Problème VPN aléatoires

[Joffrey]

Bonjour,

j'avais jusqu'à présent 2 Ipcop sur 2 sites distants en DynDNS reliés par VPN sans rencontrer le moindre problème depuis 1 an.

J'ai ajouté un 3ème Ipcop sur un site équipé d'une freebox dégroupée (en mode routeur), et depuis j'ai quelques soucis

La topologie est en triangle : chaque Ipcop à un VPN vers les 2 autres

Les 2 premiers Ipcop ont une RED PPPoE
Le dernier a sa RED en IP locale fixe et la freebox est configurée avec sa DMZ vers l'IP locale RED de l'ipcop.

Tous les Ipcop sont en 1.4.10

Les VPN sont avec certificat et j'ai bien laissé sur le 3ème Ipcop (freebox routeur) l'IP locale RED en nom d'hote pour la config du VPN.
J'ai installé sur les 3 Ipcops le script de reconnexion VPN du newbee kit

Mais malgré ça, les tunnels tombent régulièrement...

Pour les remonter, la flèche circulaire de redemarrage du VPN suffit parfois, mais bien souvent il faut desactiver le VPN des 2 cotés puis le réactiver voir même redemarrer complètement l'ipcop.

Le plus étrange, c'est que parfois un tunnel est déclaré "OUVERT" d'un côté et "FERME" de l'autre (même après 25 F5 de rafraîchissement de la GUI). Bien evidement dans ce cas le VPN n'est réellement pas opérationnel.

Une autre chose étrange, quand un tunnel est monté, les logs continuent de se remplir de messages d'erreur de ce type : (il y a les mêmes messages dans les logs des 2 ipcops)

Code: Tout sélectionner

11:02:45 pluto[1212] packet from 82.243.57.XXX:4500: initial Main Mode message received on 83.179.154 .XX:4500 but no connection has been authorized with policy=RSASIG
11:02:45 pluto[1212] packet from 82.243.57.XXX:4500: received Vendor ID payload [Dead Peer Detection]
11:02:45 pluto[1212] packet from 82.243.57.XXX:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-00]
11:02:45 pluto[1212] packet from 82.243.57.XXX:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-02]
11:02:45 pluto[1212] packet from 82.243.57.XXX:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-03]
11:02:45 pluto[1212] packet from 82.243.57.XXX:4500: received Vendor ID payload [RFC 3947]
11:02:05 pluto[1212] packet from 82.243.57.XXX:4500: initial Main Mode message received on 83.179.154 .XX:4500 but no connection has been authorized with policy=RSASIG


Ce sont surtout les 2 VPN avec pour point de départ le 3ème Ipcop qui tombent, mais aussi parfois le VPN entre mes 2 premiers Ipcop qui n'avait jamais eu de problème jusqu'a présent

J'ai déjà RAZ plusieurs fois les config pour les refaire calmement, ça ne change rien.

Si quelqu'un a une idée, je suis preneur ...

[Joffrey]

J'ai trouvé une nouvelle piste, si ça peut éclairer quelqu'un ...

Celà ne m'avais pas frappé jusqu'alors, mais ça me semble être l'origine du problème :

L'ipcop 1 et l'Ipcop 2 n'envoient pas leurs packet d'initialisation du VPN sur le même port ...

Code: Tout sélectionner

11:39:09 pluto[20507] packet from 83.179.54.x:4500: initial Main Mode message received on 192.168.1. 250:4500 but no connection has been authorized with policy=RSASIG
11:39:09 pluto[20507] packet from 83.179.54.x:4500: received Vendor ID payload [Dead Peer Detection]
11:39:09 pluto[20507] packet from 83.179.54.x:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-00]
11:39:09 pluto[20507] packet from 83.179.54.x:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-02]
11:39:09 pluto[20507] packet from 83.179.54.x:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-03]
11:39:09 pluto[20507] packet from 83.179.54.x:4500: received Vendor ID payload [RFC 3947]
11:38:29 pluto[20507] packet from 83.179.54.x:4500: initial Main Mode message received on 192.168.1. 250:4500 but no connection has been authorized with policy=RSASIG


Ipcop 1 => port 4500

Code: Tout sélectionner

11:29:11 pluto[24811] packet from 82.243.57.x:500: initial Main Mode message received on 83.179.54.1 65:500 but no connection has been authorized with policy=RSASIG
11:29:11 pluto[24811] packet from 82.243.57.x:500: received Vendor ID payload [Dead Peer Detection]
11:29:11 pluto[24811] packet from 82.243.57.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-00]
11:29:11 pluto[24811] packet from 82.243.57.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02]
11:29:11 pluto[24811] packet from 82.243.57.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]
11:29:11 pluto[24811] packet from 82.243.57.x:500: received Vendor ID payload [RFC 3947]
11:28:31 pluto[24811] packet from 82.243.57.x:500: initial Main Mode message received on 83.179.54.1 65:500 but no connection has been authorized with policy=RSASIG


Ipcop 2 => port 500

Quelqu'un sait d'ou ça vient ?

Merci d'avance

[nl]

Regarde là :
http://forums.fr.ixus.net/viewtopic.php?t=33547

[Franck78]

Salut,

C'est toujours compliqué a comprendre un problème ipsec/ipcop. Les messages de log classiques n'informent pas sur le problème directement. C'est la situation 'dynamique' du moment qu'il faut essayer de comprendre.

Pour ça il faut utiliser
ipsec auto --status
=>"testrw": 10.0.0.0/16===86.72.26.15[C=FR, O=BOC, CN=thewall.dhome.fr]---1.1.1.1...%virtual[C=FR, O=CLIENT, CN=client.dhome.fr]

Cette ligne décrit parfaitement le VPN 'prévu'. Elle est adaptée à chaque config et on y retrouve toute la config: reseau left, ip routeur, gateway, authentif choisie....

Utiles aussi:
cat /var/ipcop/vpn.ipsec.secrets
qui doit donner une ligne par connection. On doit y retrouver les IP des deux cotés, ou des '*', c'est ça qui pointe vers la 'RSASIG'

Donc
ipsec auto --help
pour avoir des infos utiles sur l'état de chaque connection.