Pb VPN entre Ipcop et DLink

[DESAJFG]

Bonjour,

Après avoir lu tout le forum ixsus je ne parviens toujours pas à créer mon tunnel VPN entre deux site de l'entreprise.

Voici l'architecture:

Siège: Site1: GREEN - IPCOP - INTERNET MAGIC ON LINE --//-- INTERNET FREE - Routeur VPN DLINK - réseau local du Site 2.

Les sous réseaux :
local Site 1: 192.168.10.0/255.255.255.0
local Site 2: 192.168.1.0/255.255.255.0

Paramétrage IPCOP V1.4.10: Installé selon image avec uniquement le plug in advproxy d'ajouté. configuration RED + GREEN - modem ethernet PPPOE

Paramétrage VPN d'IPCOP----------------------
nom d'hote ou ip locale: l'adresse ip du RED : 62.210.XXX.XXX
Activé: oui
PLUTO DEBUG: tous cochés
--connexion--
coté ipcop: Left
ss réseau local: 192.168.10.0/255.255.255.0
IP distant: 82.240.XXX.XXX
ss réseau distant: 192.168.1.0/255.255.255.0
PFS: non
PSK: xxxxxxx
--avancé--
compression: non
encryptage IKE:3DES
intégrité IKE:MD5
durée de vie IKE: 1H
grouptype IKE:MODP-768
encryptage ESP: 3DES
intégrité ESP:MD5
durée de vie ESP: 8H
groutype ESP: MODP-768
utliser les param porposés: non coché

Paramétrage Dlink--------------------
NETBIOS Broadcast: enable
tunnel method: IKE
local subnet: 192.168.1.0
local mask:255.255.255.0
remote subnet: 192.168.10.0
remote mask: 255.255.255.0
remote gateway:62.210.XXX.XXX
preshare key: xxxxxxx (identique au PSK de ipcop)
ipsec NAT traversal: enable
IKE Proposal:
DHGROUP: GROUP1 (MODP768)
encrypt algo:3DES
auth algo:MD5
life time : 28800sec
IPSEC Proposal
DHGROUP: GROUP1 (MODP768)
encap protoc:ESP
encrypt algo:3DES
auth algo: MD5
lifetime:3600sec


Voilà pour les paramètres. Avant ipcop on utilisait un Dlink sur chaque site avec le paramétrage du dlink ci-dessus. Cela fonctionnait pas trop mal.
En changeant le dlink du siège pour ipcop on n'arrive plus a obtenir de liaison VPN. L'état du von sous ipcop reste fermé et les ping sont sans résultat.
Aucun port n'a été ouvert ou fermé depuis l'installation d'ipcop. Aucune règle de routage n'a été établie ni aucune règle de firewall.
Seul hic: le vpn. J'avoue franchement ne pas être sûr du paramétrage coté ipcop notemment sur certains point comme PLUTO DEBUG, Compression, etc.

Merci d'avance pour toutes les réponses qui nous viendront en aide.

[Franck78]

Salut,

Ca sert à rien d'activer tout les logs debug et encore moins de ne pas en montrer unextrait pertinant....


Alors sans rien de cocher, juste ce qui passe sur l'écran des messages....quand tu 'relances' le vpn sur IPCop.
(le flèche enroulée prèt de l'état qui est rouge).

La section journaux/système/IPSec, contient aussi les messages.

Bye

[DESAJFG]

Merci pour ta réactivité!

voici le log obtenu

16:30:38 pluto[5980] packet from 82.240.205.6:4500: Informational Exchange is for an unknown (expired ?) SA
16:30:14 pluto[5980] "DESA" #5: initiating Main Mode
16:30:14 pluto[5980] added connection description "DESA"
16:30:14 pluto[5980] | from whack: got --ike=3des-md5-modp768
16:30:14 pluto[5980] | from whack: got --esp=3des-md5
16:30:14 pluto[5980] "DESA" #4: deleting state (STATE_MAIN_I3)
16:30:14 pluto[5980] "DESA": deleting connection
16:30:13 pluto[5980] loading secrets from "/etc/ipsec.secrets"
16:30:13 pluto[5980] forgetting secrets

//Recommence la même chose sous DESA #4

16:29:59 pluto[5980] "DESA" #4: initiating Main Mode to replace #3
16:29:59 pluto[5980] "DESA" #3: starting keying attempt 2 of an unlimited number
16:29:59 pluto[5980] "DESA" #3: max number of retransmissions (2) reached STATE_MAIN_I3. Possible au thentication failure: no acceptable response to our first encrypted message
16:29:27 pluto[5980] packet from ip du site 2 distant:4500: Informational Exchange is for an unknown (expired ?) SA

//////Série de messages identiques à ci-dessous

16:28:49 pluto[5980] "DESA" #3: we require peer to have ID ' "ip du site 2 distant" ', but peer declares '192.168 .0.3'
16:28:49 pluto[5980] "DESA" #3: Main mode peer ID is ID_IPV4_ADDR: '192.168.0.3'
16:28:49 pluto[5980] "DESA" #3: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
16:28:49 pluto[5980] "DESA" #3: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
16:28:49 pluto[5980] "DESA" #3: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
16:28:49 pluto[5980] "DESA" #3: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
16:28:16 pluto[5980] packet from ip du site 2 distant:4500: Informational Exchange is for an unknown (expired ?) SA


Si je comprend bien ce log il semble que le vpn ne voit que l'adresse ip en local de mon collègue distant et non son ip internet.

[Franck78]

Salut,

Le @ID est un param qui est introduit dans IPCop 1.4.11
Quand ils arrivent en STATE main I3 le problème est dans la catégorie authentif de chacun d'eux.

En attendant tu peux introduire la ligne à la main dans le

1) dans /home/http/cgi-bin/vpnmain.cgi si tu veux pas la tapez continuellement à chaque essai
dans la sub writeipsecfiles, rajouter une ligne semblable à
print CONF "\tdpddelay=30\n";
print CONF "\trightid=\"@192.168.0.3\" \n";

2) directement dans le fichier /var/ipcop/vpn/ipsec.conf

config setup
...
...
conn versmachin
left=
leftnexthop=%defaultroute
.....
right=82.240.x.x
rightnexthop=%defaultroute
rightid="@192.168.0.3"
ike=...
esp=...


Agir en fonction des messages lu!

Ah, et précise donc le modèle de ton dlink.... Il est bien à jour ?

[DESAJFG]

Ok ca me met moins de message d'erreur incompréhensible. Cependant la connexion ne s'établie toujours pas.
Voici les messages de log:

10:12:28 pluto[557] loading secrets from "/etc/ipsec.secrets"
10:12:28 pluto[557] forgetting secrets

Le routeur Dlink est un DI804HV avec la dernière mise à jour selon mon collègue.

[DESAJFG]

Après quelques rectifications sur le fichier mal enregistré à la suite de la manipulation j'obtiens ceci:

16:22:37 pluto[556] "DESA" #3: sending notification NO_PROPOSAL_CHOSEN to IP Distant:500
16:22:37 pluto[556] "DESA" #3: no acceptable Oakley Transform
16:22:37 pluto[556] "DESA" #3: Can't authenticate: no preshared key found for `IP SIEGE' and ` @192.168.0.3'. Attribute OAKLEY_AUTHENTICATION_METHOD
16:22:37 pluto[556] "DESA" #3: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
16:22:27 pluto[556] "DESA" #3: sending notification NO_PROPOSAL_CHOSEN to IP Distant:500
16:22:27 pluto[556] "DESA" #3: no acceptable Oakley Transform
16:22:27 pluto[556] "DESA" #3: Can't authenticate: no preshared key found for `IP SIEGE' and ` @192.168.0.3'. Attribute OAKLEY_AUTHENTICATION_METHOD
16:22:27 pluto[556] "DESA" #3: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
16:22:22 pluto[556] "DESA" #3: sending notification NO_PROPOSAL_CHOSEN to IP Distant:500
16:22:22 pluto[556] "DESA" #3: no acceptable Oakley Transform
16:22:22 pluto[556] "DESA" #3: Can't authenticate: no preshared key found for `IP SIEGE'and ` @192.168.0.3'. Attribute OAKLEY_AUTHENTICATION_METHOD
16:22:22 pluto[556] "DESA" #3: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]

Pour en revenir à ton dernier Post je ne comprend pas pourquoi il chercherait à se connecter sur 192.168.0.3 alors que le sous réseau distant est 192.168.1.0/255

[Franck78]

D'après ce que j'ai pu constater pendant des essais, NO PROPOSAL CHOOSEN veut dire que les deux peers ne tombe pas d'accord sur un ou plusieurs points:
-Compression
-pfs
...

"Can't authenticate: no preshared key found for `IP SIEGE' and ` @192.168.0.3'. Attribute"

Ca, ca ressemble à ipsec.secret qui ne donne pas de résultat quand le couple est recherché (la psk en fait est recherchée).
il est compose de ligne

@idLeft @idRight : PSK "psk-partagee"
* 82.240.205.6 : PSK "clepartagee'

* remplace tout. Sinon c'est l'ID ou IP ou le nom FQDN de la machine.

[DESAJFG]

En fait je suis en train de réaliser que le problème peut venir de mon collègue distant. Ce dernier a une freebox et derrière il connecte son routeur vpn Dlink. Il m'a exipliqué que son routeur est connecté à sa freebox via la zone DMZ qui a l'adresse 192.168.0.3 alors que son réseau local est en 192.168.1.0/255. J'ai donc rajouter la clé suivante dans le fichier secret.conf:
"Mon IP RED" 192.168.0.3 : PSK "ma clé"
Ceci dit cette solution me semble peut probable. J'obtient:

"DESA" #21: discarding duplicate packet; already STATE_MAIN_I3
09:59:23 pluto[561] "DESA" #21: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
09:59:23 pluto[561] "DESA" #21: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer i s NATed
09:59:23 pluto[561] "DESA" #21: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
09:59:23 pluto[561] "DESA" #21: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
09:59:23 pluto[561] "DESA" #21: initiating Main Mode
09:59:23 pluto[561] added connection description "DESA"
09:59:23 pluto[561] | from whack: got --ike=3des-md5-modp768
09:59:23 pluto[561] | from whack: got --esp=3des-md5
09:59:23 pluto[561] "DESA" #20: deleting state (STATE_MAIN_I3)
09:59:23 pluto[561] "DESA": deleting connection
09:59:23 pluto[561] "/etc/ipsec.secrets" line 2: unterminated string
09:59:23 pluto[561] loading secrets from "/etc/ipsec.secrets"
09:59:23 pluto[561] forgetting secrets
09:59:10 pluto[561] "DESA" #20: encrypted Informational Exchange message is invalid because it is fo r incomplete ISAKMP SA
09:58:24 pluto[561] "DESA" #20: discarding duplicate packet; already STATE_MAIN_I3
09:58:18 pluto[561] "DESA" #20: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
09:58:18 pluto[561] "DESA" #20: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer i s NATed
09:58:18 pluto[561] "DESA" #20: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
09:58:18 pluto[561] "DESA" #20: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
09:58:18 pluto[561] "DESA" #20: initiating Main Mode to replace #19
09:58:18 pluto[561] "DESA" #19: starting keying attempt 20 of an unlimited number
09:58:18 pluto[561] "DESA" #19: max number of retransmissions (2) reached STATE_MAIN_I3. Possible a uthentication failure: no acceptable response to our first encrypted message
09:58:00 pluto[561] "DESA" #19: encrypted Informational Exchange message is invalid because it is fo r incomplete ISAKMP SA
09:57:14 pluto[561] "DESA" #19: discarding duplicate packet; already STATE_MAIN_I3
09:57:08 pluto[561] "DESA" #19: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
09:57:08 pluto[561] "DESA" #19: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer i s NATed
09:57:08 pluto[561] "DESA" #19: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
09:57:08 pluto[561] "DESA" #19: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
09:57:08 pluto[561] "DESA" #19: initiating Main Mode to replace #18

La connexion ne s'établie pas mais le vpn est indiqué comme "en fonction".

[Franck78]

Ca serait bien d'avoir les messages de l'autre aussi.

Tu remarques qu'a chaque fois que tu touches un param, les messages 'évoluent'.
J'avais vu il y quelques temps une page sympathique avec les schemas simples puis moins simple avec dans chaque cas, les configs à prendre. Mais je ne la retrouve plus.

Par exemple, une méthode efficace pour confirmer qu'un param est bien pris en compte et valable est de le mettre volontairement à une valeur fausse. En fonction des messages (changement ou pas) tu vois tout de suite si tu es au bon niveau.

Il est aussi utile de corriger les erreurs:

09:59:23 pluto[561] "/etc/ipsec.secrets" line 2: unterminated string