Bonjour,
J'ai une bête question de newbie, j'ai fait une recherche sur ce forum et d'autres mais sans trouver de réponse.
Je cherche à monter un VPN entre 2 réseaux distants via des firewall RedHat 9.0 et Freeswan 1.99. Actuellement j'ai la configuration suivante pour les tests :
PC1 (192.168.128.119)---> FW1 (192.168.128.123 & 10.10.10.2)---> FW2 (10.10.10.1 & 192.168.17.1)---> PC2 (192.168.17.2)
L'objectif est d'arriver à faire un ping du PC1 vers le PC2 et vice versa. Actuellement, le PC1 ping "son" firewall, idem pour le PC2, de plus les 2 firewall se ping correctement.
J'ai les fichiers ipsec.conf suivants (en notant ce que j'ai ajouté) :
FW1 :
config setup
interfaces="ipsec0=eth1"
conn FW1-FW2
left=10.10.10.2
leftsubnet=192.168.128.0/24
right=10.10.10.1
rightsubnet=192.168.17.0/24
pfs=yes
authby=secret
type=tunnel
auto=add
FW2 :
config setup
interfaces="ipsec0=eth1"
conn FW2-FW1
left=10.10.10.2
leftsubnet=192.168.128.0/24
right=10.10.10.1
rightsubnet=192.168.17.0/24
pfs=yes
authby=secret
type=tunnel
auto=add
J'ai écrit ceci dans le fichier ipsec.secrets :
10.10.10.1 10.10.10.2: PSK "toto"
j'ai inversé les IP pour l'autre fichier de configuration.
Quand j'activais le service ipsec, je recevais un warning qui me demandait de modifier le fichier /proc/sys/net/ipv4/conf/eth1/rp_filter en mettant la valeur 0. Je l'ai fait pour les 2 firewall
Les firewall sont reliés par un cable croisé (à leur interface eth1), est-ce que ça pose un problème particulier ? notamment je n'ai pas de passerelle "leftnexthop" à positionner puisque la connexion est directe.
Quand je démarre les connexions (ipsec auto --up FW1-FW2), j'obtiens le résultat suivant :
104 "FW1-FW2" #1: STATE_MAIN_I1: initiate
et ça ne va pas plus loin, les deux connexions s'attendent sans se connecter pour de bon.
ça fait un long moment que je cherche et là je commence un peu à craquer. Ma dernière théorie fumeuse est de dire que ça ne peut pas marcher quand on utilise un cable croisé entre les 2 firewall, j'ai bon ou j'ai oublié quelque chose ?
Merci
Pb de configuration VPN Freeswan
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
Pb de configuration VPN Freeswan
par Feldrin » 31 Mars 2004 15:30
- Feldrin
- Matelot
- Messages: 3
- Inscrit le: 31 Mars 2004 15:08
par Feldrin » 28 Mai 2004 15:34
J'up mon sujet car j'ai avancé mais je n'ai toujours pas de solution.
Mon objectif est toujours de connecter 2 LAN par un VPN pour faire du VNC. Je ne passe plus par un cable croisé entre les 2 firewalls mais par Internet. En clair ça donne ceci :
LAN 1 (192.168.128.X)--->FW1 (192.168.128.1)------INTERNET-----<---FW2 (172.16.1.1)<------LAN 2 (172.16.1.X)
Le VPN s'établit correctement mais les machines du LAN1 ne peuvent pas pinger celles du LAN2 et vice versa.
ipsec verify me donne ceci : Does the machine have at least one non-private address [FAILED]
Ce qui est étonnant car les firewall ont une IP publique et les 2 LAN peuvent sortir sur Internet sans problèmes.
J'ai aussi trouvé le message d'erreur suivant : shunt SA of DROP or no eroute: dropping.
J'ai l'impression que le VPN s'établit bien mais que j'ai un problème de route qui font que les paquets ne reviennent pas. Question config les firewall sont en RedHat 9 + Freeswan 1.99 et les PC du LAN qui essayent désespéremment de se pinger sont en Win 2000.
Des idées ? il vous faut plus d'infos ?
Merci
Mon objectif est toujours de connecter 2 LAN par un VPN pour faire du VNC. Je ne passe plus par un cable croisé entre les 2 firewalls mais par Internet. En clair ça donne ceci :
LAN 1 (192.168.128.X)--->FW1 (192.168.128.1)------INTERNET-----<---FW2 (172.16.1.1)<------LAN 2 (172.16.1.X)
Le VPN s'établit correctement mais les machines du LAN1 ne peuvent pas pinger celles du LAN2 et vice versa.
ipsec verify me donne ceci : Does the machine have at least one non-private address [FAILED]
Ce qui est étonnant car les firewall ont une IP publique et les 2 LAN peuvent sortir sur Internet sans problèmes.
J'ai aussi trouvé le message d'erreur suivant : shunt SA of DROP or no eroute: dropping.
J'ai l'impression que le VPN s'établit bien mais que j'ai un problème de route qui font que les paquets ne reviennent pas. Question config les firewall sont en RedHat 9 + Freeswan 1.99 et les PC du LAN qui essayent désespéremment de se pinger sont en Win 2000.
Des idées ? il vous faut plus d'infos ?
Merci
- Feldrin
- Matelot
- Messages: 3
- Inscrit le: 31 Mars 2004 15:08
par vanvan » 28 Mai 2004 16:19
si t'as un firewall entre tes deux lan, vérifies que tes services sur ce même firewall sont bien autorisés et que tes lan sont bien autorisés à sortir ou à entrer dans le cas de retour de requêtes.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Fri April 15, 2005, Seo San-moon
-
vanvan - Amiral
- Messages: 1270
- Inscrit le: 14 Mars 2003 01:00
- Localisation: la roche sur yon / nantes
par Feldrin » 28 Mai 2004 16:25
Merci pour ta réponse
J'ai 2 firewalls identiques entre les 2 LAN. Quels services dois-je vérifier ? J'ai des règles iptables pour permettre les accès selon les différents ports, il y a une vérification supplémentaire à faire ?
J'ai 2 firewalls identiques entre les 2 LAN. Quels services dois-je vérifier ? J'ai des règles iptables pour permettre les accès selon les différents ports, il y a une vérification supplémentaire à faire ?
- Feldrin
- Matelot
- Messages: 3
- Inscrit le: 31 Mars 2004 15:08
4 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité