème ainsi que les solutions essayées.

J’ai appris pas mal de chose depuis mais cela ne suffit pas.

Voici un récapitulatif de l’architecture :

Le client est un PC portable sous Windows XP avec un Securemote de checkpoint pour établir une liaison VPN. Il est protégé par un firewall IPCop 1.3. puis par un modem routeur cisco SDSL. Sur le site distant, le firewall checkpoint NG doit établir la liaison VPN.

Cette solution fonctionne très bien sans le firewall IPCop.

Normalement, IPCop laisse tout passer en sortie donc pas de réglages à faire mis à part activer « Force Encapsulation UDP » et « Support IKE over TCP » dans le client securemote.

Voici les logs du firewall checkpoint NG lorsque le VPN fonctionne bien :

# snoop -d interface host address_fw
Using device /dev/eri (promiscuous mode)
adress_publiq -> fw UDP D=500 S=500 LEN=244
fw -> adress_publiq UDP D=500 S=500 LEN=136
adress_publiq -> fw UDP D=500 S=500 LEN=220
fw -> adress_publiq UDP D=500 S=500 LEN=192
adress_publiq -> fw UDP D=500 S=500 LEN=76
fw -> adress_publiq UDP D=500 S=500 LEN=780
fw -> adress_publiq UDP D=500 S=500 LEN=780
fw -> adress_publiq UDP D=500 S=500 LEN=780
fw -> adress_publiq UDP D=500 S=500 LEN=84
adress_publiq -> fw UDP D=500 S=500 LEN=84
fw -> adress_publiq UDP D=500 S=500 LEN=92
fw -> adress_publiq UDP D=500 S=500 LEN=92
adress_publiq -> fw UDP D=500 S=500 LEN=92
fw -> adress_publiq UDP D=500 S=500 LEN=132
adress_publiq -> fw UDP D=500 S=500 LEN=76
fw -> adress_publiq UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=756
fw -> adress_publiq UDP D=500 S=500 LEN=172
adress_publiq -> fw UDP D=500 S=500 LEN=68
adress_publiq -> fw UDP D=500 S=500 LEN=68
adress_publiq -> fw UDP D=500 S=500 LEN=68
adress_publiq -> fw ESP SPI=0x46b71215 Replay=1
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=1
adress_publiq -> fw ESP SPI=0x46b71215 Replay=2
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=2
adress_publiq -> fw ESP SPI=0x46b71215 Replay=3
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=3
adress_publiq -> fw ESP SPI=0x46b71215 Replay=4
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=4
adress_publiq -> fw ESP SPI=0x46b71215 Replay=5
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=5

Maintenant, voici la même chose avec le firewall IPCop :
snoop -d interface host address_fw
Using device /dev/eri (promiscuous mode)
adress_publiq -> fw UDP D=500 S=500 LEN=244
fw -> adress_publiq UDP D=500 S=500 LEN=136
adress_publiq -> fw UDP D=500 S=500 LEN=220
fw -> adress_publiq UDP D=500 S=500 LEN=192
adress_publiq -> fw UDP D=500 S=500 LEN=76
fw -> adress_publiq UDP D=500 S=500 LEN=780
fw -> adress_publiq UDP D=500 S=500 LEN=780
fw -> adress_publiq UDP D=500 S=500 LEN=780
fw -> adress_publiq UDP D=500 S=500 LEN=84
adress_publiq -> fw UDP D=500 S=500 LEN=84
fw -> adress_publiq UDP D=500 S=500 LEN=92
fw -> adress_publiq UDP D=500 S=500 LEN=92
adress_publiq -> fw UDP D=500 S=500 LEN=92
fw -> adress_publiq UDP D=500 S=500 LEN=132
adress_publiq -> fw UDP D=500 S=500 LEN=76
fw -> adress_publiq UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=100
adress_publiq -> fw UDP D=500 S=500 LEN=516
fw -> adress_publiq UDP D=500 S=500 LEN=172
adress_publiq -> fw UDP D=500 S=500 LEN=68
adress_publiq -> fw UDP D=500 S=500 LEN=68
adress_publiq -> fw UDP D=500 S=500 LEN=68


On constate donc que le flux ESP ne passe pas ou ne sort pas… je ne sais pas.
J’ai donc forwarder l’ESP (50) et l’AH (51) du coté d’IPCop avec les commandes :
/sbin/iptables –I FORWARD –p 50 –j ACCEPT
/sbin/iptables –I FORWARD –p 51 –j ACCEPT

Cela ne change strictement rien (je ne le vois pas en faisant un iptable –L… est ce normal ?).

Donc du coup, j’ai épuisé toutes les solutions du forum et cela ne fonctionne toujours pas.

Si quelqu’un d’autre a une idée, cela m’enlèverait une bonne épine du pied.
J'insiste sur le fait que la solution fonctionne très bien si j'enlève juste IPCop donc à priori ça vient de là.
Merci d’avance.
Sébastien.

[Pit_Bull]

Salut bast44,

Je ne sais pas si tu as lu mon post mais cela fait plusieurs semaines que je rencontre le même problème que toi. Voir ce post : http://forums.ixus.net/viewtopic.php?t=15596

J'ai un peu laissé tomber depuis.

J'ai juste une petite précision à donner. J'ai depuis testé un autre Client VPN. Il s'agit de Contivity VPN Client de Nortel Networks. Et celui-ci fonctionne sans aunce modification d'IpCop (1.3) et avec d'autres liaisons VPN actives sur IpCop.

Cela ne résoud en rien notre problème car j'ai toujours besoin de faire fonctionner le Client CheckPoint mais la faute n'en revient peut-être pas entièrement à IpCop !!

A suivre...

[bast44]

J'avais bien lu ton topic.

Pourquoi pas changer de client mais cela implique pas mal de changement puisque l'authentification se fait par un serveur Radius qui n'est plus maintenu et donc pas forcement compatible avec le contivity de chez Nortel...

J'ai vraiment l'impression qu'il manque pas grand chose...
Merci pour ta réponse.

Sébastien.