[Résolu] Probléme de VPN

[erreipnaej]

Bonsoir,

/ edit
Prenez en compte cette triste expérience et vérifiez bien votre configuaration.
Demandez à quelqu'un d'autre de regarder surtout si vos sous-réseau sont proches.
@+
edit/

Je n'arrive pas à monter un VPN entre 2 IpCop, tous 2 en 1.4.10 et en IP dynamique.
J'ai refait l'installation plusieurs fois en vérifiant tous les paramétres possibles.
D'aprés les posts que j'ai pu lire sur le forum ainsi que les logs, il me semble qu'ils ne se trouvent pas.
Pour moi j'ai un probléme de serveur DNS, mais je ne sais pas comment le résoudre.
J'ai fait un traceroute sur l'ipcop vers l'autre machine et j'obtiens ça:

Code: Tout sélectionner

traceroute ipcop.ath.cx
traceroute to ipcop.ath.cx (xxx.yyy.zzz.aaa), 30 hops max, 40 byte packets
1  * * *
2  * * 10.224.25.20 (10.224.25.20)  40.885 ms
3  pos6-0.nrsta304.Paris.francetelecom.net (193.252.99.81)  40.998 ms  41.053 m   s  40.850 ms
4  pos5-0.nrsta104.Paris.francetelecom.net (193.252.161.173)  139.933 ms  41.09   5 ms  40.863 ms
5  pos0-1-0-0.ncidf104.Paris.francetelecom.net (193.252.159.33)  40.815 ms  48.   759 ms  44.801 ms
6  bsput154-net1Lo3.francetelecom.net (193.253.171.219)  43.328 ms  49.258 ms     50.965 ms
7  * * *
jusqu'au
30  * * *
 

Je fait un tracert sur une machine du vert vers cette autre machine et j'obtiens ça:

Code: Tout sélectionner

tracert ipcop.ath.cx
Détermination de l'itinéraire vers ipcop.ath.cx [xxx.yyy.zzz.aaa]
avec un maximum de 30 sauts :
  1    <1 ms    <1 ms    <1 ms  ipcop2.no-ip.org [192.168.200.1]
  2     *        *        *     Délai d'attente de la demande dépassé.
  3     *        *       41 ms  10.224.25.20
  4    41 ms    41 ms    41 ms  pos1-0.nrsta304.Paris.francetelecom.net [193.252.103.174]
  5    41 ms    41 ms    41 ms  pos5-0.nrsta104.Paris.francetelecom.net [193.252.161.173]
  6     *        *       54 ms  pos0-1-0-0.ncidf104.Paris.francetelecom.net [193.252.159.33]
  7    54 ms    53 ms    53 ms  bsput154-net1Lo3.francetelecom.net [193.253.171.219]
  8   103 ms   104 ms   101 ms  xxxxxxxxxxxxxxxxabo.wanadoo.fr [xxx.yyy.zzz.aaa]
Itinéraire déterminé.


J'ai refait le setup des deux machines en déclarant les DNS de Wanadoo alors que avant c'était en auto et cela n'a rien changé.
Merci pour vos idées.
@+
/edit
Je rajoute un traceroute depuis l'autre IpCop:

Code: Tout sélectionner

traceroute ipcop2.no-ip.org
traceroute to ipcop2.no-ip.org (xxx.yyy.zzz.aaa), 30 hops max, 40 byte packets
1  * * *
2  * * *
3  pos6-0.nrsta104.Paris.francetelecom.net (193.252.159.46)  62.695 ms  60.255 ms  59.838 ms
4  pos4-0.nrsta304.Paris.francetelecom.net (193.252.161.174)  64.079 ms  61.090 ms  59.538 ms
5  pos0-0-0-0.ncidf304.NeuillySurMarne.francetelecom.net (193.252.103.173)  60.590 ms  59.336 ms  59.887 ms
6  bsplb151-net1Lo3.francetelecom.net (193.253.171.13)  60.954 ms  64.926 ms  65.358 ms
7  * * *
jusqu'à
30  * * *

Je suis trés sec sur le probléme.
edit/
@+

[Franck78]

Salut JP,
Qu'est-ce que tu veux nous faire comprendre avec les deux premiers tracert?

Vérifie plutot que
host ipcop1.xyz.no-ip.com donne bien l'IP attendue (RED publique). Pour chaque IPCop.

[Methos_Hi]

De toute evidence les deux ipcop ne sont pas sur le même site mais tu sembles avoir la main sur les deux ... comment ?

Y a-t-il d'autres services sur ces ipcop accessibles depuis l'internet. Un serveur web ou autre chose comme ssh, mail ?

Le firewall est-il configuré en conséquence pour le vpn mais aussi pour le traceroute ?

[erreipnaej]

Bonjour,

@Franck

Le 1er (traceroute) est fait sur l'IpCop local et se plante en ne resolvant pas l'IpCop distant.
Sur IpCop local, le saut 6 est

6 bsput154-net1Lo3.francetelecom.net (193.253.171.219)

Le 2e (tracert) est fait sur ma machine Windows juste derriére.
Ce qui est bizarre est que le saut 7 est ce même routeur

7 54 ms 53 ms 53 ms bsput154-net1Lo3.francetelecom.net [193.253.171.219]

Ce qui est logique, car j'ai en plus pour mon PC ma passerelle vers Internet (IpCop).
Ce que je ne comprends pas c'est que le tracert de Windows trouve mon IpCop distant en saut 8 alors que le traceroute sur l'IpCop local me sort des *** jusqu'au saut 30 et ne trouve pas l'IpCop distant.
Je ne peux pas faire de traceroute depuis une machine derriére l'IpCop distant, il n'y a que des Macintosh sous MacOS9.

Code: Tout sélectionner

host ipcoplocal.no-ip.org
ipcoplocal.no-ip.org has address 192.168.150.1

Code: Tout sélectionner

host ipcopdistant.ath.cx
ipcopdistant.ath.cx has address 192.168.120.1


@ Methos-_Hi

Les deux machines sont comme tu l'a bien compris sur deux sites distant (40 à 50 km).
J'ai autorisé l'administration distante en https par les accés externes sur l'IpCop distant.
Je peux donc aussi m'ouvrir le port ssh au besoin pour ces tests.
Les réglages sont ceux de la config d'origine. Quelques addons sont ajoutés sur IpCop local, mais n'ayant pas d'influence sur le VPN.

IpCop local:
Serveur d'addons avec Uptime Record et Iptstat

Je rapelle que lorsque j'étais en 1.4.2 sur le distant et 1.4.6 sur le local, le vpn marchait tip top.
J'avais il y a encore pas longtemps Zerina qui était intallé sur le local et marchait trés bien pour un raodwarrior depuis le bureau.
Je l'ai désintallé pour confirmer qu'il nétait pas en cause.

@+

[Franck78]

Je pige pas pourquoi 'host nom publique de l'IPCop peer' retourne une adresse privée...

Tu as du entrer une bizarrerie dans ta liste de hosts sur IPCop.

Quand au tracert qui plante au milieu, je sais pas quelle conclusion en tirer. C'est systèmatique?

[erreipnaej]

Re,

Les deux fichiers host avaient une ligne

Code: Tout sélectionner

192.168.1x0.1 = nom de domaine

Je l'ai fait sauter.
Je viens de refaire un host sur chacune des deux machines.
Aprés dans les deux cas j'ai les résultats suivants:

Code: Tout sélectionner

host nom de domaine local = ip interne de la machine.
host nom de momaine distant = ip public de la machine.

Il y a peut être un temps de refresh, je réessayerais dans 1/2h-1h.
@+

[Methos_Hi]

En tout cas, si tu peux accéder à l'interface Web, c'est que tu n'as pas de problème DNS côté Net. Non ?

[erreipnaej]

Re,

C'est bien mon probléme.
Apparement tout marche au niveau des DNS car je me connecte depuis l'extérieur.
Par contre il y a une $%#&! pour la réponse traceroute.
Il semblerait que ce soit aussi la cause qui empéche la reconnaissance des IpCop en fin de chaine car j'ai ça dans les logs IPSEC

Code: Tout sélectionner

we have no ipsecN interface for either end of this connection

Si c'est une régle IpTable, je suis standard de ce coté. Enfin normalement.
@+

[erreipnaej]

Bonsoir à tous,

J'exhume mon probléme car malgré une réinstallation compléte du VPN en suivant rigoureusement la procédure du newbie kit, ça ne veut toujours pas marcher.
Les symptomes:
Log IPSEC: (des deux cotés)

Code: Tout sélectionner

we have no ipsecN interface for either end of this connection

En faisant un traceroute sur IpCop, je ne trouve pas la route alors que depuis une machine Windows du vert en faisant un tracert, je trouve le chemin complet.
Le ping passe d'IpCop à IpCop dans les deux sens.
Sur les deux IpCop, la commande

Code: Tout sélectionner

host nom de machine local/distant

donne bien l'adresse IP externe de chaque machine.
L'IpCop distant est brut de pomme, l'autre à quelques addons ne changeant pas, à ma connaissance, les régles IpTables
J'ai à coté un VPN roadwarrior avec Zerina qui lui fonctionne. Le supprimer n'a pas aidé à résoudre le probléme.
Je ne sais plus quoi faire, je m'arrache les cheveux
Si vous avez des idées, je suis preneur.
Merci pour votre aide.
@+

[Franck78]

ifconfig et table de routage de chaque machine.
Sans bricoler les IP si possible. Elles changeront seules plus tard.
Et aussi le ipsec.conf !

[erreipnaej]

Bonjour Franck,

J'ai fait deux fichiers txt avec les infos.
Je te passe ça en MP.
Il y a actuellement sur les deux machines un RoadWarrior (Interface tun00) en 10.x.10.0/28 qui me permet de pallier au non fonctionnement du VPN.
@+

[Franck78]

Dans celui que tu appelles 'local', la connexion 'mimicop' indique un leftsubnet et rightsubnet identiques.

192.168.150.1 alors qu'il doit y avoir 192.168.120.0


A part cette erreur n'utilise pas le choix 'left/right'
Il ne sert à rien et complique la lecture (d'après moi).

Le letf est toujours le local
Le right est toujour le remote.

[erreipnaej]

Bonjour,

Bon, eh bien comme quoi, un oeil neuf peut sauver des situations.
Merci Franck, ça marche.
A force de vérifier, revérifier, etc, je suis passé dessus.
Avec les deux machines sur 2 onglets dans Firefox, je me suis mélangé les yeux.
J'y crois pas
@+