VPN Network to Host

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar boutette » 04 Fév 2003 23:14

Est-ce que quelqu'un a testé une liaison VPN entre un IpCop 1.2 et une station de travail itinérante Win2K ??
Avatar de l’utilisateur
boutette
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Fév 2003 01:00

Messagepar wann » 05 Fév 2003 12:03

Non, pas eu l'occasion, mais a priori ça fonctionne : <BR><!-- BBCode auto-link start --><a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR#Comment_connecter_une_machine_en" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR#Comment_connecter_une_machine_en</a><!-- BBCode auto-link end -->
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar joebar » 05 Fév 2003 12:14

Oui j'ai fait ca sur un client, ca marche au poil avec un client XP Pro, mais hier soir impossbible de le faire avec un XP Home, je pense que ce normale vu kil ne sais pas prendre de policys !!! <BR> <BR>Mais en tout cas avec le pro, ce top moumoune !!! <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar gogol33 » 05 Fév 2003 13:28

J'ai essayé, mais IPCOP ne m'ouvre pas le tunnel et XP pro ne trouve pas IPCOP !!!! <BR>J'ai essayé ce week end et je n'ai pas eu le temps de m'y repencher ...
ALEA JACTA EST !!!
(Rien ne sert de courrir, ca ne sert à rien !!!)
Jules César
Avatar de l’utilisateur
gogol33
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 345
Inscrit le: 26 Avr 2002 00:00
Localisation: Bordeaux

Messagepar boutette » 05 Fév 2003 17:29

Concernant la liaison VPN entre un IpCop 1.2 et un nomade Win2K, j’ai quelques soucis encore : <BR> <BR>J’ai bien repris la conf décrite dans le doc vpn de ipcop écrit par wann, <BR> <BR> Mon nomade arrive bien à se connecter à l’IpCop pour l’authentification Phase 1, comme le montre le dump de l’interface coté internet de l’ipcop : <BR> <BR>15:44:42.450720 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] <BR>15:44:43.450700 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] <BR>15:44:45.460952 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] <BR>15:44:49.471588 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] <BR>15:44:57.472023 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] <BR>15:45:29.380302 193.249.2.14.isakmp > 192.168.4.253.isakmp: isakmp: phase 1 I ident: [|sa] <BR> <BR>par contre il n’ya pas de retour car l’authentification n’aboutie pas <BR> <BR>coté ipcop, lors de l’authentification, les logs montre la tentative de connexion mais finissent par me donner les messages suivantss : <BR>Feb 5 15:44:57 omega pluto[7171]: packet from 193.249.2.14:500: ignoring Vendor ID payload <BR>Feb 5 15:44:57 omega pluto[7171]: | VID: 1e 2b 51 69 05 99 1c 7d 7c 96 fc bf b5 87 e4 61 <BR>Feb 5 15:44:57 omega pluto[7171]: | 00 00 00 02 <BR>Feb 5 15:44:57 omega pluto[7171]: packet from 193.249.2.14:500: initial Main Mode message received on 192.168.4.253:500 but no connection has been authorized <BR> <BR>J’ai recherché la cause des messages : « ignoring Vendor ID payload » et « initial Main Mode message received on 192.168.4.253:500 but no connection has been authorized” sans résultat pour mon cas <BR> <BR> <BR>Les logs de Win2K le montre bien, l’authentification vers Ipcop n’aboutie pas : <BR> <BR> 2-05: 15:44:11:304 Sending: SA = 0x00237920 to 81.49.254.172 <BR> 2-05: 15:44:11:304 ISAKMP Header: (V1.0), len = 216 <BR> 2-05: 15:44:11:304 I-COOKIE 7105cd20a73f9f1e <BR> 2-05: 15:44:11:304 R-COOKIE 0000000000000000 <BR> 2-05: 15:44:11:304 exchange: Oakley Main Mode <BR> 2-05: 15:44:11:304 flags: 0 <BR> 2-05: 15:44:11:304 next payload: SA <BR> 2-05: 15:44:11:304 message ID: 00000000 <BR> 2-05: 15:44:15:304 Handling Retransmit: sa 237920 handle c1320 context 2371b0 arg 2371b0 <BR> 2-05: 15:44:15:304 retransmit: sa = 00237920 centry 00000000 , count = 2 <BR> <BR> <BR> <BR>est-ce que quelqu’un a une idée ?? merci. <BR>
Avatar de l’utilisateur
boutette
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Fév 2003 01:00

Messagepar joebar » 05 Fév 2003 17:53

tu pourrais nous montrer tes fichiers de conf sur le client et le server ??? ca me parait bizarre de voir une @IP privée dans tes logs !! <BR> <BR>@+
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar boutette » 05 Fév 2003 18:38

