Phases d'établissement d'un VPN ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar rheuno » 17 Avr 2003 15:35

Bonjour <BR> <BR>j'essaie de mettre en place un vpn entre 2 ipcop, chacun sur adsl et derrière routeur. <BR> <BR>J'ai bien configuré ipcop comme décrit dans la doc, de plus j'ai une ip fixe de chaque coté. Mais y'a pas moyen le vpn ne monte pas. En fait quand j'eesaye de pinguer d'un coté vers l'autre ça marche pas, et pour cause, j'ai paramétré les routeurs pour qu'ils ne répondent pas aux requetes icmp. <BR> <BR>Est ce que le vpn ipcop a absolument besoin d'icmp entre les 2 sites ?? <BR> <BR>comment se passe en fait l'établissement du vpn entre les 2 ipcop ? <BR> <BR>merci de vos réponses éclairantes <IMG SRC="images/smiles/icon_find.gif">
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar rheuno » 22 Avr 2003 10:39

j'ai lu qu'il pouvait y avoir pb quand les 2 routeurs font du nat mais la solution n'avait pas été trouvée à l'époque ...
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar marcsins » 22 Avr 2003 11:14

Bjr, <BR> <BR>vpn avec deux ipcop ( il me servent de routeurs ) fonctionnent. le status de la ligne est-il au vert ? si oui cela devrait fonctionner <BR>@+ <BR>Marc
Avatar de l’utilisateur
marcsins
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 25 Fév 2003 01:00

Messagepar wann » 22 Avr 2003 11:17

Essaie la commande : <BR>ipsec barf | more <BR> <BR>Tu y trouveras plein d'informations... <BR> <BR>Pourrais-tu poster ton (tes) vpnconfig.dat ? Ou me les envoyer par mail (wann@ixus.net) ?
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar rheuno » 22 Avr 2003 15:25

marc c'est justement le pb, c'est que le vpn n'est passe pas au vert <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>wann je te remercie pour la commande c'est clair que y'a plein d'infos. <BR>Pour le fichier vpnconfig.dat, c'est celui qu'a fait ipcop, je n'y ai rien modifié, mais je te l'envoie quand même par mail merci.
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar gogol33 » 22 Avr 2003 16:58

Salut à tous, <BR>J'ai eu à faire face à ce problème avec deux routeurs Oléane, et à force de tater et de creuser, j'ai trouvé la solution. <BR>Tout d'abord, il faut deux adresses publiques sur chaque routeur (par défaut il n'y en à qu'une). Il faut faire la demande auprés du FAI. <BR>Une adresse publique, par exemple 10.10.10.62 sera l'adresse de la passerelle. <BR>Il faut préciser que l'adresse de la carte rouge est par exemple 10.10.10.61 afin qu'il permettent à la carte rouge de pouvoir rentrer et sortir via l'adresse 10.10.10.62, et comme ca, ca fonctionne (je le fait tourner à l'heure actuelle). <BR>Il faut répeter la même opération sur l'autre routeur en mettant des adresses différentes, et normalement si ca été bien fait, lorsque tu branches et configure correctement les cartes rouges des deux ipcop, tu dois pouvoir les pinguer (même sans le VPN). Si tu n'arrives pas à cette étape là, pas la peine de faire du VPN. <BR>Voilà ....
ALEA JACTA EST !!!
(Rien ne sert de courrir, ca ne sert à rien !!!)
Jules César
Avatar de l’utilisateur
gogol33
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 345
Inscrit le: 26 Avr 2002 00:00
Localisation: Bordeaux

Messagepar rheuno » 22 Avr 2003 17:20

alors dans ce cas il faut que je dise à mes routeurs de ne pas faire de NAT ?
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar gogol33 » 22 Avr 2003 17:31

Exact, en fait, si tu fais du NAT (ce que je faisais au départ), ca ne fonctionnait pas, alors qu'avec des lignes ADSL standard, sans routeur, ca se faisait deux doigts dans le nez .....
ALEA JACTA EST !!!
(Rien ne sert de courrir, ca ne sert à rien !!!)
Jules César
Avatar de l’utilisateur
gogol33
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 345
Inscrit le: 26 Avr 2002 00:00
Localisation: Bordeaux

Messagepar rheuno » 22 Avr 2003 17:41

ok <BR>mais ce que je comprends c'est pkoi avoir 2 adresses ip publiques ? <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Une adresse publique, par exemple 10.10.10.62 sera l'adresse de la passerelle. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>ok ça pas de pb 10.10.10.62=@wan du routeurA <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Il faut préciser que l'adresse de la carte rouge est par exemple 10.10.10.61 afin qu'il permettent à la carte rouge de pouvoir rentrer et sortir via l'adresse 10.10.10.62, et comme ca, ca fonctionne (je le fait tourner à l'heure actuelle). <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>c'est là que je comprends pas. Mon interface red est [B]derrière[/U] mon routeur, en adressage privé, je peux mettre ce que je veux. Si je mets une @ip publique ça va rien changer il me semble <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>en tout cas merci de vos réponses ça me permets d'avancer
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar tomtom » 22 Avr 2003 17:42

Je connais au moins 3 posts ou qont expliques les problèmes entre le nat et le VPN...Il faut fouiller un peu le forum ! <BR> <BR>Il y a même des solutions (en fonction de tes routeurs !!!) <BR> <BR>Thomas <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar rheuno » 22 Avr 2003 17:50

j'ai vu en effet une soluce avec des routeurs cisco ... mais avec mes pauvres netgears j'ai pas trouvé ...
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar tomtom » 22 Avr 2003 18:11

... Car il n'y en a pas ! <BR> <BR>EN effet, tu auras pu observer qu'il est necessaire que les routeurs soient capables de natter le protocole ESP, ce qui est loin d'etre une trivialité... <BR> <BR>Donc il faut que tu desactives le nat sur tes netgears, ce qui ne devrait pas poser de problèmes vu que tu le feras avec IPCop. <BR> <BR>En plus avec le version 1.3 ca sera du bonheur..... <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar rheuno » 22 Avr 2003 18:20

oki je vais tester en désactivant le NAT dans un premier temps pour voir se que ça donne <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00

Messagepar gogol33 » 23 Avr 2003 08:49

Au départ, j'avais demandé à Oléane de transférer les paquets venant de l'IP d'un des routeurs vers l'adresse privée de mon réseau (celle qui me servait de passerelle) et vice-versa. Aucun résultat. Par la suite, je leur ai demandé de transférer les paquets venant de l'IP d'un des routeurs sur la carte rouge. Pas mieux. <BR>En fait, ce qui m'a obligé de faire ca, c'est que tu n'as pas le contrôle des routeurs Oléane. C'est Oléane qui fait la manip, et tu ne sais pas vraiment ce qu'ils font. <BR>Donc, en activant deux adresses IP, je passe toujours par le routeur mais sans aucune règle qui me bloque, et ca marche du premier coup .... <BR>Sur les Netgear, je ne sais pas, mais ca doit être pareil ... Si tu as le temps essaie de le faire en utilisant l'adresse privée comme passerelle, mais moi, ca n'a jamais fonctionné ....
ALEA JACTA EST !!!
(Rien ne sert de courrir, ca ne sert à rien !!!)
Jules César
Avatar de l’utilisateur
gogol33
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 345
Inscrit le: 26 Avr 2002 00:00
Localisation: Bordeaux

Messagepar rheuno » 24 Avr 2003 10:01

ok en fait t'as raison gogol33 on a bien besoin de 2 ips publiques si on veut désactiver le nat, une sera prise par le routeur et l'autre par la carte red. Je pensais que du moment qu'on désactivait le nat le routeur se transformait en "modem" et n'avait plus besoin d'ip ... mais non ! <BR> <BR>donc ça fait pas mes affaires et faut que trouve un moyen que ça marche sans. <BR> <BR>J'ai appelé netgear qui m'a affirmé que leur routeur laisser passer IPSEC ... <BR> <BR>est ce que je dois cocher pass-through IPSEC dans ipcop ? <BR>où je peux trouver des logs de la connexion vpn ? <BR> <BR>> voilà ce que j'ai dans /var/log/messages : <BR><!-- BBCode Start --><I>Apr 24 09:20:35 ipcop_gradignan ipsec_setup: Starting FreeS/WAN IPsec 1.99... <BR>Apr 24 09:20:35 ipcop_gradignan ipsec_setup: KLIPS debug `none' <BR>Apr 24 09:20:36 ipcop_gradignan ipsec_setup: KLIPS ipsec0 on eth1 10.0.10.2/255.255.255.0 broadcast 10.0.10.255 <BR>Apr 24 09:20:36 ipcop_gradignan ipsec_setup: ...FreeS/WAN IPsec started</I><!-- BBCode End --> <BR> <BR>> et voilà ce que j'ai dans mon /var/log/secure : <BR><!-- BBCode Start --><I>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: Starting Pluto (FreeS/WAN Version 1.99) <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: including X.509 patch (Version 0.9.15) <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: Changing to directory '/etc/ipsec.d/cacerts' <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: Warning: empty directory <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: Changing to directory '/etc/ipsec.d/crls' <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: Warning: empty directory <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>Apr 24 09:50:33 ipcop_gradignan pluto[3213]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>Apr 24 09:50:36 ipcop_gradignan pluto[3213]: added connection description "airvpn" <BR>Apr 24 09:50:36 ipcop_gradignan pluto[3213]: listening for IKE messages <BR>Apr 24 09:50:36 ipcop_gradignan pluto[3213]: adding interface ipsec0/eth1 10.0.10.2 <BR>Apr 24 09:50:36 ipcop_gradignan pluto[3213]: loading secrets from "/etc/ipsec.secrets"</I><!-- BBCode End --> <BR>
Avatar de l’utilisateur
rheuno
Matelot
Matelot
 
Messages: 9
Inscrit le: 17 Avr 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité