[ANNONCE] Howto IPCop à IPCop en x509

[sisg]

Bonjour à tous,

Après de long et long pénible test...........

Moi et Franck78 avons fait des demandes répétitives à ce sujet sur le site des développeurs de IPCop pour savoir s'il était possible d'avoir un Howto et/ou s'avoir si cette option était valide !!!

Alors ce soir avec l'aide précieuse de Mark Wormgoor (Howto anglais) et Franck78, j'ai traduit en français la version anglaise de ce HowTo

J'ai testé et ça FONCTIONNE D'un IPCop à IPCop avec certifica x509

Voici ce bref Howto en français:

Alors nous avons firewall IPCop1 et IPCop2

1) Sur IPCop1, Générer les Certifica racine (CA) et Système (Host) et télécharger les sur votre disque dur.

2) Sur IPCop2, Générer les Certifica racine (CA) et Système (Host) et télécharger les sur votre disque dur.

3) Sur IPCop1 télécharger le Certifica racine (CA) du IPCop2

4) Sur IPCop1 créer un connection Réseau à Réseau du côté gauche (LEFT) tout en téléchargent le certifica système (host) du IPCop2.

5) Sur IPCop2 télécharger le Certifica racine (CA) du IPCop1

5) Sur IPCop2 créer un connection Réseau à Réseau du côté droite (RIGHT) tout en téléchargent le certifica système (host) du IPCop1. (Dans mon cas ça été encore le fichier CA)

NOTE: Ne pas oublier d'inverser les valeurs du sous-réseau local (IPCop2) avec celui du distant (IPCop1)

C'est TOUT !!!

Si vous voulez la version anglaise de ce Howto créé par Mark Wormgoor, elle est dipo sur la liste de devel de IPCop.


@+

Snoopyski

[guiguid]

Merci a vous trois, c'est vraiement super.
Je vais tster des cette semaine.

[riri186]

Bonjour à tous,

si je peux me permettre un ajout qui peut faire gagner un peu de temps:

le certificat Racine CA généré est:

/var/ipcop/ca/cacert.pem

le certificat Systeme généré est:

/var/ipcop/certs/hostcert.pem

Je précise cela parceque j'ai passé un peu de tps à les chercher...

si ca peut aider... en tout cas ca me permettra au moins de retrouver l'info ici lorsque j'en aurais à nouveau besoin..

Thierry

[Scooty]

pourrais tu m'indiquer comment on génère ces fichiers avec la ligne de commande adéquate?
est ce qu'on peut toujours générer ces fameux fichiers avec la version 1.4 d'ipcop?

Bonjour à tous,

si je peux me permettre un ajout qui peut faire gagner un peu de temps:

le certificat Racine CA généré est:

/var/ipcop/ca/cacert.pem

le certificat Systeme généré est:

/var/ipcop/certs/hostcert.pem

Je précise cela parceque j'ai passé un peu de tps à les chercher...

si ca peut aider... en tout cas ca me permettra au moins de retrouver l'info ici lorsque j'en aurais à nouveau besoin..

Thierry

[guiguid]

est ce qu'on peut toujours générer ces fameux fichiers avec la version 1.4 d'ipcop?

la signature de sisg indique qu'il est en 1.4.0 finale

pourrais tu m'indiquer comment on génère ces fichiers avec la ligne de commande adéquate?

fais-le plutot par l'interfave WEB, RPV, "generer les cerificats racine ..."

[sisg]

Salut, Je te confirme que ça fonctionne merveilleusement bien en IPCop 1.4.0 Finale

Pour ce qui est des fichiers racines et autres, tu n'as qu'à cliquer sur les disquettes dans la section VPN et tu pourra les téléchargers !!!

@+

Snoopyski

[gzav]

Salut !

J'ai suivi à la lettre le howto ci dessus, j'ai moi meme deux ipcops 1.4.0 en version finale avec lesquels je veux monter mon petit RPV.

Seulement, après avoir suivi à la lettre tout le procédure en ayant bien pris soin de remettre à zéro les configs, cela ne marche pas.

les journaux IPSec donnent de chaque coté :

Code: Tout sélectionner

12:11:35 pluto[2901] "monrpv": we have no ipsecN interface for either end of this connection

J'ai bien pris soin de générer les certifs des deux cotés, de les récupérer, de transférer les certifs systemes. de transferer les certifs hosts lors de la création du rpv net to net de chaque coté et donc rien ne passe...

Ai-je oublié quelque chose ? y-a-t-il une astuce ?

Merci
A+
Gzav

Mon premier ipcop est derriere un modem adsl ethernet, le second est derriere un module VSAT. si ca peux faire avancer le "réfléchissement"

[Scooty]

une autre ptite question les zamis.. j'ai un doute d'un coup.. faut-il inverser left et right d'un ipcop a l'autre?.
je m'explique.. pour ipcop1 par ex je mets left=<ip ipcop1> et right=<ip ipcop2>
faut-il que j'échange de l'autre coté? à savoir sur ipcop2 mettre left=<ip ipcop 2> et right=<ip ipcop 1>?

