Problème RPV entre 2 IPCop!

[Pyrithe]

Bonjour à tous, et à toutes.
Je suis actuellement en BTS réseau, et je mène un projet visant à présenter une maquette fonctionnelle de deux sites situés derrière un IPCop, entre lesquels je compte monter un VPN.
Ensuite, deux DMZ seront intégrées pour publier des serveurs FTP et Web.

J'en suis actuellement à la liaison VPN, et ca fait plusieurs jours que je galère. Pour faire simple (au moins au départ), j'ai choisit d'utiliser le soft de RPVs intégré à IPCop.

J'ai donc suivit ce tuto: http://forums.ixus.fr/viewtopic.php?t=24737 (en milieu de page, très bien fait et clair).
Le hic, c'est qu'après la fin de ce tuto, mes deux IPCop m'affichent les RPVs comme Fermé.

Les VPN se connectent ils seuls? Si non, comment les lancer? (l'icone qui me permet de relancer le service VPN ne semble pas résoudre le problème).

Sinon , plus embêtant, mon log me signal des erreurs au niveau des certificats. Ayant pourtant bien suivit le tuto, puis d'autres, et essayé plusieurs fois, je pense que mes certificats sont bons!

Je vous donne donc un bout de mon fichier de log, afin que votre expérience puisse me sortir de la panade... (et oui, mon projet est à présenter dans 15 jours).

Merci à tous par avance de votre aide, précieuse...

9:36:38 pluto[2008] "samtotony" #89: starting keying attempt 27 of an unlimited number
09:36:38 pluto[2008] "samtotony" #91: initiating Main Mode to replace #89
09:36:38 pluto[2008] "samtotony" #90: max number of retransmissions (2) reached STATE_MAIN_R2
09:36:38 pluto[2008] "samtotony" #91: received Vendor ID payload [RFC 3947]
09:36:38 pluto[2008] "samtotony" #91: received Vendor ID payload [Dead Peer Detection]
09:36:38 pluto[2008] "samtotony" #91: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
09:36:38 pluto[2008] packet from 10.0.6.2:500: received Vendor ID payload [RFC 3947]
09:36:38 pluto[2008] packet from 10.0.6.2:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike -03]
09:36:38 pluto[2008] packet from 10.0.6.2:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike -02]
09:36:38 pluto[2008] packet from 10.0.6.2:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike -00]
09:36:38 pluto[2008] packet from 10.0.6.2:500: received Vendor ID payload [Dead Peer Detection]
09:36:38 pluto[2008] "samtotony" #92: responding to Main Mode
09:36:38 pluto[2008] "samtotony" #92: transition from state (null) to state STATE_MAIN_R1
09:36:38 pluto[2008] "samtotony" #91: NAT-Traversal: Result using RFC 3947: no NAT detected
09:36:38 pluto[2008] "samtotony" #91: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
09:36:38 pluto[2008] "samtotony" #92: NAT-Traversal: Result using RFC 3947: no NAT detected
09:36:38 pluto[2008] "samtotony" #92: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
09:36:38 pluto[2008] "samtotony" #91: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, O=ipcop2, CN=10.0.6 .2'
09:36:38 pluto[2008] "samtotony" #91: Certificate is invalid
09:36:38 pluto[2008] "samtotony" #91: X.509 certificate rejected
09:36:38 pluto[2008] "samtotony" #91: no RSA public key known for 'C=FR, O=ipcop2, CN=10.0.6.2'
09:36:38 pluto[2008] "samtotony" #91: sending notification INVALID_KEY_INFORMATION to 10.0.6.2:500
09:36:38 pluto[2008] "samtotony" #92: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, O=ipcop2, CN=10.0.6 .2'
09:36:38 pluto[2008] "samtotony" #92: Certificate is invalid
09:36:38 pluto[2008] "samtotony" #92: X.509 certificate rejected
09:36:38 pluto[2008] "samtotony" #92: no RSA public key known for 'C=FR, O=ipcop2, CN=10.0.6.2'
09:36:38 pluto[2008] "samtotony" #92: sending notification INVALID_KEY_INFORMATION to 10.0.6.2:500
09:36:48 pluto[2008] "samtotony" #92: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, O=ipcop2, CN=10.0.6 .2'
09:36:48 pluto[2008] "samtotony" #92: Certificate is invalid
09:36:48 pluto[2008] "samtotony" #92: X.509 certificate rejected
09:36:48 pluto[2008] "samtotony" #92: no RSA public key known for 'C=FR, O=ipcop2, CN=10.0.6.2'
09:36:48 pluto[2008] "samtotony" #92: sending notification INVALID_KEY_INFORMATION to 10.0.6.2:500
09:36:48 pluto[2008] "samtotony" #91: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, O=ipcop2, CN=10.0.6 .2'
09:36:48 pluto[2008] "samtotony" #91: Certificate is invalid
09:36:48 pluto[2008] "samtotony" #91: X.509 certificate rejected
09:36:48 pluto[2008] "samtotony" #91: no RSA public key known for 'C=FR, O=ipcop2, CN=10.0.6.2'
09:36:48 pluto[2008] "samtotony" #91: sending notification INVALID_KEY_INFORMATION to 10.0.6.2:500

[Elfeclair]

Bonjour,

La création du VPN de Réseau à réseau est assez simple. Mais comme pour tous les VPN IPSec, les serveurs VPN (les IPCop) doivent posséder une adresse IP Public, c'est à dire que le modem ADSL ne doit pas être en mode routeur.

Si besoin, voici mon tutoriel sur le sujet.

--- VPN réseau à réseau sur IPCop ---
v.1.0.1, du 22 juin 2007, fait par Frédéric Piard.
____________________________________

Préambule
=========
Comme pour tous les VPN IPSec, les serveurs VPN (les IPCop) doivent posséder une adresse IP Public,
c'est à dire que les modems ADSL ne doit pas être en mode routeur, mais en mode bridge ou half-bridge.

Il vous faut remplacer les valeurs "societe", "vpn.societe.com", "adresse de réseau", etc.
par les vôtres.


1 - Crééer les certificats sur un IPCop
=======================================

Accéder aux pages de configuration du VPN
- <https://vpn.societe.com:445/cgi-bin/vpnmain.cgi>

Paramétrer le VPN
Paramètres généraux
-------------------
- Nom d'organisation : societe
- Nom d'hôte : vpn.societe.com (soit le nom DNS de votre IPCop soit son adresse IP fixe)
- Sélectionner le pays (à priori, France)
- Activé : Oui
- Cliquer "Enregistrer"


Générer les certificats racine et système
Autorités de certification
--------------------------
- Cliquer "Génération des certificats racine et système" pour qu'IPCop
génère lui-même ses certificats
- Nom d'organisation : societe (le nom de votre societe)
- Nom d'hôte d'IPCop : vpn.societe.com (soit le nom DNS de votre IPCop soit son adresse IP fixe)
- Pays : France
- Cliquer "Génération des certificats racine et système"
- Sauvegarder le certificat racine : Cliquer sur la petite disquette bleue
- Sauvegarder le certificat système : Cliquer sur l'autre petite disquette bleue


2 - Crééer les certificats sur l'autre IPCop
============================================

Executer les actions de l'étape 1 sur le second IPCop


3 - Transférer les certificats
==============================

Il faut transferer les certificats créés sur le 1er IPCop vers le second, et inversement.


4 - Importer les certificats racine sur un IPCop
================================================

Autorités de certification
--------------------------
Nom de l'autorité de certification : le nom de l'autre IPCop
Parcourir : Cacert.pem de l'autre IPCop
Transférer le certificat CA
Une 3ème ligne va s'afficher en bas dans la colonne Autorités de Certification

5 - Importer les certificats racine sur un IPCop
================================================

Executer les actions de l'étape 4 sur le second IPCop


6 - Créer le VPN sur un IPCop
=============================

Contrôle et statut de la connexion
----------------------------------
- Ajouter
- RPV réseau à réseau

Connexion
---------
- Nom : celui de l'autre IPCop (parce que on connait notre nom)
- Coté IPCop : Left (par exemple)
- Sous-réseau local : l'adresse du réseau local (192.168.0.0/255.255.255.0 par ex.)
- Action quand le 'pair' disparait: restart (conseillée pour un VPN réseau à réseau)
- Activé : Oui
- Serveur/IP distant: le nom où l'adresse IP de l'autre IPCop
- Sous-réseau distant : l'adresse du réseau local de l'autre IPCop (192.168.1.0/255.255.255.0 par ex.)
- Poursuivre avec la configuration avancée : Oui

Authentification
----------------
- Transférer un certificat
- Parcourir : Choisir le certificat système (Hostcert.pem) de l'autre IPCop

Avancé
------
- Encryptage IKE : AES (256 bit) / AES (128 bits)
- Durée de vie IKE : 1 heure (choix par défaut)
- Intégrité IKE : SHA / MD5 (choix par défaut)
- Grouptype IKE : MODP-1536 / MODP-1024 (choix par défaut)
- Encryptage ESP : AES (256 bit) / AES (128 bits)
- Durée de vie de la clé ESP 8 heures (choix par défaut)
- Intégrité ESP : SHA / MD5 (choix par défaut)
- Grouptype ESP : Phase1 Group
- IKE+ESP: Utilisez seulement les paramètres proposés : Oui
- Autorise la négociation IKE 'aggressive mode' : Non
- Perfect Forward Secrecy : Oui
- Compression du payload si possible : Oui

- Enregistrer

7 - Créer le VPN sur l'autre IPCop
==================================

Executer les actions de l'étape 6 sur le second IPCop, en changeant les noms, les adresses et le coté IPcop.

[tony_montana71200]

étant le collègue de pyrithe, maintenant il faut faire passer le NAT derrière les routeur cisco 1700
je sais qu'il faut utiliser la fonction pass-trough mais je ne sais pas comment la configurer
apparement il faut rentrer des access-list :

access-list XXX permit ahp any any
access-list XXX permit esp any any
access-list XXX permit udp any any eq isakmp
access-list XXX permit udp any any eq non500-isakmp


quelqu'un aurait-il des renseignement merci d'avance les gars

[Franck78]

quelqu'un aurait-il des renseignement merci d'avance les gars

Oui, cisco lui même. Evidement c'est en anglais, mais quand on choisit le réseau, c'est un prérequis de base n'est-ce pas...

Ah oui, c'est pas la peine de cross poster la même question sur chaque discussion apparentée. Ces questions vont être supprimées

La question ouverte qui ne fait apparaitre aucun travail de recherche pour l'accompagner est très mal venue par ici. La réponse qui convient est "RTFM ou ask GOOGLE"

bye

[tony_montana71200]

ça fait 2 semaine que je passe en revue tout le net de fond en comble et je peux de dire que répondre à cette question n'est pas facile, je te met au défi d'y répondre.

alors monsieur je sais tout répond à cette question si t'es si malin

[Poupou94]

Re Bonsoir

Une dernière solution passer un call chez Cisco, je connais des gens très bien et surtout dont tu ne peux imaginer la compétence, qui travaille la bas.

Pascal.

[Gandalf]

alors monsieur je sais tout répond à cette question si t'es si malin

Ouh là ... on se détend .... et on cherche la solution en ignorant les petits pics éventuels de certains .... cool ...

[Pyrithe]

Oula, un peu de tension pour pas grand chose! :s

Bien, pour ce qui est du VPN j'ai suivit le Tuto à la lettre, et pas moyen d'avoir un truc stable. Disons que ca... "marchotte". Même quand le VPN ets déclaré ouvert, des erreurs concernant l'échange de certificats sont enregistrées dans le log IPSec.
C'est là que je me pose la question:
Puisque beaucoup parviennent à des résultats stables avec ces même tuto, le problème viendrait il des routeurs que nous avons à traverser? Les infos Cisco parlent évidement de créer un VPN entre les routeurs, mais pas de laisser passer le tunelling, qui dans notre cas s'établit entre les serveurs IPCop.
C'est là que nous bloquons.
Et c'est pas faute d'avoir cherché, sachant qu'au bout on a quand même une présentation devant un jury, ce qui constitue l'intégralité d'un partiel!!!

[Franck78]

Bien, pour ce qui est du VPN j'ai suivit le Tuto à la lettre, et pas moyen d'avoir un truc stable. Disons que ca... "marchotte". Même quand le VPN ets déclaré ouvert, des erreurs concernant l'échange de certificats sont enregistrées dans le log IPSec.

Les cisco, ils ne font rien dans l'histoire. Entre eux comme pour des millions de vpn sur internet, il y a toujours des ciscos. Ils routent. point barre.

Ils pourraient devenir génant si ils NATTENT. La ok, c'est un problème récurrent. Pour certains ca marche, pour d'autre ca marche pas (le vpn). Et pour troubleshooter ça, tout dépend du niveau technique du bonhomme en face des machines

Le x509, ca passe ou ca passe pas. Il n'y a pas de demi mesure. Donc si erreurs il y a, ce doit être des 'warnings'.

Pour obtenir une aide concrète, il faut un schéma minimum avec IP, élément qui nattent, des logs et bien sur un travail de dégrossissage.

Si il y a bien une chose à éviter, c'est suivre à la lettre un tuto qui ne peut pas imaginer toutes les subtilités qui pourraient apparaitre. Il faut suivre le fil du tuto, comprendre et eventuellement adapter à son cas


Bye

[Pyrithe]

Hé hé. Oui, bien sur, je ne suis pas bête et méchant, j'ai bien entendu suivit ces tutos dans les lignes, en adaptant le principe à ma maquette de test.

On vient de tester Le VPN entre les IPCop sans les routeurs au milieu. Et là, ca marche pas de problème.

Car comme tu l'a soulevé, nos routeurs Nattent effectivement. En fait, Sur chaque routeur, il y a deux liens physiques: Un qui est sur le LAN, Un autre qui nous mène au Net. Et de là, Il Nat les adresses du réseau local vers l'exterieur.

Je ne vois pas le problème qui peut se poser entre le NAT et le VPN... Logiquement, avec le VPN, on a un lien logique qui, en résultat, fait apartenir nos deux sites au même LAN non???

Si il y a besoin de plus de précisions, je posterais des plans dès que possible... :s

[Elfeclair]

Comme déjà dit plus haut :

La création du VPN de Réseau à réseau est assez simple. Mais comme pour tous les VPN IPSec, les serveurs VPN (les IPCop) doivent posséder une adresse IP Public, c'est à dire que le modem ADSL ne doit pas être en mode routeur.

Si tu as du NAT entre les IPCOp il te faut penser au module OpenVPN pour IPCop qui lui résiste mieux au NAT.

[Franck78]

Je ne vois pas le problème qui peut se poser entre le NAT et le VPN... Logiquement, avec le VPN, on a un lien logique qui, en résultat, fait apartenir nos deux sites au même LAN non???

Le NAT perturbe tellement le VPN ipsec qu'en lui a adjoint une grosse extension. NAT-TRAVERSAL.

Explications par ici:
http://www.microsoft.com/technet/commun ... g0802.mspx

[Pyrithe]

Pour l'extension Open VPN de Zerina, on a essayé, mais il semblerais qu'il ne gère que le mode roadwarrior, ce qui ne nous a pas semblé adapté, pour plusieurs raisons.
On va se tourner plutôt vers la supression des routeurs, afin de ne pas être dérangés par le NAT. Après tout, il me semble que ce ne soit pas dérangeant de placer l'IPCop directement sur le Net.
Merci aussi pour le lien sur le NAT Transversal, très intéressant!
Mais malheureusement le temps nous fait défaut, et il faut avancer...