VPN entre un IPcop et un Pix 515e

par **irad** » 20 Mars 2006 13:13

Bonjour,

J'ai un petit probleme pour établire un VPN entre 2 association.

Voila la config

Pix 515e de l'autre asso avec IP fixe
|
|
Internet
|
|
RED ...... IP fixe wanadoo avec live box en bridge
|
192.168.1.1
|
|
192.168.1.2
|
IPCOP........... DMZ en 10.78.2.1 ....... serveur de la DMZ
|
Vert en 10.78.1.1
|
|
PC du réseau

Nom: Rumba
Côté IPCOP : Left Serveur/IP distant: IPfixe de l'autre asso
Sous-réseau local : 10.78.1.0/255.255.255.0 Sous-réseau distant : 192.168.0.0/255.255.255.0
Remarque: * rien
Action quand le 'pair' disparait: resart ? Perfect Forward Secrecy (PFS): Oui
Activé: Oui

Avec une clef PSK

Compression: non
Encryptage IKE : 3DES Intégrité IKE : SHA
Durée de vie IKE : 8Heures heures Grouptype IKE : MODP - 1024
Encryptage ESP : 3DES Intégrité ESP : SHA
Durée de vie de la clé ESP : 8Heures heures Grouptype ESP :MODP - 1024

J'ai essayer une bonne 10ene des thread du fofo et avec mon colegue on a quasi tous essayer dans tous les sens et on trouve pas.

Quelqu'un peut nous venir en aide Svp.

Merci

par **Franck78** » 21 Mars 2006 01:25

Cette page est bonne.

Par contre tu ne dis pas ce qu'est la valeur pour le champ "Nom d'hôte ou IP locale du RPV:"

Si tu as mis 192.168.1.2, sur ton Cop et le pix, ca marche pas.

Si tu as mis l'adresse de la livebox, ce devrait pas fonctionner aussi simplement. J'ai rien pour tester.

Le problème en gros doit être que l'une des extrémités est connue publiquement(livebox) mais n'est pas
l'origine du tunnel ou dans l'autre sens, l'adresse privée ne passe pas l'internet. Donc openswan n'arrive pas à monter une association!

PS: je ne la sent pas trop bridge la livebox dans ton schéma !!!

par **irad** » 21 Mars 2006 10:44

Pour le bridge de la live box en faite je redirige tous les port vers mon IPcop.

Par contre tu ne dis pas ce qu'est la valeur pour le champ "Nom d'hôte ou IP locale du RPV:"

Je met mon IP public fixe et mon collegue met aussi cette meme IP.

par **Franck78** » 21 Mars 2006 14:01

Alors tu dois bien avoir les messages freeswan disant qu'il recoit une requète de connexion mais qu'il ne sait pas avec quoi l'associer.
.. BUT... WE HAVE ..NO PEER ... un message dans ce style non ?
Et aussi ceux indiquant qu'il ne recoit pas de réponse a ses demandes!

.... NO RESPONSE TO ....

par **irad** » 22 Mars 2006 10:28

Franck78 a écrit:Alors tu dois bien avoir les messages freeswan disant qu'il recoit une requète de connexion mais qu'il ne sait pas avec quoi l'associer.
.. BUT... WE HAVE ..NO PEER ... un message dans ce style non ?
Et aussi ceux indiquant qu'il ne recoit pas de réponse a ses demandes!

.... NO RESPONSE TO ....

On les trouves ou les messages freeswan

par **Franck78** » 22 Mars 2006 13:56

Deux endroits:
L'écran de log de IPCop (ALT-F12)
GUI, journaux, choisir IPSec.

C'est quand même la base pour traquer nu problème :shock:

bye

par **jdh** » 22 Mars 2006 14:05

Avec une Livebox (ou autre box en mode routeur), il y a forcément du NAT qui est fait.

Il faut donc qu'IPSEC soit configuré avec l'option "Traversal" destiné justement à "traverser" des passerelles faisant du NAT (translation d'adresses).

Je peux supposer qu'IPCOP, mis à jour, peut utiliser cette option. Côté PIX, cela doit aussi être activé.

Enfin IPSEC utilisant aussi des protocoles différents de TCP et UDP (notamment ESP=n° 50 et SA=n° 51 ou l'inverse) en plus de UDP/500 et pour "Traversal" UDP/5000 (de mémoire). Il faut donc configurer la Livebox pour transporter ces protocoles et seulement ceux-ci. (C'est une mauvaise idée de renvoyer TOUS les ports de TCP et UDP !)

Bien évidemment, la visu des logs doit être le premier point à regarder pour essayer de comprendre.

par **Franck78** » 22 Mars 2006 14:18

jdh a écrit:Il faut donc qu'IPSEC soit configuré avec l'option "Traversal" destiné justement à "traverser" des passerelles faisant du NAT (translation d'adresses).

Ce n'est pas désactivable sur IPCOp. Le nat traversal est toujours proposé.

par **irad** » 22 Mars 2006 15:51

Franck78 a écrit:Deux endroits:
L'écran de log de IPCop (ALT-F12)
GUI, journaux, choisir IPSec.

C'est quand même la base pour traquer nu problème

bye

je connais pas tous les noms en faite freeswan me disait rien, moi je les consultes en me connectant via SSH en faisant un "cat /var/log/messages" (du moins celui la correspond à ALT F12)
Je me connect que via Https oui SSH ^^

Sinon je viens de lire un truc comme quoi sur certain routeur la desactivation du NAT est necessaire pour que ça marche.

(j'aime IPCop, j'aime Linux, mais quand on vient du "merveilleux monde " bugguer de monsieur Bill c'est dure de perdre les mauvaise habitude

Je suis bien en 1.4.10

avec une Livebox (ou autre box en mode routeur), il y a forcément du NAT qui est fait.

Il faut donc qu'IPSEC soit configuré avec l'option "Traversal" destiné justement à "traverser" des passerelles faisant du NAT (translation d'adresses).

Je peux supposer qu'IPCOP, mis à jour, peut utiliser cette option. Côté PIX, cela doit aussi être activé.

Enfin IPSEC utilisant aussi des protocoles différents de TCP et UDP (notamment ESP=n° 50 et SA=n° 51 ou l'inverse) en plus de UDP/500 et pour "Traversal" UDP/5000 (de mémoire). Il faut donc configurer la Livebox pour transporter ces protocoles et seulement ceux-ci. (C'est une mauvaise idée de renvoyer TOUS les ports de TCP et UDP !)

Bien évidemment, la visu des logs doit être le premier point à regarder pour essayer de comprendre.

ça change quoi ? vu qui si j'avais un modem tous les ports serais directement gérer via IPCop non ?(je me trompe surement vu que je suis un gentil newbie)

VPN entre un IPcop et un Pix 515e

VPN entre un IPcop et un Pix 515e

Qui est en ligne ?