Salut, Je te confirme que ça fonctionne merveilleusement bien en IPCop 1.4.0 Finale

Pour ce qui est des fichiers racines et autres, tu n'as qu'à cliquer sur les disquettes dans la section VPN et tu pourra les téléchargers !!!

@+

Snoopyski

[sisg]

Je ne comprend pas tr`s bien ta question mais, du côté IPCop1 tu mets LEFT avec comme serveur distant les info de ton IPCop2 et de l'autre tu mets RIGHT avec serveur distant les info de ton IPCop1...

Simple non ?

@+

Snoopyski

[Scooty]

ok on n'inverse pas donc...
eh bien j'ai un soucis..
lorsque je suis votre méthode j'obtiens ceci coté ipcop 1 lors de la connexion:

Oct 13 15:37:56 ipcop pluto[529]: "ConSerli" #1: responding to Main Mode
Oct 13 15:37:56 ipcop pluto[529]: "ConSerli" #1: transition from state (null) to state STATE_MAIN_R1
Oct 13 15:38:03 ipcop pluto[529]: "ConSerli" #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
Oct 13 15:38:03 ipcop pluto[529]: "ConSerli" #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Oct 13 15:38:04 ipcop pluto[529]: "ConSerli" #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=xx, ST=xxx, O=xxx, OU=xxx, CN=lns-p19-27f-xx-xx-xx-xx.adsl.proxad.net'
Oct 13 15:38:04 ipcop pluto[529]: "ConSerli" #1: Issuer CRL not found
Oct 13 15:38:04 ipcop pluto[529]: "ConSerli" #1: Issuer CRL not found


ca vous dis quelque chose ce "Issuer CRL not found" ?

j'ai aussi ce message au début du lancement du daemon ipsec:

Oct 13 15:52:28 ipcop pluto[4196]: loaded cacert file 'cakey.pem' (1679 bytes)
Oct 13 15:52:28 ipcop pluto[4196]: error in X.509 certificate

Je ne comprend pas tr`s bien ta question mais, du côté IPCop1 tu mets LEFT avec comme serveur distant les info de ton IPCop2 et de l'autre tu mets RIGHT avec serveur distant les info de ton IPCop1...

Simple non ?

@+

Snoopyski

[sisg]

Tu peux essayé ceci:

Nom d'hôte ou IP locale du RPV: Mettre l'adresse IP statique ou bien ton dns commes ex: blabla.dyndns.org ou blabla.tzo.com , etc.

Ne met pas: lns-p19-27f-81-56-187-56.adsl.proxad.net a moins que ce soit ton DNS (IP de RED)???

Fait ça des deux côté, recrée les fichiers racine et télécharges-les des deux côtés...

Refait la procédure (Howto)...

tient moi au courant !

@+

[Scooty]

ok je vais tenter avec mon ip .. par contre petite question quand meme..
lorsque l'on uploade par ex le certificat de l'ipcop1 sur l'ipcop2 que doit-on mettre comme "Nom de l'autorité de certification:" ? est ce que c'est le "nom d'hote d'icpop" qu'on a mis lors de la génération du certificat sur ipcop2?
merci de me répondre aussi vite.. c'est sympa de m'aider ainsi

Tu peux essayé ceci:

Nom d'hôte ou IP locale du RPV: Mettre l'adresse IP statique ou bien ton dns commes ex: blabla.dyndns.org ou blabla.tzo.com , etc.

Ne met pas: lns-p19-27f-xx-xx-xx-xx.adsl.proxad.net a moins que ce soit ton DNS (IP de RED)???

Fait ça des deux côté, recrée les fichiers racine et télécharges-les des deux côtés...

Refait la procédure (Howto)...

tient moi au courant !

@+

[sisg]

Je crois que oui... mais je crois que tu peux aussi donner le nom de IPCop ou nom du client ,etc.

[Scooty]

ben par défaut il prend la résolution de l'adresse ip qu'il voit en local
bon en ce qui me concerne jen'arrive a rien..
en fait ca $%#&! dès le départ... quand je génère les certificats.. dès que je lance le daemon ipsec (sans paramétrer de connexion dans un premier temps) j'ai ce message dans /var/log/message:

Oct 13 17:37:59 ipcop pluto[1810]: loaded cacert file 'cakey.pem' (xxx bytes)
Oct 13 17:37:59 ipcop pluto[1810]: error in X.509 certificate

Pourrais tu vérifier de ton coté si tu n'as pas ce message dès que tu lances ton ipsec? il s'agit ptet pas d'une erreur majeure mais je préfèrerai en etre sur
(pour info j'ai paramétré un serveur ipcop "neuf" a coté et j'ai le meme soucis.. j'ai pensé pendant un temps que ca venait de "mes tripotages de fichiers)

Je crois que oui... mais je crois que tu peux aussi donner le nom de IPCop ou nom du client ,etc.

[sisg]

Dis-moi, quel version de IPCop que tu utilises ?