pb de VPN en RoadWarrior - IPCop 1.4.2/Win2k

[captain]

Bonjour,

depuis pas mal de temps déjà je fais des tests pour mettre en place un VPN entre une machine IPCop et un client Win2k.

J'ai déjà essayé plusieurs solutions proposées sur ce forum:
- Avec SSH Sentinel en mode PSK
- Avec SSH Sentinel en mode Certificat *.p12
- Avec ebootis en mode PSK
- Avec ebootis en mode Certificat *.p12

J'effectue tous mes tests en local:

config GREEN+RED (2 cartes réseaux)

---------- A ------------- GREEN ------------- B ------------- RED ------------------ C ---------------------
-- Réseau Local --------------------------- IPCop -------------------------- Client RoadWarrior Win2kproSP4
- 192.168.0.0 ---------------- 192.168.0.2 - 194.254.109.30 ---------------- 194.254.109.22
255.255.255.0 ------------ 255.255.255.0 - 255.255.255.0 ----------------- 255.255.255.0


Malgré tous mes efforts il m'a jusqu'ici toujours été impossile de pinguer l'interface GREEN d'IPCop depuis le client...
SSH Sentinel refuse catégoriquement de se connecter et le client ebootis me laisse croire que je suis connecté mais il est impossible de pinguer le réseau GREEN...

Y a t'il d'autres solutions pour le client VPN Windows?
Le fait de travailler en local pose-t-il un problème?

[Elfeclair]

J'installe régulièrement des connections VPN entre SSH Sentinell 1.3 en mode certificat et IPCop 1.4.2.
Ca marche très bien.
Quelle est ta procédure d'installation ?
Que disent les logs de SSH Sentinell ?
Ton routeur est-il "VPN Passtrough" ?

[captain]

salut

j'ai essayé la procédure d'installation que tu as posté icihttp://forums.fr.ixus.net/viewtopic.php?t=22893&highlight=vpn

Message de SSH Sentinel:

Code: Tout sélectionner

Cannot open the VPN connection. Check that the gateway is online and verify that you are using the correct authentication key.


J'utilise donc le piti bouton "Diagnostics..."
Réponse:

Code: Tout sélectionner

Cannot run the diagnostics. The remote end does not respond the IKE proposal (phase-1). Make sure that your filter rules bypass the IKE data packets. Also, verifu that the remote end runs IPSec/IKE, and that it is not temporarily offline or unreachable due to network configuration.


Je travaille en local (phase de test) donc il n'y a pas de routeur.

[Elfeclair]

Haaaaarrrrrrgggggggggg,

J'avais fait une erreur dans cette procédure. Il ne faut PAS activer "Acquire Virtual IP address". Sinon, ça ne marche pas.

L'autre truc, mais moins important, c'est pour le protocole de cryptage. le mieux est d'activer AES (128 et 256 bits) sur IPCop et Rijndael (128 et 256 bits) sur SSH Sentinell. C'est le même protocole, mais qui porte 2 noms différents. Les autres fonctionnent aussi, mais celui là offre la meilleur protection sans dégrader les performances.

Je viens de corriger mon autre message dans les forums ...

[captain]

thx j'essaie de suite !

[captain]

arf heu... tu as modifié le premier ou le second tuto (page 1 ou 2)?

[Elfeclair]

Le 1er. Le second était déjà corrigé. C'est pour cela que je l'avais reposté.

[PolluxX]

Me too meme probleme.. en suivant les meme tutaux.. donc si Capitain tu as trouver la bonne reponse ca m'interesse...

Merci d'avance;)

[PolluxX]

plz besoin d'aide

Merci

[Elfeclair]

Ok, mais détaille ta config. Quelles sont les paramètres que tu as rentré ? Quelles sont les adresses IP et les masques utilisés ? Que disent les logs de SSH Sentinel ?

[dgoguet]

Salut,
j'ai également un pb de connexion, en ayant suivi à la lettre les indications (précieuses néanmoins ) de Elfeclair.
Les messages d'erreur de SSH tunnel sont les memes que mentionnés précédemment, et mes logs ipsec de Ipcop indiquent:

10:17:32 pluto[18984] packet from X.X.X.X:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
10:17:32 pluto[18984] packet from X.X.X.X:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
10:17:32 pluto[18984] packet from X.X.X.X:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
10:17:32 pluto[18984] packet from X.X.X.X:500: initial Main Mode message received on Y.Y.Y.Y:500 but no connection has been authorized with policy=RSASIG

La dernière ligne me laisse penser qu'il s'agit d'un probleme d'algorithme de cryptage, mais pourtant j'ai bien suivi les instructions du tutos...
Merci pour vos idées.

[Elfeclair]

Est-ce que au moins le diagnostique fonctionne ? Quel est le log du diagnostique (bouton details) ?

[dgoguet]

Non, meme message d'erreur que pour Captain ci-dessus.

[PolluxX]

Merci de m'aider

Alors J'ai configurer avec tes explications:

Je tiens juste a preciser que je fais mes tests en Interne sur un reseau ferme.
Que l'adresse IP de l'interface RED de mon ipcop est parametre en ip static avec l'adresse IP public
Que mon portable Roadwarrior est en XP SP2 et qu'il a une adresse IP ds la meme classe que ma RED.. j'arrive bien a les pinger...

--- VPN Roadwarrior sur IPCop 1.4 ---
__________________________

1 - Paramètrer le VPN sur IPCop 1.4
===================================

Paramétrer le VPN
Paramètres généraux
-------------------
- Nom d'hôte : Adresse IP carte Red
- VPN sur rouge : activé


Générerer les certificats racine et système
Autorités de certification
--------------------------
- Nom d'organisation : Societe
- Nom d'hôte d'IPCop : Adresse IP carte Red
- Votre adresse E-mail : Email@wanadoo.fr
- Pays : France

Connexion
---------
- type de VPN "RPV système à réseau (RoadWarrior)"
- Nom : Utilisateur1
- Interface : Red
- Sous-réseau local : 192.168.1.0/255.255.255.0
- Serveur/IP distant: Vide
- Remarque: RoadWarrior Utilisateur1
- Activé : Oui
- Poursuivre avec la configuration avancée : Oui

Authentification
----------------
- Nom d'utilisateur ou Nom du système (CN): Utilisateur1
- Adresse e-mail de l'utilisateur: Email@wanadoo.fr
- Nom d'Organisation : Societe
- Pays : France
- Mot de passe du fichier PKCS12: XXXXXXX

Avancé
------

- Compression : Non
- Encryptage IKE
- AES (256 bits)
- AES (128 bits)

- Cryptage ESP
- AES (256 bits)
- AES (128 bits)
- Utilisez seulement les paramètres proposés : Oui
- NAT traversal : Oui
- Intégrité IKE
- SHA1
- MD5
- Grouptype IKE :
- MODP-1024
- Intégrité ESP
- SHA1
- MD5
- Grouptype ESP :
- MODP-1024

Exporter le certificat
Contrôle et statut de la connexion
----------------------------------
- Sauver le fichier Utilisateur1.p12


2 - Installer SSH Sentinel 1.3.2.2
==================================

Lancer l'installation de SSH Sentinel 1.3.2.2
Welcome to SSH Sentinel Installation
- Next
Do you wish to accept the terms of Licensing Agreement ?
- Yes
Setup parameters
- Next
Setup parameters
- Next
Move the mouse to generate a random seed
- Move the mouse
- Continue : Suivant
Information
- Subject information : Administrator Email
- Administrator Email : Email@wanadoo.fr
- Suivant
Create a self-signed certificate
- Suivant
Sauver le fichier
- Suivant
J'ai pas cette etape ??
Paramétrage des algorithmes de cryptage
- Next
SSH Installation Completed
- Yes, restart the computer : Finish


3 - Configurer SSH Sentinel 1.3.2.2
===================================

Importer le certificat
----------------------
- Sélectionner l'onglet "Key Management"
- Cliquer droit sur "My Keys"
- Choisir l'option "Import"
- Régler le type de fichier sur "PKCS #12"
- Ouvrir le fichier certificat exporté depuis IPCop : Utilisateur1.p12
- Entrer le mot de passe pour décrypter le certificat : XXXXXXX

Parametrer le VPN
-----------------
- Gateway name : Adresse IP carte Red
- Remote network :
- Network name : Societe
- IP adress : 192.168.1.0
- Subnet mask : 255.255.255.0
- Authentication key : societe ca certification
- Use legagy proposal : non activé

Paramètres supplémentaires
--------------------------

IPSec/IKE proposal
------------------
- Cliquer sur "Settings"
- IKE Proposal Encryption algorithm : Rijndael
- IKE Proposal Integrity function : MD5
- IKE Mode : main mode
- IKE group : MODP 1024 (group 2)
- IPSec Proposal Encryption algorithm : Rijndael
- IPSec Proposal Integrity function : HMAC-MD5
- IPSec mode : tunel (le choix est figé)
- PFS group : MODP 1024 (group2)
- Attach only the selected values to the proposal : Non

Virtual IP address
------------------
- Désactiver "Acquire virtual IP address"
Advanced
--------
Cliquer sur l'onglet "Advanced"
- Apply IP compression : non
- Si le client Roadwarrior est derrière est routeur qui fait du NAT
- Activer : Enable Network Adress Translation Traversal


Voila mes parametrage...

Voila se que me dit SSHSentinel:

Code: Tout sélectionner

Cannot open the VPN connection. Check that the gateway is online and verify that you are using the correct authentication key.

Et le diagnostic..:

Code: Tout sélectionner

Cannot run the diagnostics. The remote end does not respond the IKE proposal (phase-1). Make sure that your filter rules bypass the IKE data packets. Also, verifu that the remote end runs IPSec/IKE, and that it is not temporarily offline or unreachable due to network configuration.

Je poste dans 2 min les log.. le temps que je els recupere...

[Elfeclair]

Je tiens juste a preciser que je fais mes tests en Interne sur un reseau ferme.
Que l'adresse IP de l'interface RED de mon ipcop est parametre en ip static avec l'adresse IP public
Que mon portable Roadwarrior est en XP SP2 et qu'il a une adresse IP ds la meme classe que ma RED.. j'arrive bien a les pinger...

Ton IPcop à une adresse publique définie en statique, ton portable également et ils sont dans la même classe d'adresse et sur le même réseau physique, le RED ? C'est bien ça ?

Par exemple :
IPCOP RED : 80.10.23.1 / 255.255.255.0
Portable : 80.10.23.2 / 255.255.255.0

Portable +----------+ Ipcop Red+Ipcop Vert+---------+Réseau local+----- ...