etablir un VPN avec openswan

[dnahom]

bonjour!
je suis nouveau dans ce forum
je suis planté sur l'etablissement du vpn entre deux reseaux differents si quelqu'un pourrai me donner un coup de main!
explication:
- j'utilise mandriva 2006 sur les deux passerelles des deux reseaux.
- une passerelle possede une adresse ip fixe et l'autre dynamique.
- j'ai installé ddclient sur la passerelle pour avoir un nom de domaine
- voici la configuration des mes deux fichiers ipsec.conf:
1) sur la passerelle A (ayant une adresse IP fixe):
conn net-to-net
left=209.16.182.140
leftsubnet=192.168.10.0/24
leftid=@localhost
leftrsasigkey=0sAQOvgJC8N2VjhVW...
leftnexthop=%defaultroute
right=netanri.dynalias.net
rightsubnet=192.168.50.0/24
rightid=@localhost
rightrsasigkey=0sAQPZfhh2U4OrIo...
rightnexthop=%defaultroute
auto=add

2) sur la passerelle B (ayant une @ dynamique):

conn net-to-net
left=netanri.dynalias.net
leftsubnet=192.168.50.0/24
leftid=@localhost
leftrsasigkey=0sAQPZfhh2U4OrIo...
leftnexthop=%defaultroute
right=209.16.182.140
rightsubnet=192.168.10.0/24
rightid=@localhost
rightrsasigkey=0sAQOvgJC8N2VjhVW...
rightnexthop=%defaultroute
auto=add

lorsque je tape:
$ service ipsec restart
ok il redemarre!
$ ipsec verify
tout est normal
$ ipsec auto --up net-to-net
la c'est un probleme!
il m'affiche le resultat suivant:
104 "net-to-net" #1: STATE_MAIN_I1: initiate
pui il se bloque carrement! il renvoi le message chaque 20, 40 pui 60sec puis il s'arete!
pouvez vous me dire pourquoi ca ne passe pas?
moi je pense que c'est le nom de domaine qui ne fonction pas????

[Pabze]

Bonjour,

En net-to-net les fichiers /etc/ipsec.conf de chaque côté doivent être identique.

Car là, on à l'impression, que tu fais du net-to-net, mais à moitié configuré en roadwarrior...
Tu as suivi la doc du wiki de Openswan ?

Pabze

[dnahom]

merci de votre reponse je vais directement essayer de remplacer le fichier ipsec.conf! donc les fichiers ipsec.conf doivent etre identique dans les deux passerelles!!!! moi j'ai inversé les paramatres!! et pourtant j'ai suivi la doc sur openswan.org
je vous informerai de mon resultat...merci!

[Pabze]

Re,

Je ne remets pas ta parole en doute, mais en net-to-net :

Copy conn net-to-net to the remote-side /etc/ipsec.conf

Référence du wiki d'openswan...

PS : Sur mandrake le fichier ipsec.conf doit être là /etc/openswan/ipsec.conf ! Non ?
Pabze

[dnahom]

salut!
j'ai essayé d'etablir la liaison VPN en suivant exactement le WIKI de openswan mais ca plante toujours!
aidez moi svp!!!!
j'ai suivi les instructions suivante:
Net-to-Net connection

Code: Tout sélectionner

# ipsec showhostkey --left
# ipsec showhostkey --right 

puis j'ai configuré ipsec.conf comme suit:

Code: Tout sélectionner

conn net-to-net
    left=192.0.2.2                 # Local vitals
    leftsubnet=172.16.0.0/24       #
    leftid=@localhost         #
    leftrsasigkey=0s1LgR7/oUM...   #
    leftnexthop=%defaultroute      # correct in many situations
    right=192.0.2.9                # Remote vitals
    rightsubnet=10.0.0.0/24        #
    rightid=@localhost        #
    rightrsasigkey=0sAQOqH55O...   #
    rightnexthop=%defaultroute     # correct in many situations
    auto=add 

puis j'ai copié mon fichier vers ma passerelle distante

Code: Tout sélectionner

# scp ipsec.conf root@ab.example.com:/etc/ipsec.conf       

et quand j'ai essayé d'etablir la connection avec

Code: Tout sélectionner

ipsec auto --up net-to-net

le resultat suivant s'affiche:

Code: Tout sélectionner

022 "net-to-net" : we cannot identyfy ourselves with either end of this connection

et en essayant d'etablir la connection a partir de l'autre passerelle le resultat suivant s'affiche aussi:

Code: Tout sélectionner

104"net-to-net" #1: STAT_MAIN_1: initiate
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 20s for response
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 40s for response
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 40s for response
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 40s for response

je ne sais pas pourquoi ca ne passe pas?
peut etre c'est le nom de dyndns ou quoi? mais quand je ping mon nom dyndns ca passe????
aidez moi svp!!!

[jibe]

salut,

peut etre c'est le nom de dyndns ou quoi? mais quand je ping mon nom dyndns ca passe????

Aïe... Tu n'es pas en IP fixe ? A ma connaissance, IPSEC ne fonctionne qu'avec une IP fixe...

[Pabze]

Re,

peut etre c'est le nom de dyndns ou quoi? mais quand je ping mon nom dyndns ca passe????

C'est à dire ton VPN fonctionne ?
Pabze

PS : Jibe, je ne serai dire si oui ou non, avec les changement d'IP etc, car pour avoir essayé du openswan en roadwarrior ou net-to-net en ip fixe, et pas en ip dynamique...
Mais quand on lis le wiki d'openswan, ou celui-ci http://leaf.sourceforge.net/doc/bucu-openswan.html on voit que l'on peut mettre au niveau du ipsec.conf un "full qualified domain name"

[dnahom]

bonjour!
est ce que vous pouvez me dire comment puis je verfier si mon dyndns fonctionne bien!

[Pabze]

C'est à dire ton VPN fonctionne aprés avoir pinguer ton adresse dyndns ?

Pabze

[Franck78]

bonjour!
est ce que vous pouvez me dire comment puis je verfier si mon dyndns fonctionne bien!

ben t'interroge le système dns mondial et tu verras l'IP qu'il te retourne.....
Je devine la prochaine question: comment je trouve mon ip publique....

j'ai essayé d'etablir la liaison VPN en suivant exactement le WIKI de openswan mais ca plante toujours!
aidez moi svp!!!!

Mais les gens qui ont écris ça n'on pas forcément pensé à ton cas particulier. Toutes les docs s'interprétent et s'adaptent ....

le resultat suivant s'affiche:
Code:
022 "net-to-net" : we cannot identyfy ourselves with either end of this connection

C'est effectivement un bon point à résoudre.
Alors un eppelant correctement "identyfy" (identify) google retourne 1 million de hits (ou lieu de 7). C'est donc un problème très commun avec beaucoup de causes possibles.
A toi de circonscrire le périmètre pour nous


bye

[Pabze]

Frank, une mauvaise journée au boulot ?

Pabze

[jibe]

Salut,

PS : Jibe, je ne serai dire si oui ou non, avec les changement d'IP etc, car pour avoir essayé du openswan en roadwarrior ou net-to-net en ip fixe, et pas en ip dynamique...
Mais quand on lis le wiki d'openswan, ou celui-ci http://leaf.sourceforge.net/doc/bucu-openswan.html on voit que l'on peut mettre au niveau du ipsec.conf un "full qualified domain name"

Je pense que tu ne saurais dire ?

En fait, IPSEC est installé d'origine dans FreeEOS, et il a toujours été dit dans l'équipe (et confirmé par certains) que ça ne peut fonctionner qu'avec une IP fixe. Perso, je n'ai pas d'expérience sur ce point qui me permettrait de confirmer, et j'avoue m'être toujours un peu posé la question du pourquoi, un peu entre autres pour la raison que tu invoques.

Le forum FreeEOS a quelques petits soucis de surcharge ces temps-ci et je ne peux y accéder maintenant. J'essaierai de ne pas oublier de poster ici un ou deux liens sur ce sujet un peu plus tard dans la soirée.

[jibe]

Coucou, me revoilà !

J'ai trouvé deux posts intéressants.

Dans le premier, gnujpl affirme qu'il faut absolument une IP fixe. Ce qui est assez logique dans le sens "VSB" (=Vite, Simple et Bien) de FreeEOS, puisque l'interface server-manager concernant IPSEC attend des IP fixes. Je pense que gnujpl n'a pas voulu entrer dans de hautes considérations pour initiés, la "clientèle" FreeEOS étant principalement des non-informaticiens.

Dans le second, alarch confirme mon pressentiment en disant que c'est théoriquement possible mais pas simple du tout à mettre en place et risque d'être problématique à cause des changements réguliers d'IP.

[Pabze]

Re,

Merci Jibe pour la correction ! Envoi un MP next time !

Une autre doc très intéressante :
http://www.natecarlson.com/linux/ipsec-x509.php

Et pour terminer avec, oui on peut faire ou non on ne peut pas faire, je vais simplement dire (mon avis) que créer un tunnel avec une IP dynamique c'est la $%#&! ! Je me souviens de mes premières installation de IP-COP à essayer d'installer un tunnel avec deux de mes sites en IP dynamique et d'avoir trouvé des bouts de scripts ici et là pour que lorsque l'IP changeait, arrêter le service pour qu'il n'y eu pas de conflit entre le changement d'IP et les certificats, le redémarrer, etc...

Que veux tu faire avec ton Openswan ? Si c'est de la connexion occasionnelle ou même que durant la journée, pourquoi ne pas partir sur du VPN en roadwarrior si tu n'as qu'une IP fixe ? Pour quelles applications, nombres de postes...

Pabze

1°) Définir l'environnement de projet.
2°) Délimiter la mission. (Contraintes...)
3°) Définir le Plan de Management du Projet.
4°) ...

[Franck78]

Frank, une mauvaise journée au boulot ?

Pabze

Non pas du tout.
C'est plutôt les passages du coq à l'ane qui sont énervant. Tu penses lire un problème non trivial (vpn) donc qu'un certain niveau de vérification et d'investiguation a été effectué et ca part en sucette sur des basiques:

-comment vérifier mon dyndns


Il n'y a strictement aucun lien entre l'un et l'autre (vpn/dyndns) et poser le problème correctement est bien le minimum que l'on puisse attendre.

Il n'en reste pas moins vrai que le changement d'IP d'un peer (une extrémité) est mal détecté par l'autre peer avec openswan 1.x C'est un sujet commun sur ixus (cherchez script reconnexion vpn). Un sujet inépuisable Pour le 2.x je n'ai pas recherché.
Je précise bien : changement d'un peer IP. Ca sous entend que la liaison était établie auparavent