VPN Network to Host

par **boutette** » 04 Fév 2003 23:14

Est-ce que quelqu'un a testé une liaison VPN entre un IpCop 1.2 et une station de travail itinérante Win2K ??

par **wann** » 05 Fév 2003 12:03

Non, pas eu l'occasion, mais a priori ça fonctionne : <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR#Comment_connecter_une_machine_en" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR#Comment_connecter_une_machine_en</a>

par **joebar** » 05 Fév 2003 12:14

Oui j'ai fait ca sur un client, ca marche au poil avec un client XP Pro, mais hier soir impossbible de le faire avec un XP Home, je pense que ce normale vu kil ne sais pas prendre de policys !!! Mais en tout cas avec le pro, ce top moumoune !!! <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

par **gogol33** » 05 Fév 2003 13:28

J'ai essayé, mais IPCOP ne m'ouvre pas le tunnel et XP pro ne trouve pas IPCOP !!!! J'ai essayé ce week end et je n'ai pas eu le temps de m'y repencher ...

par **boutette** » 05 Fév 2003 17:29

Concernant la liaison VPN entre un IpCop 1.2 et un nomade Win2K, j’ai quelques soucis encore : J’ai bien repris la conf décrite dans le doc vpn de ipcop écrit par wann, Mon nomade arrive bien à se connecter à l’IpCop pour l’authentification Phase 1, comme le montre le dump de l’interface coté internet de l’ipcop : 15:44:42.450720 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] 15:44:43.450700 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] 15:44:45.460952 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] 15:44:49.471588 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] 15:44:57.472023 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] 15:45:29.380302 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] par contre il n’ya pas de retour car l’authentification n’aboutie pas coté ipcop, lors de l’authentification, les logs montre la tentative de connexion mais finissent par me donner les messages suivantss : Feb 5 15:44:57 omega pluto[7171]: packet from 193.249.2.14:500: ignoring Vendor ID payload Feb 5 15:44:57 omega pluto[7171]: | VID: 1e 2b 51 69 05 99 1c 7d 7c 96 fc bf b5 87 e4 61 Feb 5 15:44:57 omega pluto[7171]: | 00 00 00 02 Feb 5 15:44:57 omega pluto[7171]: packet from 193.249.2.14:500: initial Main Mode message received on 192.168.4.253:500 but no connection has been authorized J’ai recherché la cause des messages : « ignoring Vendor ID payload » et « initial Main Mode message received on 192.168.4.253:500 but no connection has been authorized” sans résultat pour mon cas Les logs de Win2K le montre bien, l’authentification vers Ipcop n’aboutie pas : 2-05: 15:44:11:304 Sending: SA = 0x00237920 to 81.49.254.172 2-05: 15:44:11:304 ISAKMP Header: (V1.0), len = 216 2-05: 15:44:11:304 I-COOKIE 7105cd20a73f9f1e 2-05: 15:44:11:304 R-COOKIE 0000000000000000 2-05: 15:44:11:304 exchange: Oakley Main Mode 2-05: 15:44:11:304 flags: 0 2-05: 15:44:11:304 next payload: SA 2-05: 15:44:11:304 message ID: 00000000 2-05: 15:44:15:304 Handling Retransmit: sa 237920 handle c1320 context 2371b0 arg 2371b0 2-05: 15:44:15:304 retransmit: sa = 00237920 centry 00000000 , count = 2 est-ce que quelqu’un a une idée ?? merci.

par **joebar** » 05 Fév 2003 17:53

tu pourrais nous montrer tes fichiers de conf sur le client et le server ??? ca me parait bizarre de voir une @IP privée dans tes logs !! @+

par **boutette** » 05 Fév 2003 18:38

--------------------------------------- côté ipcop, ipsec.conf: config setup interfaces="%defaultroute" klipsdebug=none plutodebug=all conn roadwarrior compress=no left=toto.dnsalias.org leftsubnet=192.168.5.0/24 leftnexthop=%defaultroute type=tunnel authby=secret pfs=yes right=%any rightsubnet= rightnexthop=%defaultroute auto=add ------------------------------------------ côté nomade Win2K, ipsec.conf: conn roadwarrior left=toto.dnsalias.org leftsubnet=192.168.5.0/24 right=%any presharedkey=test network=auto auto=start pfs=yes --------------------------------------------- topologie : ------- | @ | ------- | | ------- toto.dnsalias.org routeur ADSL -------- 192.168.4.254 | | -------- 192.168.4.253 ipcop -------- 192.168.5.254 | | LAN : 192.168.5.0/24 tous les paquets d'authentification isakmp arrive bien sur l'interface exterieur ipcop, plusieurs tentatives d'authentification sont réalisées sans succès comme détaillé précédemment. merci.

par **boutette** » 06 Fév 2003 10:24

personne n'est intéressé par ce pb ?? à croire que ça marche chez tout le monde.. un coup de pouce serait le bien venue, merci.

par **joebar** » 06 Fév 2003 13:01

dis moi tu as bien rajouter les deux lignes dans le fichier ipsec.secret pour ta connexion client 2K sur le ipcop ??? je pense que ca vient de la !!!

par **boutette** » 06 Fév 2003 13:34

oui, les voici : toto.dnsalias.org 0.0.0.0 : PSK "test" toto.dnsalias.org %any : PSK "test"

par **joebar** » 06 Fév 2003 17:24

autre suposition, ton client 2K, est-il dans un domaine avec une stratégie ???

par **boutette** » 07 Fév 2003 13:06

stratégie de secu ok, mais qu'entends tu par domaine ??

par **remi** » 07 Fév 2003 16:44

Dans les societes, il est frequent que les stations clientes se logguent a un controleur de domaine. Cela permet d'aplliquer des scripts. (entre autre) Et c un un maillon de la sécurité en entreprise. en effet, si un utilisateur ne se loggue pas, il n'aura pas acces aux ressources réseaux.

par **joebar** » 07 Fév 2003 19:05

allez la suite : et donc avec cette autentification dans un domaine, le client 2k ou XP ou peu importe le windows, recoit une stratégie plus ou moins elaborée qui permet de definir tous les paramétres de la station et du compte user. Et par celle-ci on peut donc interdir tel ou tel options, le ipsec compris. DOnc si ce le cas il faudrait voir avec un admin si c'est modifier par une GPO 2000 ou un adm sous NT4. @+ essaye avec un xp ou 2000 de base qui ne soit pas un master tout deja configuré pour voir si ca marche. @+

par **phimi** » 07 Fév 2003 23:43

Y'a peut être tout simplement, comme dans ma boite, un firewall qui controle et bloque les ports. J'ai exactement le même message d'erreur depuis mon bureau : 09:25:25 firewall pluto[6263]: packet from 15.199.11.110:500: initial Main Mode message received on 80.15.162.231:500 but no connection has been authorized Par contre en me connectant depuis un site sans firewall (avec un modem par exemple), avec les même fichiers ipsec, c'est OK. Ne pas oublier aussi sous XP de couper le firewall interne...

VPN Network to Host

Qui est en ligne ?