[ANNONCE] Howto IPCop à IPCop en x509

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[ANNONCE] Howto IPCop à IPCop en x509

Messagepar sisg » 27 Août 2004 02:40

Bonjour à tous,

Après de long et long pénible test...........

Moi et Franck78 avons fait des demandes répétitives à ce sujet sur le site des développeurs de IPCop pour savoir s'il était possible d'avoir un Howto et/ou s'avoir si cette option était valide !!!

Alors ce soir avec l'aide précieuse de Mark Wormgoor (Howto anglais) et Franck78, j'ai traduit en français la version anglaise de ce HowTo

J'ai testé et ça FONCTIONNE D'un IPCop à IPCop avec certifica x509 :D :D :D :D :D

Voici ce bref Howto en français:

Alors nous avons firewall IPCop1 et IPCop2

1) Sur IPCop1, Générer les Certifica racine (CA) et Système (Host) et télécharger les sur votre disque dur.

2) Sur IPCop2, Générer les Certifica racine (CA) et Système (Host) et télécharger les sur votre disque dur.

3) Sur IPCop1 télécharger le Certifica racine (CA) du IPCop2

4) Sur IPCop1 créer un connection Réseau à Réseau du côté gauche (LEFT) tout en téléchargent le certifica système (host) du IPCop2.

5) Sur IPCop2 télécharger le Certifica racine (CA) du IPCop1

5) Sur IPCop2 créer un connection Réseau à Réseau du côté droite (RIGHT) tout en téléchargent le certifica système (host) du IPCop1. (Dans mon cas ça été encore le fichier CA)

NOTE: Ne pas oublier d'inverser les valeurs du sous-réseau local (IPCop2) avec celui du distant (IPCop1)

C'est TOUT !!!

Si vous voulez la version anglaise de ce Howto créé par Mark Wormgoor, elle est dipo sur la liste de devel de IPCop.


@+

Snoopyski
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Messagepar guiguid » 27 Août 2004 07:23

Merci a vous trois, c'est vraiement super.
Je vais tster des cette semaine.
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar riri186 » 08 Oct 2004 11:30

Bonjour à tous,

si je peux me permettre un ajout qui peut faire gagner un peu de temps:

le certificat Racine CA généré est:

/var/ipcop/ca/cacert.pem

le certificat Systeme généré est:

/var/ipcop/certs/hostcert.pem

Je précise cela parceque j'ai passé un peu de tps à les chercher...

si ca peut aider... en tout cas ca me permettra au moins de retrouver l'info ici lorsque j'en aurais à nouveau besoin.. :wink:

Thierry
ils sont la qui me guettent... dans un coin de ma tete... les neurones a crete...
Avatar de l’utilisateur
riri186
Matelot
Matelot
 
Messages: 4
Inscrit le: 23 Mars 2004 01:00
Localisation: Bourgogne

Messagepar Scooty » 12 Oct 2004 18:17

pourrais tu m'indiquer comment on génère ces fichiers avec la ligne de commande adéquate?
est ce qu'on peut toujours générer ces fameux fichiers avec la version 1.4 d'ipcop?

riri186 a écrit:Bonjour à tous,

si je peux me permettre un ajout qui peut faire gagner un peu de temps:

le certificat Racine CA généré est:

/var/ipcop/ca/cacert.pem

le certificat Systeme généré est:

/var/ipcop/certs/hostcert.pem

Je précise cela parceque j'ai passé un peu de tps à les chercher...

si ca peut aider... en tout cas ca me permettra au moins de retrouver l'info ici lorsque j'en aurais à nouveau besoin.. :wink:

Thierry
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar guiguid » 12 Oct 2004 18:48

est ce qu'on peut toujours générer ces fameux fichiers avec la version 1.4 d'ipcop?


la signature de sisg indique qu'il est en 1.4.0 finale

pourrais tu m'indiquer comment on génère ces fichiers avec la ligne de commande adéquate?


fais-le plutot par l'interfave WEB, RPV, "generer les cerificats racine ..."
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar sisg » 12 Oct 2004 19:48

Salut, Je te confirme que ça fonctionne merveilleusement bien en IPCop 1.4.0 Finale :D :D :D

Pour ce qui est des fichiers racines et autres, tu n'as qu'à cliquer sur les disquettes dans la section VPN et tu pourra les téléchargers !!!

@+

Snoopyski
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Messagepar gzav » 13 Oct 2004 12:24

Salut !

J'ai suivi à la lettre le howto ci dessus, j'ai moi meme deux ipcops 1.4.0 en version finale avec lesquels je veux monter mon petit RPV.

Seulement, après avoir suivi à la lettre tout le procédure en ayant bien pris soin de remettre à zéro les configs, cela ne marche pas.

les journaux IPSec donnent de chaque coté :

Code: Tout sélectionner
12:11:35 pluto[2901] "monrpv": we have no ipsecN interface for either end of this connection


J'ai bien pris soin de générer les certifs des deux cotés, de les récupérer, de transférer les certifs systemes. de transferer les certifs hosts lors de la création du rpv net to net de chaque coté et donc rien ne passe...

Ai-je oublié quelque chose ? y-a-t-il une astuce ?

Merci
A+
Gzav

Mon premier ipcop est derriere un modem adsl ethernet, le second est derriere un module VSAT. si ca peux faire avancer le "réfléchissement" :lol:
gzav
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Oct 2004 16:08

Messagepar Scooty » 13 Oct 2004 15:18

une autre ptite question les zamis.. j'ai un doute d'un coup.. faut-il inverser left et right d'un ipcop a l'autre?.
je m'explique.. pour ipcop1 par ex je mets left=<ip ipcop1> et right=<ip ipcop2>
faut-il que j'échange de l'autre coté? à savoir sur ipcop2 mettre left=<ip ipcop 2> et right=<ip ipcop 1>?

sisg a écrit:Salut, Je te confirme que ça fonctionne merveilleusement bien en IPCop 1.4.0 Finale :D :D :D

Pour ce qui est des fichiers racines et autres, tu n'as qu'à cliquer sur les disquettes dans la section VPN et tu pourra les téléchargers !!!

@+

Snoopyski
Dernière édition par Scooty le 13 Oct 2004 15:43, édité 1 fois au total.
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar sisg » 13 Oct 2004 15:40

Je ne comprend pas tr`s bien ta question mais, du côté IPCop1 tu mets LEFT avec comme serveur distant les info de ton IPCop2 et de l'autre tu mets RIGHT avec serveur distant les info de ton IPCop1...

Simple non ? :wink:

@+

Snoopyski
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Messagepar Scooty » 13 Oct 2004 15:46

ok on n'inverse pas donc...
eh bien j'ai un soucis..
lorsque je suis votre méthode j'obtiens ceci coté ipcop 1 lors de la connexion:

Oct 13 15:37:56 ipcop pluto[529]: "ConSerli" #1: responding to Main Mode
Oct 13 15:37:56 ipcop pluto[529]: "ConSerli" #1: transition from state (null) to state STATE_MAIN_R1
Oct 13 15:38:03 ipcop pluto[529]: "ConSerli" #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
Oct 13 15:38:03 ipcop pluto[529]: "ConSerli" #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Oct 13 15:38:04 ipcop pluto[529]: "ConSerli" #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=xx, ST=xxx, O=xxx, OU=xxx, CN=lns-p19-27f-xx-xx-xx-xx.adsl.proxad.net'
Oct 13 15:38:04 ipcop pluto[529]: "ConSerli" #1: Issuer CRL not found
Oct 13 15:38:04 ipcop pluto[529]: "ConSerli" #1: Issuer CRL not found


ca vous dis quelque chose ce "Issuer CRL not found" ?

j'ai aussi ce message au début du lancement du daemon ipsec:

Oct 13 15:52:28 ipcop pluto[4196]: loaded cacert file 'cakey.pem' (1679 bytes)
Oct 13 15:52:28 ipcop pluto[4196]: error in X.509 certificate


sisg a écrit:Je ne comprend pas tr`s bien ta question mais, du côté IPCop1 tu mets LEFT avec comme serveur distant les info de ton IPCop2 et de l'autre tu mets RIGHT avec serveur distant les info de ton IPCop1...

Simple non ? :wink:

@+

Snoopyski
Dernière édition par Scooty le 13 Oct 2004 16:28, édité 1 fois au total.
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar sisg » 13 Oct 2004 15:52

Tu peux essayé ceci:

Nom d'hôte ou IP locale du RPV: Mettre l'adresse IP statique ou bien ton dns commes ex: blabla.dyndns.org ou blabla.tzo.com , etc.

Ne met pas: lns-p19-27f-81-56-187-56.adsl.proxad.net a moins que ce soit ton DNS (IP de RED)???

Fait ça des deux côté, recrée les fichiers racine et télécharges-les des deux côtés...

Refait la procédure (Howto)...

tient moi au courant ! :wink:

@+
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Messagepar Scooty » 13 Oct 2004 16:20

ok je vais tenter avec mon ip .. par contre petite question quand meme..
lorsque l'on uploade par ex le certificat de l'ipcop1 sur l'ipcop2 que doit-on mettre comme "Nom de l'autorité de certification:" ? est ce que c'est le "nom d'hote d'icpop" qu'on a mis lors de la génération du certificat sur ipcop2?
merci de me répondre aussi vite.. c'est sympa de m'aider ainsi :wink:

sisg a écrit:Tu peux essayé ceci:

Nom d'hôte ou IP locale du RPV: Mettre l'adresse IP statique ou bien ton dns commes ex: blabla.dyndns.org ou blabla.tzo.com , etc.

Ne met pas: lns-p19-27f-xx-xx-xx-xx.adsl.proxad.net a moins que ce soit ton DNS (IP de RED)???

Fait ça des deux côté, recrée les fichiers racine et télécharges-les des deux côtés...

Refait la procédure (Howto)...

tient moi au courant ! :wink:

@+
Dernière édition par Scooty le 13 Oct 2004 16:27, édité 1 fois au total.
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar sisg » 13 Oct 2004 16:27

Je crois que oui... mais je crois que tu peux aussi donner le nom de IPCop ou nom du client ,etc.
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Messagepar Scooty » 13 Oct 2004 17:42

ben par défaut il prend la résolution de l'adresse ip qu'il voit en local
bon en ce qui me concerne jen'arrive a rien.. :-(
en fait ca $%#&! dès le départ... quand je génère les certificats.. dès que je lance le daemon ipsec (sans paramétrer de connexion dans un premier temps) j'ai ce message dans /var/log/message:

Oct 13 17:37:59 ipcop pluto[1810]: loaded cacert file 'cakey.pem' (xxx bytes)
Oct 13 17:37:59 ipcop pluto[1810]: error in X.509 certificate

Pourrais tu vérifier de ton coté si tu n'as pas ce message dès que tu lances ton ipsec? il s'agit ptet pas d'une erreur majeure mais je préfèrerai en etre sur
(pour info j'ai paramétré un serveur ipcop "neuf" a coté et j'ai le meme soucis.. j'ai pensé pendant un temps que ca venait de "mes tripotages de fichiers)




sisg a écrit:Je crois que oui... mais je crois que tu peux aussi donner le nom de IPCop ou nom du client ,etc.
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar sisg » 13 Oct 2004 18:42

Dis-moi, quel version de IPCop que tu utilises ?
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité