Probleme avec ZERINA et openVPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Probleme avec ZERINA et openVPN

Messagepar jesbond » 30 Oct 2006 13:53

Je vous explique le plus clairement possible mon Problème.

Structure :

Client 192.168.1.10 -- 192.168.1.254 GREEN -::-:IPCOP:-::- BLUE 192.168.2.254 --- Client WIfi 192.168.2.10

Ce que je veux faire :
- Installer un VPN entre mes interfaces BLUE et GREEN d'ipcop.

Pour cela j'ai installé ZERINA sur ipcop et OpenVPN GUI sur le client WIFI (IP : 192.168.2.10). J'ai créé des certificats en roadwarrior , je pense qu'ils sont corrects...

Mais quand je fais "connecter" sur le client WIFI, openVPN reste bloqué et indique ça :


Mon Oct 30 12:41:19 2006 UDPv4 link local (bound): [undef]:1194
Mon Oct 30 12:41:19 2006 UDPv4 link remote: 192.168.2.254:1194


Mon Oct 30 12:44:22 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Oct 30 12:44:22 2006 TLS Error: TLS handshake failed
Mon Oct 30 12:44:22 2006 TCP/UDP: Closing socket
Mon Oct 30 12:44:22 2006 SIGUSR1[soft,tls-error] received, process restarting
Mon Oct 30 12:44:22 2006 Restart pause, 2 second(s)
Mon Oct 30 12:44:24 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Oct 30 12:44:24 2006 LZO compression initialized
Mon Oct 30 12:44:24 2006 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Mon Oct 30 12:44:24 2006 Control Channel MTU parms [ L:1442 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 30 12:44:24 2006 Data Channel MTU parms [ L:1442 D:1442 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Oct 30 12:44:24 2006 Local Options hash (VER=V4): 'a6ae7d69'
Mon Oct 30 12:44:24 2006 Expected Remote Options hash (VER=V4): '006a55ce'


Sincèrement le tuto Kit NEwbie m'a servi mais je pense pas qu'il soit suffisement complet... Et à part ce lien http://home.arcor.de/u.altinkaynak/howt ... step1.html ou d'autre encore... on trouve carrément rien a ce sujet....

Depuis vendredi j'essaie de faire une bonne config et ça marche pas...

AIDEZ SVPPPPP !
Je sais vraiment plus quoi faire,..............................;[/quote]
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar jdh » 30 Oct 2006 14:21

Je pense que Zerina attend que le client soit du côté Red et non Blue, et que par conséquent Zerina ajoute une règle d'entrée qui n'est pas adaptée.

Mais, franchement, un access-point avec WPA doit être suffisamment efficace en terme de sécurité pour ne pas monter une couche supplémentaire de (pseudo-)sécurité.

Cela s'appelle de la paranoia. Et ce n'est pas la peine d'ouvrir un nouveau fil pour ça.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jesbond » 30 Oct 2006 15:20

De toute façon, même sans créer de VPN, je n'ai pas accer a mon reseau LAN (interface GREEN) a partir d'un client wifi (interface BLUE), et ça je ne sais pas pourquoi...
Je ne comprend pas pourquoi ça marche pas.
Je ne trouve pas d'aide....
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar jdh » 30 Oct 2006 15:28

Encore une fois les politiques par défaut d'IPCOP sont claires (et mentionnées dans le Newbie-kit).

RED => IPCOP : fermé

BLUE => IPCOP : fermé
BLUE => GREEN : fermé
BLUE => RED : ouvert

GREEN => IPCOP : ouvert
GREEN => BLUE : ouvert
GREEN => RED : ouvert (AMHA : hélas !)

Dans le newbie-kit, il y a même les explications pour autoriser certains traffics (selon le sens).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jesbond » 30 Oct 2006 15:32

Par exemple :
j'active mon service telnet sur le client LAN.
J'installe putty sur le client wifi pour me connecter au service telnet du lan sur le port 23.

Je créé une regle sur ipcop :
Parefeu - acces a la dmz -
Réseau d'origine : BLEU -
ip source : 192.168.2.10 (= client wifi) -
réseau de destination : VERT -
ip de destination : 192.168.1.10 -
port de destination : 23.

J'active ma règle .

et la j'arrive pas a me connecter en telnet au LAN....

voila mon premier probleme
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar jesbond » 30 Oct 2006 15:34

jai déjà lu le newbie-kit........
:lol:
Faut surtout pas croire que jy met de la mauvaise volonté je suis acharné sur ipcop.....
J'aimerai bien reussir a faire ça qd meme !
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar jdh » 30 Oct 2006 16:35

Je ne suis pas spécialiste d'IPCOP mais en principe c'est ça.

Kesako Telnet ? (je plaisante) Entre un openvpn et utiliser Telnet, y a comme une grande différence en terme de sécurité. Je pensais que plus personne n'utilisait Telnet tellement c'est "insecure" !

Une fois le service Telnet activé, cela fonctionne-t-il avec un PC sur le même réseau (Green) ?

(Telnet=TCP/23)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jesbond » 30 Oct 2006 21:38

Une fois le service Telnet activé, cela fonctionne-t-il avec un PC sur le même réseau (Green) ?


J'ai qu'un seul PC dans le reseau GREEN...
Je travaille sur une maquette...
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar m2nis » 31 Oct 2006 09:12

jdh a écrit:Je pensais que plus personne n'utilisait Telnet tellement c'est "insecure" !

Une large proportion des routeurs du marché ne propose encore QUE telnet pour l'administration... distante! Heureusement, l'ouverture du port peut être restreint à certaines ip seulement.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar jdh » 31 Oct 2006 09:33

Je sais bien ! Mais, comme chacun sait, "telnet" fait passer en clair les mots de passe.

Il est regrettable que cela ne migre pas vers du "ssh" (avec clé et authentification).

En revanche, en principe, on ne passe pas sa vie à configurer des routeurs. Donc les sessions telnet sont peu nombreuses (et courtes). Donc un mot de passe "solide" doit pouvoir aider. Il serait souhaitable que le telnet" ne soit autorisé que de l'intérieur et/ou avec certaines ip.

J'ai souvenir d'un routeur (installé dans 6 pays pour un réseau européen que j'avais construit) dont le prestataire exigait une ligne rtc pour un modem d'administration. C'était assez bien conçu.

Cela dit il reste pas mal de protocoles qui passe des choses en clair : telnet, ftp, http, smtp, pop3, ...


Tu auras noté que je voulais (enfin j'essayais) de mettre un peu d'humour dans la différence de sécurité entre un "telnet" et un "openvpn".
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jesbond » 31 Oct 2006 10:26

C'est bien gentil tout ça.......
Mais vous vous égarez un peu de mon problème.

Je parle de telnet juste pour faire des tests de communication entre 2 postes.
POUR VERIFIER les PINHOLE que j'ai créé sur ipcop et ça marche pas....

bref je sens que je v pas m'en sortir....
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar jdh » 31 Oct 2006 10:44

Le ping me parait le test le plus simple plutot que de mettre en oeuvre un service ("telnet").

Encore une fois, il faut faire un test direct puis ensuite mettre les machines à leur place (blue et green).

Je pense qu'IPCOP doit permettre cela de façon simple (idéalement avec BOT). Quelquefois c'est bien plus simple qu'imaginé et paramétré.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar m2nis » 31 Oct 2006 11:14

jdh a écrit:En revanche, en principe, on ne passe pas sa vie à configurer des routeurs.

Heureusement! :)

jdh a écrit:Donc les sessions telnet sont peu nombreuses (et courtes). Donc un mot de passe "solide" doit pouvoir aider.

A partir du moment où il circule en clair, le "solide" devient très relatif... :?

jdh a écrit:Tu auras noté que je voulais (enfin j'essayais) de mettre un peu d'humour dans la différence de sécurité entre un "telnet" et un "openvpn".

Oui oui, même si j'ai basculé dans un mode un poil plus "sérieux". :)

jesbond a écrit:C'est bien gentil tout ça.......
Mais vous vous égarez un peu de mon problème.

Ah bon? 8)
A mon avis, vous devriez faire une règle dans un premier temps la plus ouverte possible pour tenter de cerner votre problème. Au lieu d'ouvrir bleu:23 vers vert, ouvrez donc bleu vers vert. Une fois que tout fonctionne, il est toujours temps de refermer.

Par ailleurs, n'oubliez pas que le journal du pare-feu est certainement votre meilleur ami dans ce genre de cas. S'il m'a aidé avec autant de patience, il devrait bien en faire de même avec vous. :D
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar jesbond » 31 Oct 2006 12:18

Bon jai fini par reinstaller IPCOP mais cette fois ci avec 3 interfaces seulement, au lieu de 4.
J'ai supprimé ORANGE.

Bon point déjà, c'est que je pinguer le client wifi a partir du lan, mais que je pe pas le faire dans le sens inverse.

Donc sa respecte bien les regles par défault d'ipcop.
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Messagepar jesbond » 31 Oct 2006 12:27

Par contre jai toujours le meme probleme.
C'est qu'à partir du client LAN, j'arrive 1 fois sur 4 à me connecter à l'interface web d'ipcop pour le configurer.

http://192.168.1.254:81


et pourtant ça ping en continu, ya jamais de coupure ....

vous savez de koi sa peut venir ?
jesbond
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 19 Jan 2006 17:53

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron