[RESOLU]VPN host-to-lan avec windows98 -> sentinel

[alx_the_barbare]

Bonjour,

je galère, je galère....

J'essaye de mettre en place un VPN entre l'IPcop et Windows 98 sans succès (ça c'est clair !).
J'ai suivi les conseils de pkaer et belugha pour configurer le serveur VPN sous IPcop, ca semble correct... Mon probleme est une erreur 629 lorsque j'essaye d'etablir la connexion avec le client windows 98 "vous avez ete deconnecté du serveur, reessayez..."
Alors je vais voir dans var/log/messages et là j'ai bien des paquets qui sont arrivés (enfin je pense selon l'allure de ce qui s'affiche) mais y a rien d'autre. Donc je me dis, peut-etre que le firewall bloque la connection vpn, pourtant j'ai mis dans etc/rc.d/rc.firewall:
IPTABLES -I input -i ipsec0 -j accept
IPTABLES -I output -i ipsec0 -j accept
ce qui doit permettre l'acces.
Enfin, je me demande si c'est pas un pb d'authentification CHAP ou PAP... car je crois que windows utilise ce type d'authentification, alors dans var/ipcop/ppp/secrets, j'ai mis la ligne suivante:
monlogin * monpass * ---> ce qui veut dire que les connexions avec monlogin/monpass a partir de n'importe quelle IP sont acceptées, mais est-ce que ipcop a directement configuré l'authentification CHAP, ca je sais pas

voila voila.

donc, grosso modo, je patoge

si une ame charitable pouvait m'aider, ca me ferait super plaisir

merci

[alx_the_barbare]

...et quand je fais netstat -a sur l'ipcop je devrais avoir une connection correspondant a mon vpn en ecoute, meme si personne n'est connecté, nan ?

[pkaer]

Salut,

Peux-tu donner un peu plus de détails sur les logs d'IPSEC. A priori tu dois être sur une version 1.4 d'IPCop pour les avoir dans /var/log/messages. En 1.3 ils sont dans /var/log/secure.

Que te donnes la commande /etc/rc.d/ipsec --status ??

A mon avis, tu n'as pas besoin de mettre ton login/mot de passe dans ipsec.secrets !!

je t'avais posté une réponse sur le topic viewtopic.php?t=18284&start=15

@+
PK

[pkaer]

@alx_the_barbare,

Pardon je n'avais pas vu que tu parlais de /var/ipcop/ppp/secrets (tu es donc bien en 1.4).
Par contre je ne vois pas trop le rapport. Normalment ce fichier ne contient que les éléments identifiant/mot de passe de ta connexion chez ton FAI ( je ne connais pas, ce n'est donc pas une affirmation)

Que donne tcpdump ?

@+
PK

[poudre]

bonsoir,

tu peux aussi rajouter

IPTABLES -I FORWARD -i ipsec0 -j accept

Pascal.

[alx_the_barbare]

bonjour bonjour,

Merci de vos réponses...

alors, quand je fais ipsec --status, j'obtiens:

IPsec running
pluto pid 444

Donc le VPN est actif -> merci 1

Dans ipsec.secrets, je place ma presharedkey, comme enoncé dans les tutoriaux.

Dans var/ipcop/ppp/secrets il y a le login/mot de passe pour identification chap ou pap, et comme Windows98 me demande un login/mot de passe je pensais qu'il fallait en placer un dans ce fichier...

tcpdump n'est pas très bavard... j'ai des paquets isakmp qui sont echangés en phase 1 puis phase 2 puis c'est tout.

J'ai aussi rajouté IPTABLES -I FORWARD -i ipsec0 -j ACCEPT

Mais j'ai l'impression que c'est le client 98 qui fonctionne pas, j'aimerai effectivement bien que tu me donnes la version 1.3 de sentinel ou tout autre client gratuit pour Windows 98 pour pouvoir etablir ma connexion vpn, parce que, bien qu'il y ai des tutoriaux expliquant comment configurer son client 98 pour faire un vpn avec les outils microsoft, j'ai l'impression que ca marche pas terrible.

Etes-vous donc d'accord que le serveur vpn a l'air de fonctionner ?

Merci de vos réponses, ça ouvre mes yeux tout fermés du vendredi matin...

[poudre]

Salut,

Et la commande ipsec look cela donne quoi ?

Pour moi avec un vpn entre ipcop 1.3 et un cisco voila ce que cela donne coté IPCop

ipsec look
firewall Fri Jul 2 10:25:35 CEST 2004
192.168.143.112/28 -> aa.bb.cc.2/32 => tun0x1018@dd.ee.ff.86 esp0x6a4f174f@dd.ee.ff.86 (0)
ipsec0->eth2 mtu=16260(1500)->1500
esp0x1b748883@xx.yy.zz.123 ESP_3DES_HMAC_SHA1: dir=in src=dd.ee.ff.86 iv_bits=64bits iv=0x84436fc6d54944a2 ooowin=64 alen=160 aklen=160 eklen=192 life(c,s,h)=addtime(1027,0,0)
esp0x6a4f174f@dd.ee.ff.86 ESP_3DES_HMAC_SHA1: dir=out src=xx.yy.zz.123 iv_bits=64bits iv=0xfd0998c1c8253173 ooowin=64 alen=160 aklen=160 eklen=192 life(c,s,h)=addtime(1027,0,0)
tun0x1017@xx.yy.zz.123 IPIP: dir=in src=dd.ee.ff.86 life(c,s,h)=addtime(1027,0,0)
tun0x1018@dd.ee.ff.86 IPIP: dir=out src=xx.yy.zz.123 life(c,s,h)=addtime(1027,0,0)
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 xx.yy.zz.121 0.0.0.0 UG 0 0 0 eth2
aa.bb.cc.2 xx.yy.zz.121 255.255.255.255 UGH 0 0 0 ipsec0
xx.yy.zz.120 0.0.0.0 255.255.255.248 U 0 0 0 eth2
xx.yy.zz.120 0.0.0.0 255.255.255.248 U 0 0 0 ipsec0

192.168.143.112/28 ipcop green (réseau)
aa.bb.cc.2/32 autre bout du vpn ( le reseau distant se limite à une machine)
dd.ee.ff.86 adresse du routeur / vpn CISCO distant
xx.yy.zz.121 routeur Internet local
xx.yy.zz.123 ipcop red

en espéreant que cela peut faire avancer les choses..

Pascal.

[pkaer]

@alx_the_barbare

Salut,

Oui, a priori ton service VPN fonctionne sur ton IPCop


SSH Sentinel 1.3.2.2 fait 14Mo.

Je te le mets sur un serveur mais pas avant dimanche apm car je ne suis pas chez moi actuellement.

je te redonne tous les détails en message privé dimanche. Si des fois j'oubliais (ca m'arrive), et que tu ne voyais rien dimanche soir, rappelles le moi.

@+
PK

[alx_the_barbare]

merci pkaer, c'est bien gentil.

Bah sinon, oui c'est clair que mon serveur vpn fonctionne, j'ai en effet testé avec un XP comme client et ca marche tres bien, aucun probleme pour pinger l'interface green... alala... windows 98, quelle m___e.

Je vous remercie tous pour m'avoir aidé a comprendre le phenomene.

Bah sinon je vais passer ce sujet a resolu puisque je pense qu'avec sentinel y aura aucun souci, j'attend avec impatience ce soft.

Merci encore

@+