Pb interco IPCop <-> Cisco 877

[Sire]

Bonjour tout le monde !

J'essaie de monter un tunnel IPSEC entre un Cisco 877 et un IPCop, mais je me heurte à deux petits problèmes (à première vue):

1) le VPN monte bien, il fonctionne correctement (au moins dans un sens, je n'ai pas vérifié si ça fonctionnait dans l'autre car à vrai dire, je n'en ai besoin que dans un sens, mais je testerais dès que possible). Par contre, les logs de IPCop sont énormes et ressemblent à ça:

08:51:41 pluto[535] "Vallauris1" #766: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL to replace #765
08:51:41 pluto[535] "Vallauris1" #427: ignoring informational payload, type NO_PROPOSAL_CHOSEN
08:51:41 pluto[535] "Vallauris1" #427: received and ignored informational message
08:52:51 pluto[535] "Vallauris1" #766: max number of retransmissions (2) reached STATE_QUICK_I1
08:52:51 pluto[535] "Vallauris1" #766: starting keying attempt 743 of an unlimited number
08:52:51 pluto[535] "Vallauris1" #767: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL to replace #766
08:52:51 pluto[535] "Vallauris1" #427: ignoring informational payload, type NO_PROPOSAL_CHOSEN
08:52:51 pluto[535] "Vallauris1" #427: received and ignored informational message
08:54:01 pluto[535] "Vallauris1" #767: max number of retransmissions (2) reached STATE_QUICK_I1
08:54:01 pluto[535] "Vallauris1" #767: starting keying attempt 744 of an unlimited number
08:54:01 pluto[535] "Vallauris1" #768: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL to replace #767
08:54:02 pluto[535] "Vallauris1" #427: ignoring informational payload, type NO_PROPOSAL_CHOSEN
08:54:02 pluto[535] "Vallauris1" #427: received and ignored informational message
08:55:11 pluto[535] "Vallauris1" #768: max number of retransmissions (2) reached STATE_QUICK_I1
08:55:11 pluto[535] "Vallauris1" #768: starting keying attempt 745 of an unlimited number

Et ça continue comme ça indéfiniment... Est ce que quelqu'un sait pourquoi ???

2) Si je perds mon lien ADSL, le VPN ne remonte pas et j'ai ceci dans le log:

09:22:50 pluto[535] "Vallauris1" #774: ISAKMP SA established
09:22:50 pluto[535] "Vallauris1" #775: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL
09:22:50 pluto[535] "Vallauris1" #774: ignoring informational payload, type NO_PROPOSAL_CHOSEN
09:22:50 pluto[535] "Vallauris1" #774: received and ignored informational message
09:24:00 pluto[535] "Vallauris1" #775: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no prop osal
09:24:00 pluto[535] "Vallauris1" #775: starting keying attempt 2 of an unlimited number
09:24:00 pluto[535] "Vallauris1" #776: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL to replace #775
09:24:01 pluto[535] "Vallauris1" #774: ignoring informational payload, type NO_PROPOSAL_CHOSEN
09:24:01 pluto[535] "Vallauris1" #774: received and ignored informational message
09:25:10 pluto[535] "Vallauris1" #776: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no prop osal
09:25:10 pluto[535] "Vallauris1" #776: starting keying attempt 3 of an unlimited number
09:25:10 pluto[535] "Vallauris1" #777: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL to replace #776
09:25:10 pluto[535] "Vallauris1" #774: ignoring informational payload, type NO_PROPOSAL_CHOSEN
09:25:10 pluto[535] "Vallauris1" #774: received and ignored informational message
09:26:20 pluto[535] "Vallauris1" #777: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no prop osal

Le DPD de l'IPCop est en mode "restart", j'ai aussi essayé en mode "hold" sans succes, il me reste à tester le mode "clear" mais j'ai de gros doutes.
Est ce que coté Cisco je dois modifier quelque chose ?

Question subsidiaire: sur le Cisco j'ai des paramétrages qui n'existent pas sur le IPCop (ex: la durée de vie du SA en ko, le groupe DH du PFS), et il me manque des paramétrages qui sont dans IPCop (ex: le grouptype IKE).

Si quelqu'un à de l'expérience sur ce genre de VPN et qu'il peut m'aider, je lui serais grandement reconnaissant !!!

Merci !

Joris

[Franck78]

08:51:41 pluto[535] "Vallauris1" #427: ignoring informational payload, type NO_PROPOSAL_CHOSEN

Salut,
Les deux cotés ne parlent pas la même langue, ou plutôt si mais ce sont quelques subtiles variations (genre français-français français-canadien) qui rendent le dialogue impossible.

C'est dans les options avancées vpn d'IPCop qu'il faut sélectionner un groupe de valeur communes genre ike=AES256+SHA1+MODP1536
puis pour esp.

Il est possible de selectionner 'toutes les options' puis d'aller voir le choix retenu par 'ipsec auto' et alors revenir selectionner le strict minimum.

[Sire]

Merci de ta réponse.

Comment est ce que je vois le choix retenu par IPSEC auto ? dans le fichier log (fort peu pratique) d'IPCop ???

Concernant le DPD, une idée ?

Joris

[Sire]

et aussi:

est ce que le fait que la machine IPCop ne réponde pas au ping (elle fonctionne mais le firewall bloque les requetes ICMP) peut poser problème ?

Joris

[Sire]

Maintenant mon VPN ne monte plus du tout, j'ai ce message qui revient perpétuellement, même après avoir redémarré IPCop et le Cisco:

11:52:56 pluto[534] packet from XXX.XXX.XXX.16:500: received Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]
11:52:56 pluto[534] packet from XXX.XXX.XXX.16/500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02_n]
11:52:56 pluto[534] packet from XXX.XXX.XXX.16:500: initial Main Mode message received on 192.168.192 .5:500 but no connection has been authorized
11:53:06 pluto[534] packet from XXX.XXX.XXX.16:500: ignoring Vendor ID payload [439b59f8ba676c4c7737a e22eab8f582]

Joris

[Franck78]

Merci de ta réponse.

Comment est ce que je vois le choix retenu par IPSEC auto ? dans le fichier log (fort peu pratique) d'IPCop ???

Joris

#ipsec auto --status

sur l'IPCop.
Mais tu sembles avoir plutôt régréssé avec tes modifs. Les machines ne se voient même plus. Le ping ne sert à rien pour IPSec.

[Sire]

Bon, j'ai réussi à faire remonter mon VPN, il fonctionne dans les deux sens, mais je reviens au même niveau que ce matin, à savoir un:

16:02:33 pluto[535] "Vallauris" #8: max number of retransmissions (2) reached STATE_QUICK_I1
16:02:33 pluto[535] "Vallauris" #8: starting keying attempt 6 of an unlimited number
16:02:33 pluto[535] "Vallauris" #9: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS to replace #8
16:02:33 pluto[535] "Vallauris" #2: ignoring informational payload, type NO_PROPOSAL_CHOSEN
16:02:33 pluto[535] "Vallauris" #2: received and ignored informational message

qui revient toutes les 70 secondes exactement...

Quelqu'un aurait il une idée ?

Merci d'avance

Joris

[Franck78]

ben oui, une bonne idée serait de donner un peu plus d'infos sur les choix options et paramètres choisis de chaque cotés. Une autre serait d'expliquer comment tu t'es planté, afin que l'on détermine "ton niveau d'expertise". Une troisième serait un petit schéma... entre les deux 'peers'.

Une quatrième: expliquer ton vocabulaire. Monter le vpn, ca implique 'STATE MAIN I4' quelque part. Pourtant cela n'apparait pas (du coté IPCop au moins).

[Sire]

Bah pour mon niveau d'expertise, il est faible: j'apprend sur le tas, et c'est pas facile !!!

Et pour le vocabulaire, je voulais juste dire que quand j'envoie des paquets d'un réseau à l'autre, ils arrivent, donc, j'en déduisait que le VPN "montait", cela dit, je ne connais pas suffisament les différentes étapes d'une connexion IPSEC pour tout comprendre

Demain quand je serais au bureau, je posterais ma config Cisco et le ipsec.conf d'IPCop, si ça peut aider...

Pour info, j'ai testé "rekey=no" dans la config, parce que j'avais trouvé ça quelque part sur le net, et ça n'a rien changé, toujours la même chose à la même intervale.

Bonne soirée et merci encore

Joris

[Sire]

Bonjour, voici mon ipsec.conf:

config setup
interfaces="%defaultroute "
klipsdebug="none"
plutodebug="none"
plutoload=%search
plutostart=%search
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:
!192.168.92.0/255.255.255.0,%v4:!10.10.10.0/255.255.255.0

conn %default
keyingtries=0
disablearrivalcheck=no

conn Vallauris #RED
left=192.168.192.5
leftnexthop=%defaultroute
leftsubnet=192.168.92.0/255.255.255.0
right=***.***.***.***
rightsubnet=10.10.10.0/255.255.255.0
rightnexthop=%defaultroute
ike=aes256-sha-modp1536,aes256-sha-modp1024,aes256-sha-modp768,aes128-sha-modp1536,aes128-sha-modp1024,aes128-sha-modp768,3des-sha-modp1536,3des-sha-modp1024,3des-sha-modp768!
esp=aes256-sha1,aes128-sha1,3des-sha1!
pfsgroup=modp1024
ikelifetime=8h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=clear
pfs=yes
authby=secret
auto=start
rekey=no

Et ma config Cisco:

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key mysharedkey address ***.***.***.*** no-xauth
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to ***.***.***.***
set peer ***.***.***.***
set security-association lifetime seconds 28800
set transform-set ESP-3DES-SHA
set pfs group2
match address 100

Le VPN fonctionne bien dans les deux sens, mais:
-il y a ce rekeying toutes les 70 secondes.
-à la moindre perte de connexion d'un coté ou de l'autre, je perds tout, et je suis obligé de redémarrer le Cisco et IPCop pour que le VPN fonctionne à nouveau, pas très pratique

Et voici le log IPCop depuis le démarrage de celui-ci:

10:01:55 ipsec_setup Starting Openswan IPsec 1.0.10...
10:01:55 ipsec_setup KLIPS debug `none'
10:01:56 ipsec_setup KLIPS ipsec0 on eth1 192.168.192.5/255.255.255.0 broadcast 192.168.192.255
10:01:56 ipsec__plutorun Starting Pluto subsystem...
10:01:56 ipsec_setup ...Openswan IPsec started
10:01:56 pluto[534] Starting Pluto (Openswan Version 1.0.10)
10:01:56 pluto[534] including X.509 patch with traffic selectors (Version 0.9.42)
10:01:56 pluto[534] including NAT-Traversal patch (Version 0.6)
10:01:56 pluto[534] ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
10:01:56 pluto[534] ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
10:01:56 pluto[534] Changing to directory '/etc/ipsec.d/cacerts'
10:01:56 pluto[534] Warning: empty directory
10:01:56 pluto[534] Changing to directory '/etc/ipsec.d/crls'
10:01:56 pluto[534] Warning: empty directory
10:01:56 pluto[534] OpenPGP certificate file '/etc/pgpcert.pgp' not found
10:01:56 pluto[534] | from whack: got --esp=aes256-sha1,aes128-sha1,3des-sha1!;modp1024
10:01:56 pluto[534] | from whack: got --ike=aes256-sha-modp1536,aes256-sha-modp1024,aes256-sha-modp7 68,aes128-sha-modp1536,aes128-sha-modp1024,aes128-sha-modp768,3des-sha-modp1536, 3des-sha-modp1024,3des-sha-modp768!
10:01:56 pluto[534] added connection description "Vallauris"
10:01:56 pluto[534] listening for IKE messages
10:01:56 pluto[534] adding interface ipsec0/eth1 192.168.192.5
10:01:56 pluto[534] adding interface ipsec0/eth1 192.168.192.5:4500
10:01:56 pluto[534] loading secrets from "/etc/ipsec.secrets"
10:01:56 pluto[534] "Vallauris" #1: initiating Main Mode
10:03:49 pluto[534] packet from ***.***.***.***:500: ignoring Vendor ID payload [439b59f8ba676c4c7737a e22eab8f582]
10:03:49 pluto[534] packet from ***.***.***.***:500: received Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]
10:03:49 pluto[534] packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02_n]
10:03:49 pluto[534] "Vallauris" #2: responding to Main Mode
10:03:49 pluto[534] "Vallauris" #2: transition from state (null) to state STATE_MAIN_R1
10:03:49 pluto[534] "Vallauris" #2: ignoring Vendor ID payload [Cisco-Unity]
10:03:49 pluto[534] "Vallauris" #2: received Vendor ID payload [Dead Peer Detection]
10:03:49 pluto[534] "Vallauris" #2: ignoring Vendor ID payload [b504d5e7e0780f2630ee51b91f681225]
10:03:49 pluto[534] "Vallauris" #2: ignoring Vendor ID payload [XAUTH]
10:03:49 pluto[534] "Vallauris" #2: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
10:03:49 pluto[534] "Vallauris" #2: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
10:03:49 pluto[534] "Vallauris" #2: ignoring informational payload, type IPSEC_INITIAL_CONTACT
10:03:49 pluto[534] | protocol/port in Phase 1 ID Payload is 17/0. accepted with port_floating NAT-T
10:03:49 pluto[534] "Vallauris" #2: Main mode peer ID is ID_IPV4_ADDR: '***.***.***.***'
10:03:49 pluto[534] "Vallauris" #2: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
10:03:49 pluto[534] | NAT-T: new mapping ***.***.***.***:500/4500)
10:03:49 pluto[534] "Vallauris" #2: sent MR3, ISAKMP SA established
10:03:49 pluto[534] "Vallauris" #3: responding to Quick Mode
10:03:49 pluto[534] "Vallauris" #3: transition from state (null) to state STATE_QUICK_R1
10:03:50 pluto[534] "Vallauris" #3: Dead Peer Detection (RFC3706) enabled
10:03:50 pluto[534] "Vallauris" #3: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
10:03:50 pluto[534] "Vallauris" #3: IPsec SA established
10:04:26 pluto[534] "Vallauris" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
10:04:26 pluto[534] "Vallauris" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
10:04:26 pluto[534] "Vallauris" #1: ignoring Vendor ID payload [Cisco-Unity]
10:04:26 pluto[534] "Vallauris" #1: received Vendor ID payload [Dead Peer Detection]
10:04:26 pluto[534] "Vallauris" #1: ignoring Vendor ID payload [333f3780e508549f19d482cf7a0e26d1]
10:04:26 pluto[534] "Vallauris" #1: ignoring Vendor ID payload [XAUTH]
10:04:26 pluto[534] "Vallauris" #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
10:04:26 pluto[534] "Vallauris" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
10:04:26 pluto[534] | protocol/port in Phase 1 ID Payload is 17/0. accepted with port_floating NAT-T
10:04:26 pluto[534] "Vallauris" #1: Main mode peer ID is ID_IPV4_ADDR: '***.***.***.***'
10:04:26 pluto[534] "Vallauris" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
10:04:26 pluto[534] "Vallauris" #1: ISAKMP SA established
10:04:26 pluto[534] "Vallauris" #4: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+DONTREKEY
10:04:26 pluto[534] "Vallauris" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN
10:04:26 pluto[534] "Vallauris" #1: received and ignored informational message

Concernant l'architecture, j'ai d'un coté un Cisco 877 connecté sur une ligne ADSL Free, ip locale: 10.10.10.1
et de l'autre, un serveur 2003 hébergé, avec une machine virtuelle faisant tourner IPCop. Les ports UDP 500 et 4500 sont nattés sur l'interface RED d'IPCop.
Cette architecture peut paraitre un peu bizarre, mais je n'ai pas vraiment le choix car les possibilités de faire de l'IPSEC sous Windows ne me satisfont pas, mais je suis obligé de conserver Windows pour faire tourner d'autres applications, et je ne peux pas rajouter de matériel sur place.

Si vous avez une idée...

Merci

Joris

[Franck78]

l'idée, c'est déjà naviguer sur la doc cisco


Tu peux déjà simplifier grandement la méthode de cryptage IKE retenue

Sur le cisco:

encr aes 256
hash md5
group 2
lifetime 3600

désactiver ça dans un premier temps:
crypto isakmp keepalive 10 => no crypto isakmp keepalive


Sur IPCop
options avancées
IKE= AES256,MD5,modp-1024(=group 2)
ESP=3des,SHA, grouptypeESP phase1 ou modp-1024 je sais pas.

PFS=on
le reste non coché.


Il y a plein de docs sur cisco et ipsec. Exemple:
http://www.vpnc.org/InteropProfiles/cisco-ios.txt

[Sire]

Merci, je teste...

Mais ce que j'aimerais comprendre (pour la prochaine fois), c'est pourquoi, si le VPN est mal paramétré, j'arrive à faire transiter des paquets d'un réseau à l'autre ???

Encore une question: dans IPCop, dans la configuration des VPN, il faut indiquer l'adresse de l'interface RED.

Est ce que je dois mettre l'adresse privée de l'interface en question, ou l'adresse publique sur laquelle elle sera nattée ?

Merci

Joris

[Sire]

17:41:36 pluto[843] "Vallauris" #1: initiating Main Mode
17:41:36 pluto[843] "Vallauris" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
17:41:36 pluto[843] "Vallauris" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
17:41:36 pluto[843] "Vallauris" #1: ignoring Vendor ID payload [Cisco-Unity]
17:41:36 pluto[843] "Vallauris" #1: received Vendor ID payload [Dead Peer Detection]
17:41:36 pluto[843] "Vallauris" #1: ignoring Vendor ID payload [8ff149006200a310fdac1e384cccf5a5]
17:41:36 pluto[843] "Vallauris" #1: ignoring Vendor ID payload [XAUTH]
17:41:36 pluto[843] "Vallauris" #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
17:41:36 pluto[843] "Vallauris" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
17:41:39 pluto[843] packet from ***.***.***.***:500: ignoring Vendor ID payload [439b59f8ba676c4c7737a e22eab8f582]
17:41:39 pluto[843] packet from ***.***.***.***:500: received Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]
17:41:39 pluto[843] packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02_n]
17:41:39 pluto[843] packet from ***.***.***.***:500: initial Main Mode message received on 192.168.192 .5:500 but no connection has been authorized
17:41:46 pluto[843] "Vallauris" #1: discarding duplicate packet; already STATE_MAIN_I3
17:41:49 pluto[843] packet from ***.***.***.***:500: ignoring Vendor ID payload [439b59f8ba676c4c7737a e22eab8f582]
17:41:49 pluto[843] packet from ***.***.***.***:500: received Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]
17:41:49 pluto[843] packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02_n]
17:41:49 pluto[843] packet from ***.***.***.***:500: initial Main Mode message received on 192.168.192 .5:500 but no connection has been authorized
17:41:56 pluto[843] "Vallauris" #1: discarding duplicate packet; already STATE_MAIN_I3

Voila ce que j'ai maintenant, le VPN ne fonctionne plus du tout, et j'avoue que je ne comprend pas ce qui foire en lisant les logs. Pouvez vous m'expliquer ???

Joris

[Franck78]

Plutôt que de tout modifier d'un coup (tu ne précises toujours pas ce que tu fais), part de la situation ou ca marche avec 'trop de rekeying' et change 1 à 1 les params.
Le but est d'obtenir le moins de combinaisons possibles des params.

Tant que tu as les 'IPSEC SA ESTABLISHED' c'est bon.

[Sire]

Ben, c'est ça qui est beau: je n'ai rien changé, c'est la même config !!!

C'est bien la mon problème d'ailleurs, un coup ça marche et j'ai des rekeying à tout va, un coup j'ai ça.

A vrai dire, les seules fois ou j'ai eu une connexion, c'est après avoir redémarré les deux routeurs en même temps. Après ça, si j'ai la moindre déconnexion, ça ne refonctionne plus tant que je n'ai pas redémarré les deux routeurs en même temps.

Si je redémarre le Cisco et 10 minutes après le IPCop, ça remonte pas, si j'en redémarre un des deux et pas l'autre, ça remonte pas, si j'ai une coupure de connexion, ça remonte pas.

Et si je change un paramètre (pour tester), ben ça ne remonte pas tant que je n'ai pas redémarré les routeurs...

et je suis désespéré car je dois avoir quelque chose qui fonctionne à la fin de la semaine sinon je suis dans le caca, et la je me sens totalement dépassé... bref, la n'est pas l'important...

Demain je vais tout reprendre à zéro, et je changerais les paramètres l'un après l'autre pour voir...

Merci de ton aide !

Joris