--------------------------------------- <BR>côté ipcop, ipsec.conf: <BR> <BR>config setup <BR> interfaces="%defaultroute" <BR> klipsdebug=none <BR> plutodebug=all <BR> <BR>conn roadwarrior <BR> compress=no <BR> left=toto.dnsalias.org <BR> leftsubnet=192.168.5.0/24 <BR> leftnexthop=%defaultroute <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> right=%any <BR> rightsubnet= <BR> rightnexthop=%defaultroute <BR> auto=add <BR> <BR> <BR>------------------------------------------ <BR>côté nomade Win2K, ipsec.conf: <BR> <BR>conn roadwarrior <BR> left=toto.dnsalias.org <BR> leftsubnet=192.168.5.0/24 <BR> right=%any <BR> presharedkey=test <BR> network=auto <BR> auto=start <BR> pfs=yes <BR> <BR>--------------------------------------------- <BR>topologie : <BR> <BR>------- <BR>| @ | <BR>------- <BR> | <BR> | <BR>------- toto.dnsalias.org <BR>routeur ADSL <BR>-------- 192.168.4.254 <BR> | <BR> | <BR>-------- 192.168.4.253 <BR> ipcop <BR>-------- 192.168.5.254 <BR> | <BR> | <BR>LAN : 192.168.5.0/24 <BR> <BR> <BR>tous les paquets d'authentification isakmp arrive bien sur l'interface exterieur ipcop, <BR>plusieurs tentatives d'authentification sont réalisées sans succès comme détaillé précédemment. <BR> <BR>merci.
Avatar de l’utilisateur
boutette
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Fév 2003 01:00

Messagepar boutette » 06 Fév 2003 10:24

personne n'est intéressé par ce pb ?? à croire que ça marche chez tout le monde.. <BR> <BR>un coup de pouce serait le bien venue, merci.
Avatar de l’utilisateur
boutette
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Fév 2003 01:00

Messagepar joebar » 06 Fév 2003 13:01

dis moi tu as bien rajouter les deux lignes dans le fichier ipsec.secret pour ta connexion client 2K sur le ipcop ??? <BR> <BR>je pense que ca vient de la !!!
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar boutette » 06 Fév 2003 13:34

oui, les voici : <BR> <BR>toto.dnsalias.org 0.0.0.0 : PSK "test" <BR>toto.dnsalias.org %any : PSK "test" <BR>
Avatar de l’utilisateur
boutette
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Fév 2003 01:00

Messagepar joebar » 06 Fév 2003 17:24

autre suposition, ton client 2K, est-il dans un domaine avec une stratégie ???
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar boutette » 07 Fév 2003 13:06

stratégie de secu ok, mais qu'entends tu par domaine ??
Avatar de l’utilisateur
boutette
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Fév 2003 01:00

Messagepar remi » 07 Fév 2003 16:44

Dans les societes, il est frequent que les stations clientes se logguent a un controleur de domaine. Cela permet d'aplliquer des scripts. (entre autre) <BR>Et c un un maillon de la sécurité en entreprise. en effet, si un utilisateur ne se loggue pas, il n'aura pas acces aux ressources réseaux.
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar joebar » 07 Fév 2003 19:05

allez la suite : <BR> <BR>et donc avec cette autentification dans un domaine, le client 2k ou XP ou peu importe le windows, recoit une stratégie plus ou moins elaborée qui permet de definir tous les paramétres de la station et du compte user. <BR> <BR>Et par celle-ci on peut donc interdir tel ou tel options, le ipsec compris. DOnc si ce le cas il faudrait voir avec un admin si c'est modifier par une GPO 2000 ou un adm sous NT4. <BR> <BR>@+ <BR> <BR>essaye avec un xp ou 2000 de base qui ne soit pas un master tout deja configuré pour voir si ca marche. <BR> <BR>@+
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar phimi » 07 Fév 2003 23:43

Y'a peut être tout simplement, comme dans ma boite, un firewall qui controle et bloque les ports. J'ai exactement le même message d'erreur depuis mon bureau : <BR>09:25:25 firewall pluto[6263]: packet from 15.199.11.110:500: initial Main Mode message received on 80.15.162.231:500 but no connection has been authorized <BR>Par contre en me connectant depuis un site sans firewall (avec un modem par exemple), avec les même fichiers ipsec, c'est OK. <BR>Ne pas oublier aussi sous XP de couper le firewall interne...
Avatar de l’utilisateur
phimi
Premier-Maître
Premier-Maître
 
Messages: 59
Inscrit le: 15 Juil 2002 00:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité