[Résolu] IPCop, LiveBox, Linksys & VPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] IPCop, LiveBox, Linksys & VPN

Messagepar NS » 25 Juil 2006 14:48

Bonjour,

Voilà çà fait des mois que je me bats avec ce petit monde du VPN pour relier 4 agences et un point central, ce fut long, fastidieux, j'ai fini par en voir le bout, avec du linksys un peu partout.

Mon probleme du moment, remplacer mon point central, actuellement c'est une ligne Free Dégroupé avec un Linksys RV082. Mon but c'est de mettre à la place, un IPCop avec une LiveBox chez Wanadoo.

Alors voilà ou j'en suis, car tout d'abord, j'avais mis un Linksys RV042 derriere la livebox.
Ce fut galère (pas de mode bridge sur les livebox), il a fallut faire une double NAT.
J'ai donc :
LiveBox configuré en DMZ avec le Firewall au minimum, en interne 10.0.0.1
RV042 avec son lien Internet en 10.0.0.2
La DMZ de la LiveBox etant redirigée sur 10.0.0.2.

Coté VPN, çà fonctionne, mais après pas mal de galere, il faut en effet passer en mode Agressive et Dynamic IP. Pourquoi ? Car lorsque le lien s'etablit entre les deux Linksys, il traine ce fameux 10.0.0.2, et du coup il y a un rejet. En lui disant qu'on fait du Dynamic IP, le Linksys ne controle pas l'IP Source et etablit le lien VPN.

Pourquoi je vous explique tout çà ? Parce que lorsque j'ai mis en place la solution IPCop à la place du RV042, je me suis retrouvé face au même probleme.

Donc je monte mon IPCOP, en RED 10.0.0.2, en GREEN 192.168.254.1. Je branche la LiveBox sur le RED et hop c'est tout bon, j'ai accès à internet pour tous les PC du réseau 192.168.254.0.
Point trés positif, en quelques minutes çà fonctionnait.

J'attaque le VPN sous IPCOP, je configure le truc accès rapidement, tres simple les deux IP Externes et là boum, dans le log du Linksys, il me sort : pas de connexion autorisé pour 10.0.0.2... Pas grave, je remets en Dynamic IP comme avant, et là boum, le Linksys rale car il attends un Aggressive Mode lors de l'utilisation d'une Dynamic IP... Je vérifie le log IPCop, effectivement quand je fais un restart sur le VPN il commence par envoyer un Main Mode...

Et je cherche, pas de mode Agressive sur l'IPCOP...

D'ou mes questions, est ce que quelqu'un a su faire du VPN avec IPCop + LiveBox et routeur type Linksys / Bewan / ZyWall...
Est ce qu'il y a un mode Aggressive caché ?
J'ai lu rapidement la doc de SmoothWall, à priori j'aurai le même probleme, seul la version Entreprise permet de passer en mode Agressive coté VPN...

Donc voilà, çà fonctionne avec un RV042 + LiveBox, je dois pas etre loin pour faire pareil avec IPCop + LiveBox, mais j'ai besoin d'aide...

Ouf quel roman :)

PS : Belle $%#&! la Livebox quand meme...
PS2 : mon ancien compte Ixus ne fonctionne plus, j'ai perdu mon mail il y a quelques années et pas moyen de remettre la main sur pass...
Dernière édition par NS le 26 Juil 2006 14:39, édité 1 fois au total.
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar NS » 25 Juil 2006 15:55

Bon alors j'ai avancé un petit peu...

A priori, je dois ajouter un aggrmode=yes dans mon ipsec.conf à la main car ce n'est pas gérer dans l'administration Web d'IPCOP.

Et surtout je dois egalement ajouter ma configuration USER FQDN Authentification du Linksys au ipsec.secrets.

C'est ce que j'ai cru comprendre en lisant les différetes documentations & forums...

Voilà je sais ce qu'il me reste à faire, je vous tiendrai au courant :)
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar NS » 25 Juil 2006 17:06

Bon j'ai fait les modifications ...

Et voilà ce que j'ai dans les logs du Linksys :

Linksys RV082 a écrit:Initial Aggressive Mode message from XXX.XXX.XXX.XXX but no (wildcard) connection has been configured


J'ai cherché sur le net, çà correspondrait au leftid dans ipsec.conf...

Je commence à plus avoir de cheveux, je vais arreter là pour aujourd'hui.
En plus avec cette chaleur, çà aide pas...

Ce que je pense faire :
- leftid=@user@domain.net, le même que j'ai mis sur le Linksys...
- left=%any au lieu de 10.0.0.2

On verra bien, je me pose juste la question, dans ce que j'ai lu, çà parle aussi leftrsasigkey / rightrsasigkey, pour le right çà me semble compromis...

Suis je le seul à avoir tenté cette configuration ??
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar Franck78 » 25 Juil 2006 19:01

Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar NS » 26 Juil 2006 10:17

C'est tout le ipsec.conf qu'il faudrait rendre modifiable par l'interface Web :wink:

Juste le aggrmode ne sera pas suffisant pour configurer un dynamic - static, enfin je pense pas.

Pour çà, l'interface du Linksys est pas mal :
Image

Tiens, question, que fait l'interface Web d'IPCop quand elle tombe sur des instructions non gérées dans le ipsec.conf ou le ipsec.secrets ? Genre elle réécrase le tout si je crée un autre VPN après (= perte des paramètres) ou elle se contente de réécrire simplement les paramètres qu'elle ne gère pas ?
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar NS » 26 Juil 2006 10:22

http://ipcop.cvs.sourceforge.net/ipcop/ ... i?view=log

Tiens je viens de voir que çà avancait bien dans mon sens :

Revision 1.10.2.78 - (view) (download) (annotate) - [select for diffs]
Thu Mar 16 01:16:21 2006 UTC (4 months, 1 week ago) by franck78
Branch: IPCOP_v1_4_0
Changes since 1.10.2.77: +344 -310 lines
Diff to previous 1.10.2.77 , to branch point 1.10
-Allow use of DN,FQDN,IP for authentication (sf #1418533)
-Simplify 'writeipsecfiles' sub
-compression+vhost can work together: disable check
-set to 'off' unused confighash index
-normalize RED/BLUE/ORANGE/GREEN everywhere, but ORANGE is not selectable
-Arrange advanced options screen and move PFS to it
-Correct some labels, localID&remoteID to stay consistant into GUI and
code.


Bravo Franck78 pour le boulot...

C'est testable ce vpnmain.cgi ? :roll:
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar NS » 26 Juil 2006 14:38

http://community.smoothwall.org/forum/v ... hlight=vpn

J'ai trouvé la solution et c'est tout simple, comme toujours en Informatique, le tout etant de trouver l'information... Bon même si à mon avis en Dynamic çà doit pouvoir fonctionner également :)

En fait il suffit d'editer l'ipsec.conf et d'ajouter un leftid=IP_Publique pour chaque VPN sous le left.
Pareil dans le ipsec.secrets, il faut remplacer mon 10.0.0.2 par l'IP Publique.
Et oui car lors de l'etablissement du lien VPN, si le leftid n'est pas spécifié, c'est left qui sera utilisé, d'ou mes fameux 10.0.0.2 qui trainaient dans mes logs.

Au final, au niveau du Linksys, on repasse dans un mode IP Only tout simple, avec les adresses IP Fixe.

Et çà fonctionne nickel.

Je viens de monter le Linksys RV082 et trois Linksys WAG54GX2 en VPN sur mon IPCop, çà tourne depuis 2h pas de soucis.

Seul gros problème :

Si on repasse par l'interface Web pour toucher à la configuration VPN, çà recrée les fichiers ipsec et du coup on perds tout et les VPN ne se montent plus...

Reste donc un essai à faire, modifier le "Nom d'Hôte ou IP Locale du RPV", peut etre quand mettant là directement l'IP Publique, çà va fonctionner également... Mais j'y crois pas trop, à mon avis çà risque de le perturber :)
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar PiouSeif » 26 Juil 2006 14:49

Sinon passe les fichiers en lecture seul une fois les modification faites !! histoire de pas tout effacé par erreur !

En attendant que ce type de configuration puisse ce faire a partir de l'interface (si c'est prévu..)
PiouSeif
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 23 Juin 2006 00:05

Messagepar NS » 26 Juil 2006 15:03

Pas bête :)

Merci...
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar Franck78 » 26 Juil 2006 20:34

ben ecoute, télécharge

http://franck78.ath.cx/1411.iso

pour voir si tu peux configurer comme tu veux le vpn. Il est encore temps de corriger...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar NS » 27 Juil 2006 01:12

Merci beaucoup Franck, je teste çà demain :)

En tout cas je confirme çà tiens bien, mes 5 tunnels VPN sont up depuis 14h00 :)
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar NS » 27 Juil 2006 21:18

Bon j'ai testé c'est nickel ce qu'il me fallait :)

Par contre, question à 15€, cette 1.4.11 est "officielle", ou il faut pas trop démarrer un truc qu'on veut stable dessus ?

Encore Merci Franck.
NS
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 25 Juil 2006 14:30

Messagepar Franck78 » 28 Juil 2006 02:08

elle n'a rien d'officiel, c'est disons une RC perso....pour tester.
Donc tu arrives à régler ton cas avec les nouveau champs, sans bidouille manuelle. C'est ce que je voulais savoir.

Comme la vraie 1.4.11 sortira bientôt, tu peux garder celle la puis la remplacer aussi sec. Fait une sauvegarde 'ancienne' méthode disquette car l'autre méthode ne sera pas compatible.

Les différences seront minimes.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité