etablir un VPN avec openswan

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

etablir un VPN avec openswan

Messagepar dnahom » 05 Juin 2007 11:05

bonjour!
je suis nouveau dans ce forum
je suis planté sur l'etablissement du vpn entre deux reseaux differents si quelqu'un pourrai me donner un coup de main!
explication:
- j'utilise mandriva 2006 sur les deux passerelles des deux reseaux.
- une passerelle possede une adresse ip fixe et l'autre dynamique.
- j'ai installé ddclient sur la passerelle pour avoir un nom de domaine
- voici la configuration des mes deux fichiers ipsec.conf:
1) sur la passerelle A (ayant une adresse IP fixe):
conn net-to-net
left=209.16.182.140
leftsubnet=192.168.10.0/24
leftid=@localhost
leftrsasigkey=0sAQOvgJC8N2VjhVW...
leftnexthop=%defaultroute
right=netanri.dynalias.net
rightsubnet=192.168.50.0/24
rightid=@localhost
rightrsasigkey=0sAQPZfhh2U4OrIo...
rightnexthop=%defaultroute
auto=add

2) sur la passerelle B (ayant une @ dynamique):

conn net-to-net
left=netanri.dynalias.net
leftsubnet=192.168.50.0/24
leftid=@localhost
leftrsasigkey=0sAQPZfhh2U4OrIo...
leftnexthop=%defaultroute
right=209.16.182.140
rightsubnet=192.168.10.0/24
rightid=@localhost
rightrsasigkey=0sAQOvgJC8N2VjhVW...
rightnexthop=%defaultroute
auto=add

lorsque je tape:
$ service ipsec restart
ok il redemarre!
$ ipsec verify
tout est normal
$ ipsec auto --up net-to-net
la c'est un probleme!
il m'affiche le resultat suivant:
104 "net-to-net" #1: STATE_MAIN_I1: initiate
pui il se bloque carrement! il renvoi le message chaque 20, 40 pui 60sec puis il s'arete!
pouvez vous me dire pourquoi ca ne passe pas?
moi je pense que c'est le nom de domaine qui ne fonction pas????
dnahom
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Juin 2007 10:59

Messagepar Pabze » 05 Juin 2007 11:18

Bonjour,

En net-to-net les fichiers /etc/ipsec.conf de chaque côté doivent être identique.

Car là, on à l'impression, que tu fais du net-to-net, mais à moitié configuré en roadwarrior...
Tu as suivi la doc du wiki de Openswan ?

Pabze :wink:
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar dnahom » 05 Juin 2007 12:26

merci de votre reponse je vais directement essayer de remplacer le fichier ipsec.conf! donc les fichiers ipsec.conf doivent etre identique dans les deux passerelles!!!! moi j'ai inversé les paramatres!! et pourtant j'ai suivi la doc sur openswan.org
je vous informerai de mon resultat...merci!
dnahom
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Juin 2007 10:59

Messagepar Pabze » 05 Juin 2007 14:43

Re,

Je ne remets pas ta parole en doute, mais en net-to-net :
Copy conn net-to-net to the remote-side /etc/ipsec.conf


Référence du wiki d'openswan...

PS : Sur mandrake le fichier ipsec.conf doit être là /etc/openswan/ipsec.conf ! Non ?
Pabze :wink:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar dnahom » 09 Juin 2007 12:55

salut!
j'ai essayé d'etablir la liaison VPN en suivant exactement le WIKI de openswan mais ca plante toujours!
aidez moi svp!!!!
j'ai suivi les instructions suivante:
Net-to-Net connection
Code: Tout sélectionner
# ipsec showhostkey --left
# ipsec showhostkey --right 

puis j'ai configuré ipsec.conf comme suit:

Code: Tout sélectionner
conn net-to-net
    left=192.0.2.2                 # Local vitals
    leftsubnet=172.16.0.0/24       #
    leftid=@localhost         #
    leftrsasigkey=0s1LgR7/oUM...   #
    leftnexthop=%defaultroute      # correct in many situations
    right=192.0.2.9                # Remote vitals
    rightsubnet=10.0.0.0/24        #
    rightid=@localhost        #
    rightrsasigkey=0sAQOqH55O...   #
    rightnexthop=%defaultroute     # correct in many situations
    auto=add 

puis j'ai copié mon fichier vers ma passerelle distante
Code: Tout sélectionner
# scp ipsec.conf root@ab.example.com:/etc/ipsec.conf       

et quand j'ai essayé d'etablir la connection avec
Code: Tout sélectionner
ipsec auto --up net-to-net

le resultat suivant s'affiche:
Code: Tout sélectionner
022 "net-to-net" : we cannot identyfy ourselves with either end of this connection

et en essayant d'etablir la connection a partir de l'autre passerelle le resultat suivant s'affiche aussi:
Code: Tout sélectionner
104"net-to-net" #1: STAT_MAIN_1: initiate
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 20s for response
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 40s for response
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 40s for response
010 "net-to-net" #1: STAT_MAIN_1:retransmission; will wait 40s for response

je ne sais pas pourquoi ca ne passe pas?
peut etre c'est le nom de dyndns ou quoi? mais quand je ping mon nom dyndns ca passe????
aidez moi svp!!!
dnahom
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Juin 2007 10:59

Messagepar jibe » 09 Juin 2007 22:18

salut,

dnahom a écrit:peut etre c'est le nom de dyndns ou quoi? mais quand je ping mon nom dyndns ca passe????

Aïe... Tu n'es pas en IP fixe ? A ma connaissance, IPSEC ne fonctionne qu'avec une IP fixe...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Pabze » 10 Juin 2007 11:41

Re,
peut etre c'est le nom de dyndns ou quoi? mais quand je ping mon nom dyndns ca passe????
C'est à dire ton VPN fonctionne ?
Pabze :wink:

PS : Jibe, je ne serai dire si oui ou non, avec les changement d'IP etc, car pour avoir essayé du openswan en roadwarrior ou net-to-net en ip fixe, et pas en ip dynamique...
Mais quand on lis le wiki d'openswan, ou celui-ci http://leaf.sourceforge.net/doc/bucu-openswan.html on voit que l'on peut mettre au niveau du ipsec.conf un "full qualified domain name" :)
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar dnahom » 10 Juin 2007 17:15

bonjour!
est ce que vous pouvez me dire comment puis je verfier si mon dyndns fonctionne bien!
dnahom
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Juin 2007 10:59

Messagepar Pabze » 11 Juin 2007 09:37

C'est à dire ton VPN fonctionne aprés avoir pinguer ton adresse dyndns ?

Pabze :wink:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 11 Juin 2007 15:12

dnahom a écrit:bonjour!
est ce que vous pouvez me dire comment puis je verfier si mon dyndns fonctionne bien!


ben t'interroge le système dns mondial et tu verras l'IP qu'il te retourne.....
Je devine la prochaine question: comment je trouve mon ip publique.... :twisted:


j'ai essayé d'etablir la liaison VPN en suivant exactement le WIKI de openswan mais ca plante toujours!
aidez moi svp!!!!

Mais les gens qui ont écris ça n'on pas forcément pensé à ton cas particulier. Toutes les docs s'interprétent et s'adaptent ....

le resultat suivant s'affiche:
Code:
022 "net-to-net" : we cannot identyfy ourselves with either end of this connection

C'est effectivement un bon point à résoudre.
Alors un eppelant correctement "identyfy" (identify) google retourne 1 million de hits (ou lieu de 7). C'est donc un problème très commun avec beaucoup de causes possibles.
A toi de circonscrire le périmètre pour nous ;-)


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Pabze » 11 Juin 2007 16:18

Frank, une mauvaise journée au boulot ?

Pabze :wink:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar jibe » 11 Juin 2007 18:12

Salut,

Pabze a écrit:PS : Jibe, je ne serai dire si oui ou non, avec les changement d'IP etc, car pour avoir essayé du openswan en roadwarrior ou net-to-net en ip fixe, et pas en ip dynamique...
Mais quand on lis le wiki d'openswan, ou celui-ci http://leaf.sourceforge.net/doc/bucu-openswan.html on voit que l'on peut mettre au niveau du ipsec.conf un "full qualified domain name" :)

Je pense que tu ne saurais dire ? :wink:

En fait, IPSEC est installé d'origine dans FreeEOS, et il a toujours été dit dans l'équipe (et confirmé par certains) que ça ne peut fonctionner qu'avec une IP fixe. Perso, je n'ai pas d'expérience sur ce point qui me permettrait de confirmer, et j'avoue m'être toujours un peu posé la question du pourquoi, un peu entre autres pour la raison que tu invoques.

Le forum FreeEOS a quelques petits soucis de surcharge ces temps-ci et je ne peux y accéder maintenant. J'essaierai de ne pas oublier de poster ici un ou deux liens sur ce sujet un peu plus tard dans la soirée.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar jibe » 11 Juin 2007 19:27

Coucou, me revoilà !

J'ai trouvé deux posts intéressants.

Dans le premier, gnujpl affirme qu'il faut absolument une IP fixe. Ce qui est assez logique dans le sens "VSB" (=Vite, Simple et Bien) de FreeEOS, puisque l'interface server-manager concernant IPSEC attend des IP fixes. Je pense que gnujpl n'a pas voulu entrer dans de hautes considérations pour initiés, la "clientèle" FreeEOS étant principalement des non-informaticiens.

Dans le second, alarch confirme mon pressentiment en disant que c'est théoriquement possible mais pas simple du tout à mettre en place et risque d'être problématique à cause des changements réguliers d'IP.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Pabze » 11 Juin 2007 20:26

Re,

Merci Jibe pour la correction ! Envoi un MP next time ! :)

Une autre doc très intéressante :
http://www.natecarlson.com/linux/ipsec-x509.php

Et pour terminer avec, oui on peut faire ou non on ne peut pas faire, je vais simplement dire (mon avis) que créer un tunnel avec une IP dynamique c'est la $%#&! ! Je me souviens de mes premières installation de IP-COP à essayer d'installer un tunnel avec deux de mes sites en IP dynamique et d'avoir trouvé des bouts de scripts ici et là pour que lorsque l'IP changeait, arrêter le service pour qu'il n'y eu pas de conflit entre le changement d'IP et les certificats, le redémarrer, etc...

Que veux tu faire avec ton Openswan ? Si c'est de la connexion occasionnelle ou même que durant la journée, pourquoi ne pas partir sur du VPN en roadwarrior si tu n'as qu'une IP fixe ? Pour quelles applications, nombres de postes...

Pabze :wink:

1°) Définir l'environnement de projet.
2°) Délimiter la mission. (Contraintes...)
3°) Définir le Plan de Management du Projet.
4°) ...
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 11 Juin 2007 21:48

Pabze a écrit:Frank, une mauvaise journée au boulot ?

Pabze :wink:


Non pas du tout.
C'est plutôt les passages du coq à l'ane qui sont énervant. Tu penses lire un problème non trivial (vpn) donc qu'un certain niveau de vérification et d'investiguation a été effectué et ca part en sucette sur des basiques:

-comment vérifier mon dyndns :evil:


Il n'y a strictement aucun lien entre l'un et l'autre (vpn/dyndns) et poser le problème correctement est bien le minimum que l'on puisse attendre.

Il n'en reste pas moins vrai que le changement d'IP d'un peer (une extrémité) est mal détecté par l'autre peer avec openswan 1.x C'est un sujet commun sur ixus (cherchez script reconnexion vpn). Un sujet inépuisable ;-) Pour le 2.x je n'ai pas recherché.
Je précise bien : changement d'un peer IP. Ca sous entend que la liaison était établie auparavent :!:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron