VPN Ipcop et roadwarrior, classe d'adresse.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN Ipcop et roadwarrior, classe d'adresse.

Messagepar grome » 14 Avr 2005 18:04

Bonjour,

Voilà j'ai recommencé mes tests pour monter des vpn (encore un post sur les vpn :( ) entre sites distants. Je vais essayer d'être clair pour ceux qui liront ce mail par la suite.
Je fais actuellement des tests avec le logiciel ssh sentinel 1.3.2 (désormais appelé softremote à ce que j'ai compris ...) pour les vpn roadwarrior et des tests de ipcop à ipcop ( les ipcop sont 1.4.5)

Ma question sur les classes d'adresse est la suivante :

Est ce que l'adressage est important ? Je sais c'est très con comme question ...
supposons un site A avec comme adresse ip sur le green ipcop 168.0.0.254 mask 255.255.0.0
supposons un site B avec comme adresse ip sur le green ipcop 192.168.1.1 mask 255.255.255.0
Est ce que çà peut fonctionner ? sinon pourquoi ?

Est ce que ceci ne serait pas mieux
site A -> 192.168.1.1 mask 255.255.255.0
site B -> 192.168.2.1 mask 255.255.255.0

Mon site A est adressé bizarrement, j'ai envie de refaire l'adressage de ce reseau. D'autant qu'il y a juste quelques imprimantes avec ip fixe à reparamétrer et un serveur windows 2000 SBS.

J'ai une erreur avec ssh sentinel quand je veux tester mon vpn.
cannot run the diagnostics. the remote host ip adress is invalid, correct the adress and run the diagnostics again

Comme ca marche pas mieux avec le tutoriel de poudre http://pascal.poudre.free.fr/vpn/ et ceci aussi bien avec les certificats qu'avec une clé partagé je me demande si il y a pas un probleme d'adresse.

Les ressources ne manquent pas sur ixus.net j'ai essayé ceci aujourd'hui, mais peut être que je passe à côté de quelque chose.
pb de VPN en RoadWarrior - IPCop 1.4.2/Win2k
Infos sur VPN et RPV...
[ANNONCE] Howto IPCop à IPCop en x509
rien a voir mais j'ai lu çà avec interet... Vitesse du VPN !
VPN Avec IPCOP 1.4.0

merci d'avance et longue vie a ixus...
L'important n'est pas de construire seul une montagne, mais d'apporter à l'édifice humain sa contribution, ne serait ce qu'un caillou. St Exupéry
Avatar de l’utilisateur
grome
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 27 Oct 2003 01:00
Localisation: france

Messagepar romz » 17 Avr 2005 18:15

Plusieurs points à voir dans ton pb :

1 - en effet, la classe d'adressage actuelle de ton site n'est pas judicieuse car elle fait partie du réseau Public Internet. En revanche tout réseau de la forme 192.168.x.x est réservé à l'usage interne (ainsi que de 172.16.0.0 à 172.31.255.255 pour les réseaux de classe B et de 10.0.0.0 à 10.255.255.255 pour les réseaux de classe A). Tu devrais donc changer ton plan d'adressage du site A par 192.168.2.0/24 (Ca t'évitera toujours de modifier celui du site B)

2 - Pour ton pb de VPN, ça se corse : je vais supposer que ton client SSH est sur le site A et l'IPCOP sur le site B.
- :idea: Active la prise en compte du NAT-Traversal sur ton client SSH. Je suppose que tu as un routeur sur le site A qui fait de la translation d'adresse (ou un IPCOP), donc ça permettra de faire passer le VPN. (le flux ESP est encapsulé dans du flux UDP 4500 qui lui supporte la translation d'adresse)
- Juste pour être sûr : le paramètre remote gateway IP de SSH Sentinel doit correspondre à ton adresse IP RED de l'IPCOP du site B...
Avatar de l’utilisateur
romz
Matelot
Matelot
 
Messages: 4
Inscrit le: 10 Avr 2005 12:24
Localisation: Toulouse

Messagepar grome » 18 Avr 2005 08:16

Salut,

Pour les adresses public, je sais pas pourquoi le reseau a été configuré comme çà à la base, enfin bon je referrai l'adressage. Je viens de tomber sur un posts que j'avais mal lu apparemment il ne faut pas que les deux lan que l'on veut relier soit sur les mêmes adresses. Ca me semble logique tout compte fait.

Effectivement sur le site A je fais mes tests SSH Sentinel derriere un ipcop et effectivement l'adresse remote gateway pour le vpn configuré sous SSH sentinel correspond à l'adresse du red de mon ipcop du site B.

J'ai suivi toute les étapes de création et j'obtiens ceci

Lorsque je fais un diagnostic sur mon vpn dans ssh sentinel : Cannot run the diagnostic : the remote end does not respond to the ike proposal (phase 1). Make sure that the filter rules bypass the ike data packets. Also verify that the remote end runs ipsecike, and that is not temporarily offline or unreachable due to network configuration

sinon lorsque je selectionne mon vpn dans le systray de windows (clic droit sur l'icone ssh et select vpn) j'obtiens ceci :
Cannot open the vpn connection check that the gateway is online and verify that you are using the correct authentication key

les deux ipcops ont été redemarrés et j'ai aussi redemarré le poste sur lequel j'ai configuré ssh sentinel.
L'important n'est pas de construire seul une montagne, mais d'apporter à l'édifice humain sa contribution, ne serait ce qu'un caillou. St Exupéry
Avatar de l’utilisateur
grome
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 27 Oct 2003 01:00
Localisation: france

Messagepar West » 19 Avr 2005 11:58

je ne sais pas si je dois ouvrir un enieme poste pour ca, mais de mon coté j'ai réalisé un test avec ssh sentinel.
Ca a marché sur un site en ipcop 1.3, et pour 2 autres en 1.3 et 1.2, mon ipcop (a la maison) bloque les acces vers le port 500 ( alors qu'il est bien en écoute).
je ne vois pas pourquoi il est bloque, sauf si les trames ne sont pas identifiées, mais j'ai pourtant coché l'option NAT-T ds ssh sentinel.

si vous avez une idée ??
http://www.gwadanet.com [share your Doc]
Avatar de l’utilisateur
West
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 08 Jan 2003 01:00

Messagepar phaby » 19 Avr 2005 12:31

As-tu refait ton plan d'adressage ?

siteA et siteB avec des classes privées et des reseaux distincts

as-tu bien mis Grouptype ESP = Phase 1 group (coté IPCOP) ?

essais d'abord avec du PSK, j'ai fais ça en 10min en suivant le tuto que tu cite et ça marche nickel.
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar West » 19 Avr 2005 13:27

les adresses des 2 réeaux sont différentes.
j'utilise une clef partagée.
ipcop en group phase 1.
ca a marché sur un site, j'ai donc rien touché pour les autres (au niveau du client).

je viens de faire une analyse des trames et j'ai ca:


No. Time Source Destination Protocol Info
2150 5.524286 128.128.16.16 X.X.203.129 ISAKMP Identity Protection (Main Mode)
2151 5.524591 128.128.16.16 X.X.203.129 IP Fragmented IP protocol (proto=UDP 0x11, off=1280)

2585 6.526572 128.128.16.16 X.X.203.129 ISAKMP Identity Protection (Main Mode)
2586 6.526866 128.128.16.16 X.X.203.129 IP Fragmented IP protocol (proto=UDP 0x11, off=1280)

3366 8.531535 128.128.16.16 X.X.203.129 ISAKMP Identity Protection (Main Mode)
3367 8.532109 128.128.16.16 X.X.203.129 IP Fragmented IP protocol (proto=UDP 0x11, off=1280)

4926 12.533754 128.128.16.16 X.X.203.129 ISAKMP Identity Protection (Main Mode)
4927 12.534019 128.128.16.16 X.X.203.129 IP Fragmented IP protocol (proto=UDP 0x11, off=1280)

8002 20.535252 128.128.16.16 X.X.203.129 ISAKMP Identity Protection (Main Mode)
8003 20.535519 128.128.16.16 X.X.203.129 IP Fragmented IP protocol (proto=UDP 0x11, off=1280)

11959 30.538114 128.128.16.16 X.X.203.129 ISAKMP Identity Protection (Main Mode)
11960 30.538369 128.128.16.16 X.X.203.129 IP Fragmented IP protocol (proto=UDP 0x11, off=1280)


si j'ai bien comprise mon pc rodwarrior fragmente la paquet.
pourquoi ? est ce a cause du ipcop juste devant lui qui rajoute des entetes ??

PS: le serveur vpn (chez moi) a dans ses log firewall l'ip public du site ou je me trouve comme étant bloqué sur le port 500. il a donc refusé la connexion via le firewall.



si vous avez une reponse, merci.
http://www.gwadanet.com [share your Doc]
Avatar de l’utilisateur
West
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 08 Jan 2003 01:00

Messagepar grome » 19 Avr 2005 14:42

J'ai pas encore refait mon plan d'adressage. Je dois le faire mercredi.

Je vais adresser mon premier site en 192.168.0.1 mask 255.255.255.0
et mon deuxieme site en 192.168.1.1 mask 255.255.255.0

a priori cet adressage est correct non ?

Sinon j'ai essayé en PSK et cela ne fonctionne pas non plus. Mais c'est vrai que tant que le plan d'adressage n'est pas refait ...

J'ai aussi Grouptype ESP = Phase 1 group coté IPCOP ...

Je vais bien voir demain ce que çà donne.
L'important n'est pas de construire seul une montagne, mais d'apporter à l'édifice humain sa contribution, ne serait ce qu'un caillou. St Exupéry
Avatar de l’utilisateur
grome
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 27 Oct 2003 01:00
Localisation: france

Messagepar grome » 21 Avr 2005 15:11

Voilà j'ai refait mon adressage

Par contre quand je tente (via l'interface web d'ipcop) de télécharger le hostcert.pem sur le site distant, j'obtiens le message ci dessous lorsque je clique sur le bouton enregistrer

Le certificat n'a pas d'autorité de certification (CA) valide associée..

Comme vous l'avez compris je suis en train de tester le VPN de reseau à reseau, avec mes réseaux fraichement ré-adressé.

Merci d'avance.
L'important n'est pas de construire seul une montagne, mais d'apporter à l'édifice humain sa contribution, ne serait ce qu'un caillou. St Exupéry
Avatar de l’utilisateur
grome
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 27 Oct 2003 01:00
Localisation: france


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron