probleme incomprehensible de vpn...

[verash]

Mon problème est simple...(quoi que)...D'apres mes logs jarrive bien a faire une connection vpn ente ipcop 1.3 et ipcop 1.4.0...sauf que aucun traffic passe...

log de connection :


Site 1 ipcop 1.3

104 "neto" #3: STATE_MAIN_I1: initiate
010 "neto" #3: STATE_MAIN_I1: retransmission; will wait 20s for response
010 "neto" #3: STATE_MAIN_I1: retransmission; will wait 40s for response
106 "neto" #3: STATE_MAIN_I2: sent MI2, expecting MR2
108 "neto" #3: STATE_MAIN_I3: sent MI3, expecting MR3
004 "neto" #3: STATE_MAIN_I4: ISAKMP SA established
112 "neto" #7: STATE_QUICK_I1: initiate
004 "neto" #7: STATE_QUICK_I2: sent QI2, IPsec SA established


site 2 ipcpop 1.4

122 "neto" #3: STATE_QUICK_I1: initiate
004 "neto" #3: STATE_QUICK_I2: sent QI2, IPsec SA established

...Apres 2 semaine de recherche...J'ai reussi une fois à le faire fonctionné, apres j'ai du chage d'@rezo sur le lan du site 1 et ai fait toutes les modifications possible, mais rien n'y fait...aucun traffic ne passe...

Si je fait un ping du site 1 vers le site 2 (sur une adresse du lan), voila ce qui se passe :

root@site2# tcpdump -i ipsec0

18:04:28.522958 IP 192.168.113.100 > 10.10.20.111: icmp 40: echo request seq 26121

18:04:28.523670 IP 10.10.20.111 > 192.168.113.100: icmp 40: echo reply seq 26121

18:04:33.587001 IP 192.168.113.100 > 10.10.20.111: icmp 40: echo request seq 26377

18:04:33.587688 IP 10.10.20.111 > 192.168.113.100: icmp 40: echo reply seq 26377

18:04:39.088960 IP 192.168.113.100 > 10.10.20.111: icmp 40: echo request seq 26633

18:04:39.089624 IP 10.10.20.111 > 192.168.113.100: icmp 40: echo reply seq 26633

18:04:44.591624 IP 192.168.113.100 > 10.10.20.111: icmp 40: echo request seq 26889

18:04:44.607706 IP 10.10.20.111 > 192.168.113.100: icmp 40: echo reply seq 26889

En fait le site1 emprunte bien le tunnel, arrive à l'adresse du lan, la reponse se fait de la machine du lan, et arrive dans le tuyaux vpn...mais a la sortie rien ne se passe...pas de retour du ping...

je peux vous mettre mes conf si vous voulez...(mais la ca prend un peu de place...)...

Je ne sais pas du tout ce quil y a ??? ??? ???

Si je fait un "ipsec verify" sur le site2 (ipcop 1.4) ou je pense que le probleme vient et cela donne :

Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) ipsec showhostkey: no default key in "/etc/ipsec.secrets"
[FAILED]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for gate.monlan [NO KEY]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING
tun0x1006@162.123.180.161:0 [FAILED]
REDNAT from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 10.10.20.0/24:0 -> 192.168.113.0/24:0
[FAILED]
POSTPORTFW from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 10.10.20.0/24:0 -> 192.168.113.0/24:0

Donc probleme de presharekey et nat ?!?!?

Pour la presharekey mon ipsec.secret a l'air correct...Je peux aussi mettre les conf si vous voulez...

Merci pour vos soluces...

Verash...

[verash]

bon je crois que ca vient de rc.firewall...mais je ne sais pas ou ???

Je pense aussi que mes paquets sont drop, et ne prenne pas le tunel, meme si mon debug dit le contraire...Car le debug se fait avant l'entrer dansle tunnel en fait...meme en faisant

tcpdump -i ipsec0

qqun aurait une solution ???

[staple]

- est-ce que depuis chacun des lan green tu arrive à pinger l'interface RED correspondante ?

- est ce que depuis l'ipcop 1.3 tu arrive à pinger l'interface red et green de l'ipcop distant et vice-versa ??

[zgrou]

Que veulent dire ces deux erreurs :

Checking for RSA private key (/etc/ipsec.secrets) ipsec showhostkey: no default key in "/etc/ipsec.secrets"
[FAILED]

Looking for forward key for gate.monlan [NO KEY]

Ca me semble des plus bizare
Vous avez dis Bizzzzzzz

[verash]

Alors j'ai pinguer :

depuis chaque interface green je pingue l'interface red corresopndant...

maintenant depuis un interface green je ne peux pas pinguer l'interface green de chaque cote...et je pingue evidement les interfaces red de chaque cote...

donc le tuyaux nest pas monté...correctement...

Je continue les recerches, et merci pour votre aide...

[verash]

bon je reprned pour la 1234566eme fois ma config...

quand je fait un "ipsec verify" voila le reusltat...

Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) ipsec showhostkey: no default key in "/etc/ipsec.secrets"
[FAILED]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for gate.monlan [NO KEY]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING
Bon deja ya un probleme sur le fichier qui contien la psk...Il ne trouve pas le fichier...or il existe...mais peut etre est il mal configurer :

arreter moi si je me trompe...

il se compose : @ip_source_red @ip_dest_red : PSK "ceciestlapresharekey"

Voila ce que j'ai fait sur mon fichier ipsec.secrets...est-il bon...n'y a til pas moyen de lui dire exactement ou se trouve le fichier psk ???

Merci pour votre aide...ca fait un mois que je suis dessus...ca me saoule...(surtout que ca eu marche 2 h le temps que je change le sous rezo du lan...suite a pb de confilt de sous rezo) et depuis ca marche pus...

[poudre]

Bonsoir Verash

Je pense qu'il ne faut pas que tu focalises trop sur la commande ipsec verify
je viens de la passer sur deux machine IPCop 1.4-2
sur les deux il me dit qu'il ne trouve pas de default key alors que sur l'un il y a deux vpn l'un avec preshared key l'autre avec certificats et sur le second ipcop un vpn avec certificats et tout cela fonctionne très bien..
Il me dit aussi que le nat est failed (sur un seul des IPCop) alors que j'ai trois PCs dont celui qui envoie le mail qui fonctionnent bien
Il ne t'es pas possible de passer la machine IPCop 1.3 en version 1.4 ?
Perso cela s'est fait tout seul preshared key du premier coup et un peu plus long pour les certificats.

Pascal.

[verash]

ben enfait c'est pas trop possible car le vpn issue de ipcop 1.3 fonctionne en entreprise avec un autre vpn aussi sur une 1.3 avec l'etrangé...Donc si je passe ne 1.4 avec l'autre, j'ai un peu peur que cela ne fonctionne plus avec mon vpn de manchester...Alors que le vpn que je veux creer cest pour taf de chez moi...Et donc je teste en plus si la distrib peux passer en prod...Voili...

Mais sinon sur le pb de vpn actuel je planche toujours dessus...Merci pour votre aide...

[poudre]

Salut ,

Dans ce cas envoie ta configuration en changeant les @IP externes puis le résultat de la commande ip route ou encore route sur les deux firewalls.

Pascal.

[verash]

Merci Poudre je viens de resoudre le probleme...

En fait mon cisco laissai passe mon tuyau vers l'angleterre, (je lui avait autorise), et pa sle tuyaux qui partait chez moi...forcement ca marche moins bien !!!

Quelle tanche (je cherchait depuis tout a lheure le nom du poisson)...

Bon donc bien verifie tous les autres equipements...Mais quand meme cest bizarre, car ca eu fonctionné au moins 1 heures jusque je change les adressse du sous reseau...Pourtant jetais sur que rien ne bloquais...enfin bref me voila avec un vpn tout neuf, et je vais etudier la question que tu m'a pose sur le fait de passer en 1.4.2 en prod...

Merci a tous

Verash