VPN - net-to-net avec ipcop1.4.0b4

[gui82]

salut,

j'essaye de mettre en place un petit réseau VPN net-to-net, tout simple, avec 2 ipcop 1.4.0b4 mais j'arrive pas à établir la route avec ipsec. Voilà comment ce présente le réseau :

PC1--------ipcop1-----------ipcop2---------PC2

subnet gauche : 197.0.0.0/255.0.0.0

ipcop1 : red : 10.0.0.1

ipcop2 : red : 10.0.0.2

subnet droit : 192.168.0.0/255.255.255.0

voilà ce que j'ai dans ipsec.conf de ipcop1 (celui d'ipcop2 est identique):

<SNIP config setup et conn %default>
conn virtualnetwork
right=10.0.0.1
rightsubnet=197.0.0.0/255.0.0.0
rightnexthop=%defaultroute
left=10.0.0.2
leftsubnet=196.168.0.0/255.255.255.0
leftnexthop=%defaultroute
dpddelay=30
dpdtimeout=120
dpdaction=hold
authby=secret
auto=start

ipsec.secrets:

10.0.0.1 10.0.0.2 : PSK "******"


j'ai fait un recherche sur ce forum et je suis tombé sur quelques astuce pour établir la route mais ça semble ne pas fonctionner:

ipsec setup --restart => commande setup n'existe pas
ipsec auto --add virtualnetwork => error à cause des %defaultroute

je dois me planté quelque part, mais où?

[Franck78]

C'est peut-être les IPs privées sur RED qui ne passent pas. Essaie avec deux IPs publiques.

Idem pour GREEN: utilise cette fois un plage privée !

(plages différentes sur chaque green).



bye

[gui82]

changé les ip.


leftsubnet : 192.168.0.0/255.255.255.128
rightsubnet : 192.168.0.128/255.255.255.128

en red j'utilise l'adresse 20.0.0.1 et 20.0.0.2

j'y arrive toujours pas

[neo_hijacker]

il faut deux classes d'iP différentes sur le réseau de gauche et droite

192.168.0.x d'un coté et 192.168.1.x de l'autre par exemple

[Franck78]

Est-ce que les deux machines se pinguent au moins ?

Pourquoi ce masque et numéro de réseau compliqué ?

192.168.10.x / 24
192.168.1.x / 24 doit le faire un peu plus simplement !

[touffator]

il faut deux classes d'iP différentes sur le réseau de gauche et droite

192.168.0.x d'un coté et 192.168.1.x de l'autre par exemple

sans vouloir te contredire neo
mais c'est deux classe différente regarde le mask de sous réseau

pour les adresses red ca change pas grand chose k'elles soient publique ou privé car j'ai fait un vpn intra site avec des adresses privé et ca marchais (192.168.21.x) il suffit juste que les ipcop se ping

++
TouF

[gui82]

les ipcops se ping, ça ya pas de problème

l'adresse réseau c'était pour creer des sous-réseaux à l'interieur d'une même ip privé.
Mais là je viens de rechanger comme tu viens de dire...

mais je ne vois pas de modification dans la table de routage des ipcop. Je vois les interface ipsec après un 'ifconfig -a' mais je n'arrive pas à les spécifier dans la table de routage, je crois avoir lu que normalement on devrait voir ce type d'interface à cet endroit, non?

[touffator]

oui normalement tes route se crées toutes seule au lancement du VPN

Chez moi

Code: Tout sélectionner

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.254.254 *               255.255.255.255 UH    0      0        0 ppp0
192.168.254.254 *               255.255.255.255 UH    0      0        0 ipsec0
10.0.0.138      *               255.255.255.254 U     0      0        0 eth3
192.168.81.0    192.168.254.254 255.255.255.0   UG    0      0        0 ipsec0
10.15.1.0       phoebe.gdp.lan  255.255.255.0   UG    0      0        0 eth2
192.168.20.0    192.168.254.254 255.255.252.0   UG    0      0        0 ipsec0
10.10.0.0       *               255.255.0.0     U     0      0        0 eth0
10.11.0.0       *               255.255.0.0     U     0      0        0 eth1
10.15.0.0       *               255.255.0.0     U     0      0        0 eth2
10.0.0.0        192.168.254.254 255.0.0.0       UG    0      0        0 ipsec0
default         192.168.254.254 0.0.0.0         UG    0      0        0 ppp0


et ton VPN passe t'il en OPEN quand tu le relance ?

[gui82]

bah non... j'ai toujours eu FERME... pour les 2 ipcops

[gui82]

personne aurait une expliquation sur la raison que je n'arrive pas à avoir un état ouvert de ma connexion ?

[gui82]

bon, j'ai quasiment résolu mon problème. en gros, J'ai réécrit mon ipsec.conf, il ressemble à ça :

config setup
interfaces="ipsec0=eth1"

conn virtualnetwork
left=20.0.0.1
compress=no
leftsubnet=197.0.0.0/255.0.0.0
right=20.0.0.2
rightsubnet=192.168.1.0/24
auto=add

je n'ai pas les leftnexthop ou rightnexthop, car en mettant %defaultroute, en faisant 'ipsec auto --add virtualnetwork', j'obtient

ipsec_auto: fatal error in "virtualnetwork": %defaultroute requested but not known

enfin bref, en les virant j'arrive à avoir une connexion en open. j'ai une table de routage correct... mais je n'arrive pas à pinguer les interfaces green de l'ipcop opposé

quelqu'un à une idée?

[gui82]

voilà ce que j'ai dans les logs :

Jun 15 11:24:04 ipcop pluto[475]: Starting Pluto (Openswan Version 1.0.1)
Jun 15 11:24:04 ipcop pluto[475]: including X.509 patch with traffic selector
(Version 0.9.37)
Jun 15 11:24:04 ipcop pluto[475]: including NAT-Traversal patch (Version 0.6)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_enc(): Activating OAKLEY_AES
CBC: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_enc(): Activating OAKLEY_BLO
FISH_CBC: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_enc(): Activating OAKLEY_CAS
_CBC: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_enc(): Activating OAKLEY_SER
ENT_CBC: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_hash(): Activating OAKLEY_SH
2_256: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_hash(): Activating OAKLEY_SH
2_512: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_enc(): Activating OAKLEY_TWO
ISH_CBC: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: ike_alg_register_enc(): Activating OAKLEY_SSH
PRIVATE_65289: Ok (ret=0)
Jun 15 11:24:04 ipcop pluto[475]: Changing to directory '/etc/ipsec.d/cacerts'
Jun 15 11:24:04 ipcop pluto[475]: Warning: empty directory
Jun 15 11:24:04 ipcop pluto[475]: Changing to directory '/etc/ipsec.d/crls'
Jun 15 11:24:04 ipcop pluto[475]: Warning: empty directory
Jun 15 11:24:04 ipcop pluto[475]: OpenPGP certificate file '/etc/pgpcert.pgp' n
t found
Jun 15 11:24:05 ipcop pluto[475]: listening for IKE messages
Jun 15 11:24:05 ipcop pluto[475]: no public interfaces found
Jun 15 11:24:05 ipcop pluto[475]: loading secrets from "/etc/ipsec.secrets"
Jun 15 11:24:06 ipcop ipsec__plutorun: 003 no public interfaces found

[versi]

g exactement le meme probleme

d'un cote g un 192.168.0.0/255.255.255.0
et de l'autre un 192.168.1.0/255.255.255.0
g utilisé la doc pour faire un vpn entre une 1.3 et une 1.4 meme si les 2 sont en 1.4

Le vpn reste fermé quoique je fasse.
Mes ipcop ne connaissent l'option setup d'ipsec. Pareil aussi pour le add qui m'affichent un
ipsec_auto: fatal error in "versimagnum": %defaultroute requested but not known
Si quelqu'un a une solution......

[mad_dog]

Allez ... et de trois j'ai le meme soucis !!!

j'ne comprends pas ...

n'y aurait'il pas moyen de quelqu'un nous fasse une p'tite doc (capt. d'écran + fichier de conf. )... plus récente que les anciens HOW-TO d'ipcop0.1 meme si je vous l'accorde le principe de change pas !!!!

Merci d'avance !!!