VPN ipsec avec un fortigate derrière passerelle NAT

[vdemong]

Salut,

Je suis un nouvel utilisateur d'IPCOP (1.40), j'essaye de mettre en place un tunnel ipsec entre chez moi et le boulot (preshared key):


Left Net <-Green-> IPCOP 1.4 <-Red-> Internet <---> passerelle NAT<->Fortigate<--> Right Net
172.30.1.0 172.30.1.1 / 81.x.x.x 194.x.x.x 192.168.93.254 / 172.16.1.9 172.16.1.0

Les ports et protocoles ipsec sont redirigés vers le fortigate par la passerelle NAT,
(sur un autre site, avec un fortigate sans NAT cela fonctionne trés bien...)


Si je configure ipcop ainsi:

IPCop side: left Remote Host/IP: 194.x.x.x

local subnet: 172.30.1.0/255.255.255.0 Remote subnet: 172.16.1.0/255.255.255.0

Je me retrouve avec ceci dans les logs:


18:31:01 pluto[6510] "VPNTest" #150: initiating Main Mode to replace #149
18:31:01 pluto[6510] "VPNTest" #150: ignoring Vendor ID payload [1d6e178f6c2c0be284985465450fe9d4]
18:31:01 pluto[6510] "VPNTest" #150: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
18:31:01 pluto[6510] "VPNTest" #150: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
18:31:02 pluto[6510] "VPNTest" #150: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
18:31:02 pluto[6510] "VPNTest" #150: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
18:31:02 pluto[6510] "VPNTest" #150: Main mode peer ID is ID_IPV4_ADDR: '192.168.93.254'
18:31:32 pluto[6510] "VPNTest" #150: we require peer to have ID '194.x.x.x', but peer declares '192.168.93.254'
18:31:32 pluto[6510] "VPNTest" #150: sending notification INVALID_ID_INFORMATION to 194.x.x.x:4500

Ce qui est normal....
Y'a-t-il un moyen de faire fonctionner ce tunnel ?

Merci,

Vincent.

[rodolphedj]

salut,

j'utilise egalement un fortigate(-60).

le probleme c'est que faire du VPN derriere un NAT.... c'est bofff tres boffff
du port mapping, c'est la même chose.

le moyen le plus simple, c'est de mettre ton fortigate en DMZ

[vdemong]

Le problème, c'est que je n'ai pas la main sur la passerelle devant le fortigate, je dois me contenter laisser les choses comme elles sont. Je ne peux qu'intervenir sur la configuration du fortigate et de mon IPCOP. Je pensais utiliser des certificats à la place des clés prépartagées (preshared key), pour faire disparaître ce problème. Juste le temps de comprendre comment IPCOP et fortigate gèrent les certificats et je m'y met...

Gracias,

Vincent.

[rodolphedj]

tiens moi au courant, ça m'interesse.

mais pour le VPN Ipsec, il faut vraiment que ton serveur VPN, ici le fortigate, possede une Ip externe.
c'est ce qu'il y a de mieux.

[vdemong]

Ca fonctionne !!!

1 - sur IPCOP je genere les certificats root et host

2 - Sur le fortigate

dans l'interface web:
VPN -> certificates -> local certificates -> new
renseigner les champs, j'ai choisi un certificat du type mail

puis je l'exporte vers ma machine -> fichier trucmachin.csr


j'envoie ce fichier dans /var/ipcop/ca avec scp (je suis sous mac osx, sous windows il doit bien y avoir l'equivalent)

3 - ipcop
puis je me log en ssh sur ipcop, et j'envoie les commandes:
cd /var/ipcop/ca
openssl ca -in trucmachin.csr -out trucmachin.crt -keyfile cakey.pem -cert cacert.pem

qui genere trucmachin.crt

puis avec scp je recupere cacert.pem et trucmachin.crt sur ma machine.



4 - sur le fortigate:
VPN->certificates-> local certificates-> import recuperer trucmachin.crt
le status doit passer de PENDING à OK

VPN->certificates->CA certificates->import recuperer cacert.pem

puis etablir un VPN normalement (phase1 phase2 Adress policy int->ext)
dans phase1:

Authentication Method: RSA signature
Certificate Name: nom du certificat crée en 2

sinon faire attention aux keylifes qui devront corresspondre à celles indiquées plus tard dans ipcop
(dans l'odre 28800, 3600)

5 - sur ipcop

VPN -> new
1er cadre remplir comme d'habitude ( ipcop côté left dans mon cas.)
2ème cadre (Authentification) Upload a certificate -> recuperer trucmachin.crt

Save

et c'est fini.

Le tunnel fonctionne sans problèmes depuis 2 heures...

Cordialement,

Vincent