Authentification vpn avec certificats X509

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Authentification vpn avec certificats X509

Messagepar Franck78 » 29 Mai 2004 16:15

Bonjour,


J'essaie avec l'ami Popoch de mettre en place un vpn entre nos deux réseaux locaux.

Aucun problème en utilisant la classique "pre-sharedkey".
Mais cette méthode d'authentif reste basique, c'est pourquoi nous voulions passer en authentif PKI certif X509.


Donc la question :

Avec Ipcop 1.4b3, quelqu'un fait-il tourner un vpn et X509 ?
(Le système reste bloqué au "state main I3".)


Si oui, alors qu'il nous aiguille ;-)

Merci
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar guiguid » 29 Mai 2004 20:01

j'ai eu le meme probleme,
puis je suis re-passé en pre-shared key, qui fonctionne nikel depuis 2 mois
sans aucun problèmes (script de reconnection maison)

Salut.

Guillaume
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar Pabze » 30 Mai 2004 14:27

Bonjour a vous,

J'essai également de mettre en place un vpn entre un IP-Cop 1.4b3 (right = ipdynamique) et un second IP-Cop 1.4b3 (left = ipfixe free) aussi à l'aide des certificats.

Voila ce que logs nous dise :

Code: Tout sélectionner
20:25:51 pluto[542] loaded private key file '/var/ipcop/certs/hostkey.pem' (887 bytes)
20:25:51 ipsec__plutorun: 022 "VPN" we have no ipsecN interface for either end of this connection
20:25:51 ipsec__plutorun ...could not route conn "VPN"
20:25:51 pluto[542] "VPN": we have no ipsecN interface for either end of this connection
20:25:51 ipsec__plutorun: 022 "VPN" we have no ipsecN interface for either end of this connection
20:25:51 ipsec__plutorun ...could not start conn "VPN"


Sur quelle base (HowTo et docs) vous basez vous ?

J'utilise celle-ci sans grand succés :

http://www.heise.de/security/artikel/38014/0

Merci de votre aide,
PABZE.
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 30 Mai 2004 14:42

Quand tu bloqueras en MAIN_STATE_I3, tu pourras incriminer authentif/cryptage.
Pour l'instant, tes machines ne se voient pas encore...

Le champ $%#&! (dans son explication) à remplir est dans "parametres généraux" le champ hote ip local qui doit être résolu par l'IP RED de ta machine (résolu par dyndns si besoin est).

Les autres sont assez explicites.
-choix left/right ne change rien)
-sous réseau local: le green de la machine ou tu es
-serveur+sous-reseau distant: comme le nom l'indique
(c'est l'IP RED de l'autre peer bien sur, résolu par dyndns si besoin est)


Les deux sous réseaux ne PEUVENT PAS être identiques.


Il n'y a donc personne qui a réussi à faire fonctionner le VPN avec les certificats ????

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Gesp » 30 Mai 2004 17:52

Il y a des méthodes décrites avec machines windows
http://marc.theaimsgroup.com/?l=ipcop-d ... 706752&w=2

mais bizarrement pas entre 2 IPCop
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Franck78 » 30 Mai 2004 20:12

Non,
il n'y a nulle part expliqué comment doit être utilisée l'interface d'ipcop.

Quand je regarde le résultat produit, j'ai le
leftcert = hostcert de ma machine et*
rightcert = 'le certificat généré par ma machine'.

Alors que j'aurais tendance à utiliser celui du peer...
Quand je le fais, (option import) , c'est la débandade :

Le peer m'a envoyé son CAroot et un certificat pour moi. Théoriquement.
Import du CAroot : ok
Import du certif : erreur, pas de CA associée...!

Si je fais
Import de son CAroot (une deuxiéme fois donc) dans la définition de connexion,
là c'est accepté . Mais ca rime à rien.

J'essaie même pas de comprendre comment utiliser un CSR... !

Alors que ce sacré windows est heureux comme tout avec ce certif... Il demande même le password pour décrypter le certif, ce que ne fait jamais ipcop.

Ca doit être ce qui manque dans l'interface....

PS: les commandes openssl sont vraiment tout ce qu'il y a de plus imbitables ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Gesp » 31 Mai 2004 07:21

Je suis d'accord avec toi. Bizarrement dans le document, la configuration coté IPCop passe pour être acquise.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar touffator » 01 Juin 2004 12:49

Salut frank,

je suis heureux de voir ke je ne suis pas le seul a galéré avec les vpn :p
pour l'instant j'ai pas de solution a taporté mais si tu as unpeut de temps pour regarder j'avait posté sur le forum le probleme que j'avais pour faire fonctionner mon ip avec mes certificats...

viewtopic.php?t=17050&highlight=

je ne sait pas trop si c'est le meme probleme que toi mais le but recherché lui est le meme, si tu est intéressé pour qu'on cherche ensemble la dessus contact moi en mp...

Pour info j'ai testé avec différentes plateformes pour les vpn et je n'arrive toujours pas a les faire fonctionner sous ipcop :(

@++
TouF
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité