Probleme VPN SSH Sentinel - 1.4.10

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Probleme VPN SSH Sentinel - 1.4.10

Messagepar xMaximex » 19 Nov 2005 01:41

Salut tout le monde

J'ai suivi à la lettre le document de ElfeClair (http://forums.fr.ixus.net/viewtopic.php?p=161103#161103). Je l'ai fait par deux fois et j'arrive tout le temps au meme résultat.

Voici le schéma de mon réseau :

INTERNET ----------- RED(CABLE, DHCP) - IPCOP - GREEN(10.0.0.1) ------------- 10.0.0.0/24

Le poste client est derriere un routeur sans-fil DLink DI524.

Voici les symptômes :

SSH Sentinel me donne l'erreur suivante lors de la tentative de connexion au VPN :

Code: Tout sélectionner
Cannot open the VPN connection. Check that the gateway is online and verify that you are using the correct authentication key.


Voici le log IKE en moderate de SSH Sentinel :

Code: Tout sélectionner
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Start isakmp sa negotiation
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Version = 1.0, Input packet fields = 0000
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Encode packet, version = 1.0, flags = 0x00000000
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 5
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 4
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 3
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 2
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 1
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Removing negotiation
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Connection timed out or error, calling callback
: Phase-1 [initiator] between ipv4(udp:500,[0..3]=192.168.0.103) and ipv4(udp:500,[0..3]=x.x.x.x) failed; Timeout.
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Deleting negotiation



Et le log de IPCOP section IPSec:

Code: Tout sélectionner
14:32:31   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:31   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:32   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:32   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:34   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:34   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:39   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:39   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:46   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:46   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:56   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:56   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK


La facon d'écrire "x.x.x .x" est voulu, c'est comme ca que c'est écrit dans le log : 123.123.123 .123

Dans la configuration VPN de IPCop j'ai écrit monnom.ath.cx sous "Nom d'hôte ou IP locale du RPV:"

J'ai fouillé le forum au complet, j'ai vu beaucoup de gens qui ont le meme probleme que moi mais personne qui a réussis a le regler ... alors si quelqu'un a une solution faites moi le savoir svp..

Merci
Maxime

Image
Avatar de l’utilisateur
xMaximex
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 11 Mars 2004 01:00

Messagepar West » 19 Nov 2005 05:11

J'ai eu ce probleme avec un netopia, c'est une version plus récente du nétopia qui a rsolu le probleme.

Sinon t'es sur que la clef partagées correcte ?? j'imagine que ton dlink est passtrough.

Tentes une mis a jour du firmaware on sait jamais
http://www.gwadanet.com [share your Doc]
Avatar de l’utilisateur
West
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 08 Jan 2003 01:00

Messagepar erreipnaej » 20 Nov 2005 10:57

Bonjour,

Je n'ai jamais réussi à faire fonctionner un VPN Roadwarrior avec SSH Sentinell.
J'ai résolu mon problème avec Zerina qui t'installe un serveur OpenVPN.
http://home.arcor.de/u.altinkaynak/media/ZERINA-0.9.3b-Installer.tar.gz
La mise en oeuvre est assez facile.
Il y a aussi plusieurs post dans le forum qui te permettornt de corriger d'eventuels problèmes.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar MaRCoOf » 20 Nov 2005 23:48

Bonsoir,


Etant aussi intéressé par l' utilisation d'un client vpn, je ferais l' essais dans la semaine. Je te tiens au courant du résultat.
Marc
MaRCoOf
Major
Major
 
Messages: 85
Inscrit le: 10 Déc 2004 10:27
Localisation: bayonne

Messagepar kinkey » 22 Nov 2005 10:16

J'ai fonctionné pendant un moment avec ssh sentinel... là j'envisage de passer à OpenVpn et pour le moment c'est que du bonheur, déjà tu peux attribuer une plage réseau à tes clients distants ce qui permet de contrôler les ip et les droits d'accès via du sous-réseau. Ensuite lorsque le client ce connecte un mot de passe est demandé, dans le cas de certificats. L'interface est super légere et surtout elle n'empeche pas windows de démarrer, ce qui est le cas avec certaines install de ssh sentinel. Et surtout le truc pas mal, le client est multi plateforme. Encore un truc pas mal, tu peux définir des paramètres pour attribuer des adresses pour le dns, wins, ntp.
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar xMaximex » 22 Nov 2005 18:32

erreipnaej a écrit:Bonjour,

Je n'ai jamais réussi à faire fonctionner un VPN Roadwarrior avec SSH Sentinell.
J'ai résolu mon problème avec Zerina qui t'installe un serveur OpenVPN.
http://home.arcor.de/u.altinkaynak/media/ZERINA-0.9.3b-Installer.tar.gz
La mise en oeuvre est assez facile.
Il y a aussi plusieurs post dans le forum qui te permettornt de corriger d'eventuels problèmes.
@+


J'ai installé et congigurer Zerina, mais quand jarrive pour telecharger le package client, l'icone n'est pas un lien, donc je ne peux pas le telecharger
Maxime

Image
Avatar de l’utilisateur
xMaximex
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 11 Mars 2004 01:00

Messagepar madjet » 24 Nov 2005 00:41

kinkey a écrit:à j'envisage de passer à OpenVpn et pour le moment c'est que du bonheur, déjà tu peux attribuer une plage réseau à tes clients distants ce qui permet de contrôler les ip et les droits d'accès via du sous-réseau.


Avec IPSEC aussi, tu peux!! il suffit de modifier (à la main...) la valeur de virtual_private dans le fichier /etc/ipsec.conf et la valeur de rightsubnet de chaque connexion . Par défaut elle vaut "vhost:%no,%priv" (=> pas d'adresse virtuelle ou adresses définies dans virtual_private) mais il me semble que tu peux lui dire d'utiliser DHCP (voir un HOWTO sur IPSEC pour la syntaxe exacte)

Pour virtual_private, tu lui mets des listes d'adresses autorisées (mais surtout différentes de l'adresse du LAN derrière IPCOP). J'ai déjà testé et ça fonctionne!

madjet
madjet
Matelot
Matelot
 
Messages: 5
Inscrit le: 31 Mars 2005 15:06

Messagepar kinkey » 28 Nov 2005 12:55

Avec IPSEC aussi, tu peux!! il suffit de modifier (à la main...) la valeur de virtual_private dans le fichier /etc/ipsec.conf et la valeur de rightsubnet de chaque connexion . Par défaut elle vaut "vhost:%no,%priv" (=> pas d'adresse virtuelle ou adresses définies dans virtual_private) mais il me semble que tu peux lui dire d'utiliser DHCP (voir un HOWTO sur IPSEC pour la syntaxe exacte)


Ha pas mal ça, au contraire est-ce que ssh sentinel vas l'accepter ? Et à la limite je préfère passer par SSL, comme ça pas de prise de tête avec le PASSTROUGH (ou un truc du genre).
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar madjet » 28 Nov 2005 15:45

bien sûr que sshsentinel l'accepte!! c ce que j'utilise chez moi...
madjet
Matelot
Matelot
 
Messages: 5
Inscrit le: 31 Mars 2005 15:06


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité