pb de VPN en RoadWarrior - IPCop 1.4.2/Win2k

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

pb de VPN en RoadWarrior - IPCop 1.4.2/Win2k

Messagepar captain » 17 Mars 2005 12:35

Bonjour,

depuis pas mal de temps déjà je fais des tests pour mettre en place un VPN entre une machine IPCop et un client Win2k.

J'ai déjà essayé plusieurs solutions proposées sur ce forum:
- Avec SSH Sentinel en mode PSK
- Avec SSH Sentinel en mode Certificat *.p12
- Avec ebootis en mode PSK
- Avec ebootis en mode Certificat *.p12

J'effectue tous mes tests en local:

config GREEN+RED (2 cartes réseaux)

---------- A ------------- GREEN ------------- B ------------- RED ------------------ C ---------------------
-- Réseau Local --------------------------- IPCop -------------------------- Client RoadWarrior Win2kproSP4
- 192.168.0.0 ---------------- 192.168.0.2 - 194.254.109.30 ---------------- 194.254.109.22
255.255.255.0 ------------ 255.255.255.0 - 255.255.255.0 ----------------- 255.255.255.0


Malgré tous mes efforts il m'a jusqu'ici toujours été impossile de pinguer l'interface GREEN d'IPCop depuis le client...
SSH Sentinel refuse catégoriquement de se connecter et le client ebootis me laisse croire que je suis connecté mais il est impossible de pinguer le réseau GREEN...

Y a t'il d'autres solutions pour le client VPN Windows?
Le fait de travailler en local pose-t-il un problème?
Avatar de l’utilisateur
captain
Matelot
Matelot
 
Messages: 10
Inscrit le: 10 Mars 2005 16:41

Messagepar Elfeclair » 17 Mars 2005 18:12

J'installe régulièrement des connections VPN entre SSH Sentinell 1.3 en mode certificat et IPCop 1.4.2.
Ca marche très bien.
Quelle est ta procédure d'installation ?
Que disent les logs de SSH Sentinell ?
Ton routeur est-il "VPN Passtrough" ?
Dernière édition par Elfeclair le 18 Mars 2005 17:32, édité 2 fois au total.
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar captain » 18 Mars 2005 17:06

salut

j'ai essayé la procédure d'installation que tu as posté icihttp://forums.fr.ixus.net/viewtopic.php?t=22893&highlight=vpn

Message de SSH Sentinel:
Code: Tout sélectionner
Cannot open the VPN connection. Check that the gateway is online and verify that you are using the correct authentication key.


J'utilise donc le piti bouton "Diagnostics..."
Réponse:
Code: Tout sélectionner
Cannot run the diagnostics. The remote end does not respond the IKE proposal (phase-1). Make sure that your filter rules bypass the IKE data packets. Also, verifu that the remote end runs IPSec/IKE, and that it is not temporarily offline or unreachable due to network configuration.


Je travaille en local (phase de test) donc il n'y a pas de routeur.
Avatar de l’utilisateur
captain
Matelot
Matelot
 
Messages: 10
Inscrit le: 10 Mars 2005 16:41

Messagepar Elfeclair » 18 Mars 2005 17:31

Haaaaarrrrrrgggggggggg,

J'avais fait une erreur dans cette procédure. Il ne faut PAS activer "Acquire Virtual IP address". Sinon, ça ne marche pas.

L'autre truc, mais moins important, c'est pour le protocole de cryptage. le mieux est d'activer AES (128 et 256 bits) sur IPCop et Rijndael (128 et 256 bits) sur SSH Sentinell. C'est le même protocole, mais qui porte 2 noms différents. Les autres fonctionnent aussi, mais celui là offre la meilleur protection sans dégrader les performances.

Je viens de corriger mon autre message dans les forums ...
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar captain » 18 Mars 2005 17:35

thx j'essaie de suite ! :)
Avatar de l’utilisateur
captain
Matelot
Matelot
 
Messages: 10
Inscrit le: 10 Mars 2005 16:41

Messagepar captain » 18 Mars 2005 17:39

arf heu... tu as modifié le premier ou le second tuto (page 1 ou 2)?
Avatar de l’utilisateur
captain
Matelot
Matelot
 
Messages: 10
Inscrit le: 10 Mars 2005 16:41

Messagepar Elfeclair » 18 Mars 2005 17:54

Le 1er. Le second était déjà corrigé. C'est pour cela que je l'avais reposté.
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar PolluxX » 06 Avr 2005 15:35

Me too meme probleme.. en suivant les meme tutaux.. donc si Capitain tu as trouver la bonne reponse ca m'interesse...

Merci d'avance;)
Avatar de l’utilisateur
PolluxX
Major
Major
 
Messages: 83
Inscrit le: 22 Jan 2004 01:00
Localisation: Nice

Messagepar PolluxX » 07 Avr 2005 08:24

:up: plz besoin d'aide ;)

Merci
Avatar de l’utilisateur
PolluxX
Major
Major
 
Messages: 83
Inscrit le: 22 Jan 2004 01:00
Localisation: Nice

Messagepar Elfeclair » 07 Avr 2005 09:54

Ok, mais détaille ta config. Quelles sont les paramètres que tu as rentré ? Quelles sont les adresses IP et les masques utilisés ? Que disent les logs de SSH Sentinel ?
Dernière édition par Elfeclair le 07 Avr 2005 10:41, édité 1 fois au total.
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Roadwarrior

Messagepar dgoguet » 07 Avr 2005 10:24

Salut,
j'ai également un pb de connexion, en ayant suivi à la lettre les indications (précieuses néanmoins :!: ) de Elfeclair.
Les messages d'erreur de SSH tunnel sont les memes que mentionnés précédemment, et mes logs ipsec de Ipcop indiquent:

10:17:32 pluto[18984] packet from X.X.X.X:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
10:17:32 pluto[18984] packet from X.X.X.X:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
10:17:32 pluto[18984] packet from X.X.X.X:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
10:17:32 pluto[18984] packet from X.X.X.X:500: initial Main Mode message received on Y.Y.Y.Y:500 but no connection has been authorized with policy=RSASIG

La dernière ligne me laisse penser qu'il s'agit d'un probleme d'algorithme de cryptage, mais pourtant j'ai bien suivi les instructions du tutos...
Merci pour vos idées.
Avatar de l’utilisateur
dgoguet
Matelot
Matelot
 
Messages: 10
Inscrit le: 09 Sep 2003 00:00

Messagepar Elfeclair » 07 Avr 2005 10:44

Est-ce que au moins le diagnostique fonctionne ? Quel est le log du diagnostique (bouton details) ?
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar dgoguet » 07 Avr 2005 10:54

Non, meme message d'erreur que pour Captain ci-dessus.
Avatar de l’utilisateur
dgoguet
Matelot
Matelot
 
Messages: 10
Inscrit le: 09 Sep 2003 00:00

Messagepar PolluxX » 07 Avr 2005 11:05

Merci de m'aider :)

Alors J'ai configurer avec tes explications:

Je tiens juste a preciser que je fais mes tests en Interne sur un reseau ferme.
Que l'adresse IP de l'interface RED de mon ipcop est parametre en ip static avec l'adresse IP public
Que mon portable Roadwarrior est en XP SP2 et qu'il a une adresse IP ds la meme classe que ma RED.. j'arrive bien a les pinger...

--- VPN Roadwarrior sur IPCop 1.4 ---
__________________________

1 - Paramètrer le VPN sur IPCop 1.4
===================================

Paramétrer le VPN
Paramètres généraux
-------------------
- Nom d'hôte : Adresse IP carte Red
- VPN sur rouge : activé


Générerer les certificats racine et système
Autorités de certification
--------------------------
- Nom d'organisation : Societe
- Nom d'hôte d'IPCop : Adresse IP carte Red
- Votre adresse E-mail : Email@wanadoo.fr
- Pays : France

Connexion
---------
- type de VPN "RPV système à réseau (RoadWarrior)"
- Nom : Utilisateur1
- Interface : Red
- Sous-réseau local : 192.168.1.0/255.255.255.0
- Serveur/IP distant: Vide
- Remarque: RoadWarrior Utilisateur1
- Activé : Oui
- Poursuivre avec la configuration avancée : Oui

Authentification
----------------
- Nom d'utilisateur ou Nom du système (CN): Utilisateur1
- Adresse e-mail de l'utilisateur: Email@wanadoo.fr
- Nom d'Organisation : Societe
- Pays : France
- Mot de passe du fichier PKCS12: XXXXXXX

Avancé
------

- Compression : Non
- Encryptage IKE
- AES (256 bits)
- AES (128 bits)

- Cryptage ESP
- AES (256 bits)
- AES (128 bits)
- Utilisez seulement les paramètres proposés : Oui
- NAT traversal : Oui
- Intégrité IKE
- SHA1
- MD5
- Grouptype IKE :
- MODP-1024
- Intégrité ESP
- SHA1
- MD5
- Grouptype ESP :
- MODP-1024

Exporter le certificat
Contrôle et statut de la connexion
----------------------------------
- Sauver le fichier Utilisateur1.p12


2 - Installer SSH Sentinel 1.3.2.2
==================================

Lancer l'installation de SSH Sentinel 1.3.2.2
Welcome to SSH Sentinel Installation
- Next
Do you wish to accept the terms of Licensing Agreement ?
- Yes
Setup parameters
- Next
Setup parameters
- Next
Move the mouse to generate a random seed
- Move the mouse
- Continue : Suivant
Information
- Subject information : Administrator Email
- Administrator Email : Email@wanadoo.fr
- Suivant
Create a self-signed certificate
- Suivant
Sauver le fichier
- Suivant

J'ai pas cette etape ??
Paramétrage des algorithmes de cryptage
- Next
SSH Installation Completed
- Yes, restart the computer : Finish


3 - Configurer SSH Sentinel 1.3.2.2
===================================

Importer le certificat
----------------------
- Sélectionner l'onglet "Key Management"
- Cliquer droit sur "My Keys"
- Choisir l'option "Import"
- Régler le type de fichier sur "PKCS #12"
- Ouvrir le fichier certificat exporté depuis IPCop : Utilisateur1.p12
- Entrer le mot de passe pour décrypter le certificat : XXXXXXX

Parametrer le VPN
-----------------
- Gateway name : Adresse IP carte Red
- Remote network :
- Network name : Societe
- IP adress : 192.168.1.0
- Subnet mask : 255.255.255.0
- Authentication key : societe ca certification
- Use legagy proposal : non activé

Paramètres supplémentaires
--------------------------

IPSec/IKE proposal
------------------
- Cliquer sur "Settings"
- IKE Proposal Encryption algorithm : Rijndael
- IKE Proposal Integrity function : MD5
- IKE Mode : main mode
- IKE group : MODP 1024 (group 2)
- IPSec Proposal Encryption algorithm : Rijndael
- IPSec Proposal Integrity function : HMAC-MD5
- IPSec mode : tunel (le choix est figé)
- PFS group : MODP 1024 (group2)
- Attach only the selected values to the proposal : Non

Virtual IP address
------------------
- Désactiver "Acquire virtual IP address"
Advanced
--------
Cliquer sur l'onglet "Advanced"
- Apply IP compression : non
- Si le client Roadwarrior est derrière est routeur qui fait du NAT
- Activer : Enable Network Adress Translation Traversal


Voila mes parametrage...

Voila se que me dit SSHSentinel:
Code: Tout sélectionner
Cannot open the VPN connection. Check that the gateway is online and verify that you are using the correct authentication key.


Et le diagnostic..:
Code: Tout sélectionner
Cannot run the diagnostics. The remote end does not respond the IKE proposal (phase-1). Make sure that your filter rules bypass the IKE data packets. Also, verifu that the remote end runs IPSec/IKE, and that it is not temporarily offline or unreachable due to network configuration.


Je poste dans 2 min les log.. le temps que je els recupere...
Avatar de l’utilisateur
PolluxX
Major
Major
 
Messages: 83
Inscrit le: 22 Jan 2004 01:00
Localisation: Nice

Messagepar Elfeclair » 07 Avr 2005 11:23

Je tiens juste a preciser que je fais mes tests en Interne sur un reseau ferme.
Que l'adresse IP de l'interface RED de mon ipcop est parametre en ip static avec l'adresse IP public
Que mon portable Roadwarrior est en XP SP2 et qu'il a une adresse IP ds la meme classe que ma RED.. j'arrive bien a les pinger...

Ton IPcop à une adresse publique définie en statique, ton portable également et ils sont dans la même classe d'adresse et sur le même réseau physique, le RED ? C'est bien ça ?

Par exemple :
IPCOP RED : 80.10.23.1 / 255.255.255.0
Portable : 80.10.23.2 / 255.255.255.0

Portable +----------+ Ipcop Red+Ipcop Vert+---------+Réseau local+----- ...
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron