Bonjour à tous
Voici la problèmatique : je veux monter un VPN entre deux agences.
D'un côté, j'ai une MNF version 1 et de l'autre une MNF version 2.
Ma MNF1 est ma C.A. : j'ai donc procédé à la génération des certificats et clés pour mon client.
J'ai donc configuré et copié les fichiers nécessaires sur mon client en MNF 2.
Après avoir rédémarré le service IPsec, j'obtiens les logs suivantes :
Mar 8
16:15:13 pluto Using Linux 2.6 IPsec interface code
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/cacerts'
Mar 8
16:15:14 pluto loaded CA cert file 'cacert.pem' (1574 bytes)
Mar 8
16:15:14 pluto loaded CA cert file 'ca.crt' (1306 bytes)
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/aacerts'
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/ocspcerts'
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/crls'
Mar 8
16:15:14 pluto loaded crl file 'crl.crt' (690 bytes)
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/acerts'
Mar 8
16:15:15 pluto
Mar 8
16:15:15 pluto
Mar 8
16:15:15 pluto loaded host cert file '/etc/freeswan/ipsec.d/certs/xxx1.crt' (1306 bytes)
Mar 8
16:15:15 pluto loaded host cert file '/etc/freeswan/ipsec.d/certs/xxx2.crt' (1306 bytes)
Mar 8
16:15:15 pluto added connection description "xxx1-vpn"
Mar 8
16:15:15 pluto listening for IKE messages
Mar 8
16:15:15 pluto adding interface eth1/eth1 xxx.xxx.xxx.44
Mar 8
16:15:15 pluto adding interface eth0/eth0 xxx.xxx.xxx.30
Mar 8
16:15:15 pluto adding interface lo/lo 127.0.0.1
Mar 8
16:15:15 pluto adding interface lo/lo ::1
Mar 8
16:15:15 pluto loading secrets from "/etc/freeswan/ipsec.secrets"
Mar 8
16:15:15 pluto loaded private key file '/etc/freeswan/ipsec.d/private/xxx1.key' (1675 bytes)
Mar 8
16:15:16 pluto "xxxx-vpn" #1: initiating Main Mode
Mar 8
16:15:16 pluto
Mar 8
16:15:16 pluto "xxxx-vpn" #1: certificate signature is invalid
Mar 8
16:15:16 pluto "xxxx-vpn" #1: X.509 certificate rejected
Mar 8
16:15:16 pluto "xxxx-vpn" #1: ISAKMP SA established
Mar 8
16:15:16 pluto "xxxx-vpn" #2: initiating Quick Mode RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+UP {using isakmp#1}
--
Comme constaté, le VPN ne se monte pas.
Quelqu'un a-t-il une idée ou qqun a-t-il déjà été confronté à la même problématique ?
En vous remerciant d'avance pour vos réponses, cordialement.
VPN entre un MNF 1 et un MNF 2
Modérateur: modos Ixus
14 messages
• Page 1 sur 1
VPN entre un MNF 1 et un MNF 2
par imamodaly » 08 Mars 2006 17:46
-
imamodaly - Matelot
- Messages: 10
- Inscrit le: 08 Mars 2006 17:40
par Gandalf » 08 Mars 2006 17:51
Salut, je n'ai jamais réalisé un tel VPN entre les 2 versions ! Regarde cette doc, mais elle traite du VPN entre version 8.2 : ftp://new.homelinux.net/MNF/old/Autres% ... nf_vpn.pdf !
Ca fonctionne plutot bien entre version identique !
Ca fonctionne plutot bien entre version identique !
/G.
-
Gandalf - Amiral
- Messages: 1980
- Inscrit le: 22 Août 2002 00:00
- Localisation: Strasbourg
par imamodaly » 08 Mars 2006 18:00
Merci bcp pour la doc, Gandalf.
Si vous voulez, on a pas eu de pb à créer un VPN entre MNF de mêmes versions.
D'après le support technique mandriva, l'approche n'est pas la même, car l'ipsec est géré en natif.
Toute la problématique du projet est là : monter un VPN entre MNF de versions différentes.
Merci pour les réponses.
A bientot.
Si vous voulez, on a pas eu de pb à créer un VPN entre MNF de mêmes versions.
D'après le support technique mandriva, l'approche n'est pas la même, car l'ipsec est géré en natif.
Toute la problématique du projet est là : monter un VPN entre MNF de versions différentes.
Merci pour les réponses.
A bientot.
-
imamodaly - Matelot
- Messages: 10
- Inscrit le: 08 Mars 2006 17:40
par imamodaly » 09 Mars 2006 15:00
Bah... ils me répondent ceci :
Bonjour,
Pour pouvoir bénéficier du support vous devez enregistrer votre produit.
Pour cela il vous suffit d'aller sur le site web www.mandriva.com
(cliquer sur l'onglet support et suivre l'assistant).
Lorsque votre inscription est terminé vous pouvez vous connecter sur
notre plateforme web support : www.mandrivaexpert.com
Très cordialement.
Support Service Mandriva.
Et moi je leur ai dit : oui, c'est déjà fait. Nos IDs sont : ....
Très cordialement.
Bonjour,
Pour pouvoir bénéficier du support vous devez enregistrer votre produit.
Pour cela il vous suffit d'aller sur le site web www.mandriva.com
(cliquer sur l'onglet support et suivre l'assistant).
Lorsque votre inscription est terminé vous pouvez vous connecter sur
notre plateforme web support : www.mandrivaexpert.com
Très cordialement.
Support Service Mandriva.
Et moi je leur ai dit : oui, c'est déjà fait. Nos IDs sont : ....
Très cordialement.
-
imamodaly - Matelot
- Messages: 10
- Inscrit le: 08 Mars 2006 17:40
! Donc tu n'as pas eu de réponse précise de leur part ...par imamodaly » 09 Mars 2006 15:31
Eh non !
Pourtant, j'ai suivi de près la documentation fourni sur le CD d'install.
Petite question :
Mon VPN client (en MNF 2) doit communiquer avec un firewall en MNF 1. Ce dernier est la C.A.
Si j'ai bien compris, je dois générer sur le FW en MNF 1 les certificats pour le client et copier les fichiers sur le client ?
Merci d'avance pour vos réponses.
Pourtant, j'ai suivi de près la documentation fourni sur le CD d'install.
Petite question :
Mon VPN client (en MNF 2) doit communiquer avec un firewall en MNF 1. Ce dernier est la C.A.
Si j'ai bien compris, je dois générer sur le FW en MNF 1 les certificats pour le client et copier les fichiers sur le client ?
Merci d'avance pour vos réponses.
[_Idriss_M._]
-
imamodaly - Matelot
- Messages: 10
- Inscrit le: 08 Mars 2006 17:40
par Gandalf » 09 Mars 2006 17:13
Attention il n'y a pas de "client" dans le cas d'un tunnel avec 2 MNF ! Le client c'est pour un VPN dit "roadwarrior" ou nomade !
Avec 2 MNFs tu dois avoir un "left" et un "right" ! Regarde cette procédure, elle est très bien faite ( un peu ancienne mais ça a fonctionné pour moi et pour d'autres !) : ftp://new.homelinux.net/mnf/old/INSTALL ... thelot.pdf
A l'époque Cyril Berthelot avait mis pas mal de VPNs en place avec ça ! Contacte-le peut-être, il était assez calé dans ce registre !
Ce qui m'étonne c'est que le support de Mandriva ne te fournisse pas de réponse ... ça c'est quand même fort, c'est leur valeur ajoutée quand même !
Tiens nous au courant !
Avec 2 MNFs tu dois avoir un "left" et un "right" ! Regarde cette procédure, elle est très bien faite ( un peu ancienne mais ça a fonctionné pour moi et pour d'autres !) : ftp://new.homelinux.net/mnf/old/INSTALL ... thelot.pdf
A l'époque Cyril Berthelot avait mis pas mal de VPNs en place avec ça ! Contacte-le peut-être, il était assez calé dans ce registre !
Ce qui m'étonne c'est que le support de Mandriva ne te fournisse pas de réponse ... ça c'est quand même fort, c'est leur valeur ajoutée quand même !
Tiens nous au courant !
/G.
-
Gandalf - Amiral
- Messages: 1980
- Inscrit le: 22 Août 2002 00:00
- Localisation: Strasbourg
par imamodaly » 09 Mars 2006 17:28
Merci pour la documentation ! Cependant, nous avons déjà procéder au montage de VPN entre 2 MNF de mêmes versions (MNF 1).
Je vais essayer de contacter le sieur Berthelot.
J'attends vos réponses, tout de même !
Merci beaucoup...
Je vais essayer de contacter le sieur Berthelot.
J'attends vos réponses, tout de même !
Merci beaucoup...
[_Idriss_M._]
-
imamodaly - Matelot
- Messages: 10
- Inscrit le: 08 Mars 2006 17:40
par imamodaly » 09 Mars 2006 17:45
Si vous voulez, dans MNF 2, la gestion de l'ipsec est différente.
On ne crée plus une zone VPN ayant une interface ipsec0. Tout est en "natif"...
A vrai dire, ce n'est pas ça mon vrai pb. Visiblement, le MNF2 ne veut pas des certificats générés par mon MNF1 (qui est la C.A.)...
Que faire, d'après vous ?
A bientôt...
On ne crée plus une zone VPN ayant une interface ipsec0. Tout est en "natif"...
A vrai dire, ce n'est pas ça mon vrai pb. Visiblement, le MNF2 ne veut pas des certificats générés par mon MNF1 (qui est la C.A.)...
Que faire, d'après vous ?
A bientôt...
[_Idriss_M._]
-
imamodaly - Matelot
- Messages: 10
- Inscrit le: 08 Mars 2006 17:40
par squidly » 27 Déc 2007 15:30
Hello,
Pour info même si c'est probablement trop tard. Je viens de réussir à faire communiquer en IPSEC un MNF2 (CA) et un MNF1.
Coté MNF2 créer la batterie de certificats et clés; ouvrir les ports 500 adéquats.
Coté MNF1 déployer les certificats et clés en créer des liens symboliques pour replacer les certificats là ou la MNF1 les attend.
Ensuite visiblement même sans le KLIPS sur la MNF2 le tunnel se monte et je ping les machines sur l'autre site.
Pour le moment ce n'est que du test faut voir si ça passera la nuit avec le backup/rsync qui va pousser quelques Go
A bientôt
Pour info même si c'est probablement trop tard. Je viens de réussir à faire communiquer en IPSEC un MNF2 (CA) et un MNF1.
Coté MNF2 créer la batterie de certificats et clés; ouvrir les ports 500 adéquats.
Coté MNF1 déployer les certificats et clés en créer des liens symboliques pour replacer les certificats là ou la MNF1 les attend.
Ensuite visiblement même sans le KLIPS sur la MNF2 le tunnel se monte et je ping les machines sur l'autre site.
Pour le moment ce n'est que du test faut voir si ça passera la nuit avec le backup/rsync qui va pousser quelques Go
A bientôt
-
squidly - Matelot
- Messages: 2
- Inscrit le: 13 Fév 2004 01:00
- Localisation: Fr - 94
14 messages
• Page 1 sur 1
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité