VPN Avec IPCOP 1.4.0

[warpigz]

J'aimerais créer un VPN entre une machine Windows 2000 et une machine IPCop 1.4.0 en utilisant des certificats et avec IPsec. Si quelqu'un a réussi a le faire, svp envoyer moi votre démarche et outils que vous avez utilisé sur Windows. Je m'y connais pas beaucoup en linux mais je suis capable de me debrouiller c'est juste que le problème que j'ai est au dessus de mes capacitées. Merci d'avance.


=-=-=-=-=-=-=
Jean-François

[Elfeclair]

Je suis en train de le faire. C'est possible et ça marche.

Coté PC, on peut utiliser SSH Sentinel (1.3.x) comme client IPSec

Je suis en train de faire une petite doc ... Je la posterais ce soir ...

[warpigz]

merci infiniment

[Elfeclair]

Bon,

J'en suis là de ma doc. C'est un peu succinct ...

Toute remarques, modifications, aide est bienvenue :=)

1 - Paramètrer le VPN sur IPCop 1.4
===================================
Pour éviter les doublons, la doc est maintenant quelques messages plus loin :
http://forums.fr.ixus.net/viewtopic.php?p=161103#161103

[guiguid]

Salut,
a la premiere lecture cela me semble correct.
il faudrait que quelqu'un le teste pas a pas et rajouter un lien vers ssh Sentinel.

a+

[warpigz]

J'ai trouver un lien rapide pour télécharger SSH Sentinel

http://nts.wustl.edu/wireless/SSHSentinel1.3.2.2.exe

C'est 14mo en passant

Merci pour la démarche, je l'essai a l'instant.

jean-François Sauvé

[louver]

C'est excellent, ca fonctionne du tonerre!! Merci pour tout!!!
Question supplémentaire... Ca fonctionnerait aussi pour un win 2000?

[louver]

Et je dois ajouter aussi que ca à fonctionné du premier coup... Une belle démonstration de la part de Elfeclair!! Merci à lui!

[louver]

Par contre, l'ouverture d'un doc sur le serveur distant prend un temps dingue...

[louver]

De plus, quand mon tunnel VPN est activé, il n'y a plus moyen d'accéder à l'interface web de l'ipcop distant...
Sauriez vous pourquoi?
Merci
Lou

[warpigz]

Bon le newbie que je suis a besoin de petite clarification meme si la démarche est assé claire :S

À la base, lors de la configuration du IPCOP, qu'est-ce que j'ai besoin au juste

j'ai fais la démarche pas-à-pas et je n'arrive pas a me connecter, de plus, je crois que le nom que j'ai donner a la machine IPCOP n'est pas bon. Alors si tu pourrais juste écrire une démarche simple sur l'installation du IPCOP ou un lien vers des informations pour une installation basic X509. Aussi, si je veux me connecter avec mon VPN, est-ce qu'il faut que je pointe vers la machine IPCOP ou vers une machine dans le réseau GREEN ?? Pour l'instant j'ai réussi a me connecter a la machine IPCOP par une machine dans le réseau RED avec une PSK mais pas avec un certificat, je crois qu'il y a quelque chose que je fais de pas correct. Si vous pouvez m'éclairer SVP. Aussi dans la section:

IPSec/IKE proposal
------------------
- Settings
- IKE Proposal Encryption algorithm : Twofish
- IPSec Proposal Encryption algorithm : Twofish
- Ok


Si je ne selectionne pas "Attach only the selected values of the proposal", il remet automatiquement Rjindael

je sais pas si je doit le laisser décocher ou non.


Merci d'avance.



Jean-François Sauvé

[Elfeclair]

Oui, il semble y avoir un bug dans SSH Sentinel entre le paramétrage IPSec/IKE et l'adresse IP virtuelle.
Lorsque on paramètre l'IP virtuelle, la config. IPSec/IKE revient à ses valeurs par défaur : Rindjaël. Il faut vérifier lee réglages ...

Bon je ne vais pas expliquer comment installer IPCop, c'est trop simple :=))

Quand aux certificats, bien que très succincte, ma doc est complete. J'attenfs quelques retours, je la complète et je la reposte.

--
Elfeclair

[erreipnaej]

J'ai tenté hier AM de suivre cette procédure depuis une machine Windows dérriére un routeur Oléane (aucun accés sur lui, il faut demander à Oléane) et je n'ai pas pu me connecter.
J' ai un VPN fonctionnel entre 2 Ipcop et je veux faire un roadwattior depuis mon bureau donc je pense que coté IpCop, v'est bon.
Je vais régarder aujourd'hui si j'ai le temps pour voir cette histoire de "Attach only the selected values of the proposal".
Vu mon planning, ce sera peit être plus semaine prochaine que vous aurez des news.
@+

[MAtos_22]

Bonjour

J'etais super content de voir enfin un tuto pour monter des vpn avec ipcop 1.4 mais j'ai du louper une marche. En tout cas merci a tt les contributeurs, car je suis sur que j'y arriverais un jour a faire marcher ce ]@^\`|[{#~ de vpn et ceci grave a vous !!!!

voila ma config
serveur : ipcop 1.4 (adresse ip fixe)
client : derriere un ipcop 1.3 pour les tests mais utilisation future en "roadwarrior"

j'ai bien suivi le guide, et je l'ai refait plusieurs fois pour etre sur (hier et aujourd'hui en me disant que la nuit m'aurait porté conseil) et j'ai toujours la meme chose quand je fais faire le diagnostique, j'obtiens ceci :

The remote gateway does not initiate the IKE config mode. Check that the gateway policy enables IKE config mode.

Et apres verification, et bah ca change rien.

Voici les dernieres lignes du log IKe moi ca me parle pas des masses .....

Phase-2 [initiator] for ipv4(icmp:0,[0..3]=192.168.1.22) and ipv4(icmp:0,[0..3]=192.70.xx.xx) failed; Aborted notification.
0.0.0.0:500 (Initiator) <-> 192.70.xx.xx:500 { 896e83f6 16000004 - 00000000 00000000 [-1] / 0x00000000 } IP; Start isakmp sa negotiation
0.0.0.0:500 (Initiator) <-> 192.70.xx.xx:500 { 896e83f6 16000004 - 00000000 00000000 [-1] / 0x00000000 } IP; Version = 1.0, Input packet fields = 0000
0.0.0.0:500 (Initiator) <-> 192.70.xx.xx:500 { 896e83f6 16000004 - 00000000 00000000 [-1] / 0x00000000 } IP; Encode packet, version = 1.0, flags = 0x00000000
0.0.0.0:500 (Initiator) <-> 192.70.xx.xx:500 { 896e83f6 16000004 - 7fea322c f9ffe707 [-1] / 0x00000000 } IP; Packet to old negotiation
0.0.0.0:500 (Initiator) <-> 192.70.xx.xx:500 { 896e83f6 16000004 - 7fea322c f9ffe707 [-1] / 0x00000000 } IP; Version = 1.0, Input packet fields = 0401 SA VID
The remote server 192.70.xx.xx:500 is draft-ietf-ipsec-nat-t-ike-00

Merci d'avance...

[warpigz]

SSH Sentinel a été vendu a la compagnie safenet-inc (safenet-inc.com). Alors si vous cherchez la dernière version ou du support technique, référé vous a ce site.