openswan...tester la liaison

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Publier une réponse

openswan...tester la liaison

Messagepar netanri » 20 Août 2006 14:12

salut les amis.....je suis bloqué sur mon installation de openswan!!! si quelqun pourrait m'eclairer un peu....
j'ai suivi ttes les etapes de configuration de openswan mais lorsque je teste ma connection ces messages m'apparait:

[root@localhost user]# ipsec auto --status
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface ath0/ath0 192.168.1.5
000 interface ath0/ath0 192.168.1.5
000 interface eth0/eth0 192.168.1.7
000 interface eth0/eth0 192.168.1.7
000 %myid = (none)
000 debug none
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}
000
000 "net-to-net": 192.168.2.0/24===192.168.1.5[@localhost]---192.168.1.1...192.168.1.1---192.168.1.6[@localhost]===192.168.1.0/24; unrouted; eroute owner: #0
000 "net-to-net": srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
000 "net-to-net": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "net-to-net": policy: RSASIG+ENCRYPT+TUNNEL+PFS+UP; prio: 24,24; interface: ath0;
000 "net-to-net": newest ISAKMP SA: #0; newest IPsec SA: #0;
000
000 #2: "net-to-net":500 STATE_MAIN_I3 (sent MI3, expecting MR3); EVENT_RETRANSMIT in 35s; lastdpd=-1s(seq in:0 out:0)
000 #2: pending Phase 2 for "net-to-net" replacing #0
000


[root@localhost user]# ipsec auto --verbose --up net-to-net
002 "net-to-net" #1: initiating Main Mode
104 "net-to-net" #1: STATE_MAIN_I1: initiate
003 "net-to-net" #1: received Vendor ID payload [Openswan (this version) 2.4.6 X.509-1.5.4 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR]
003 "net-to-net" #1: received Vendor ID payload [Dead Peer Detection]
003 "net-to-net" #1: received Vendor ID payload [RFC 3947] method set to=110
002 "net-to-net" #1: enabling possible NAT-traversal with method 3
002 "net-to-net" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
106 "net-to-net" #1: STATE_MAIN_I2: sent MI2, expecting MR2
002 "net-to-net" #1: I did not send a certificate because I do not have one.
003 "net-to-net" #1: NAT-Traversal: Result using 3: no NAT detected
002 "net-to-net" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
108 "net-to-net" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "net-to-net" #1: ignoring informational payload, type INVALID_KEY_INFORMATION
003 "net-to-net" #1: received and ignored informational message
010 "net-to-net" #1: STATE_MAIN_I3: retransmission; will wait 20s for response
003 "net-to-net" #1: discarding duplicate packet; already STATE_MAIN_I3
003 "net-to-net" #1: ignoring informational payload, type INVALID_KEY_INFORMATION
003 "net-to-net" #1: received and ignored informational message
010 "net-to-net" #1: STATE_MAIN_I3: retransmission; will wait 40s for response
003 "net-to-net" #1: discarding duplicate packet; already STATE_MAIN_I3
003 "net-to-net" #1: ignoring informational payload, type INVALID_KEY_INFORMATION
003 "net-to-net" #1: received and ignored informational message
031 "net-to-net" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
000 "net-to-net" #1: starting keying attempt 2 of an unlimited number, but releasing whack :oops: :oops: :oops:
Avatar de l’utilisateur
netanri
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 07 Août 2006 16:57
Haut

Messagepar Franck78 » 21 Août 2006 23:36

Salut,

Sans les ipsec.conf de chaque machine, pas d'aide possible. Que des suggestions.

state_main_i3 valide un certain nombre de chose (réseau). Pour passer au state_i4, les associations de sécurité doivent se faire. Et pour ca il faut une PSK identique de chaque bord ou des certs x509+ca bien définis.
Sans compter les combinaisons d'algos de cryptage acceptée ou refusée de chaque bord.

page internet au hazard:
http://docs.mandragor.org/files/Misc/GL ... IPSec.html
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar Methos_Hi » 22 Août 2006 01:14

ipsec.conf
ipsec.secrets
iptables.sh
pluto ?
netkey/klips?
noyau linux ?

Le mec qui s'y connait le mieux c jacco

http://www.jacco2.dds.nl/networking/freeswan-l2tp.html

et evidement Paul Wouters http://www.openswan.org/
que tu peux retrouver sur la mailing list d'openswan
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France
Haut

mon pb est presque terminé! mais?

Messagepar netanri » 22 Août 2006 14:43

je me suis apercu que j'ai mal configuré ipsec.conf (j'ai pas fais l'inversement des id left et right!).
en reconfigurant correctement le fichier j'ai tapé :
Code: Tout sélectionner
ipsec auto --up net-to-net

et le resultat etait correct normalement!
mais lorsque je tape :
Code: Tout sélectionner
ipsec eroute

le resultat suivant apparait:
Code: Tout sélectionner
/usr/local/libexec/ipsec/eroute: NETKEY does not support eroute table.

si vous pouvez m'eclairer un peu ! je vous remercie d'avance...
Avatar de l’utilisateur
netanri
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 07 Août 2006 16:57
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 3 invité(s)

Powered by boolaz
cron