IpCop derriére Livebox Inventel

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IpCop derriére Livebox Inventel

Messagepar Adesfire » 23 Juil 2007 11:54

Bonjour à tous,
suite à la demande de mise en place d'un VPN entre deux sites, j'ai souhaité utiliser IpCop.
Je dispose d'un coté, d'un DG834FS que j'ai passé en mode bridge, et de l'autre, une Livebox Inventel.
Deux VPN ont étaient installé de part et d'autre, et j'ai suivi un tutorial pour la mise en place des certificats.

Voici la configuration du réseau:

IpCop1=>DG834 en mode passerelle=>Internet<=Livebox Inventel<=IpCop2

- La livebox est configurée en DMZ vers l'IpCop2, le port 500 en UDP est également redirigé vers l'IpCop2
- Les deux sites dispose d'adresse dynamique, et donc d'un service dyndns actif et fonctionnel.


J'arrive à accéder aux deux IpCop en interface Web.

J'ai suivi un tutorial pour relier deux IpCop avec certificats, ce qui m'améne aux résultat suivant si je consulte les journaux Ipsec :

IpCop1
Code: Tout sélectionner
Creating cacert...
14:07:45   ipsec   Creating host cert...
14:07:45   ipsec   Self signing host cert...
14:07:46   ipsec   Creating emptycrl...
14:14:11   ipsec   Validating imported cert against our known CA...
14:14:12   vpn-watch   'mdg': start watching **.***.***.***


Celui-ci n'est pas trés bavard, mais semble bien fonctionner.

IpCop2
Code: Tout sélectionner
14:42:20   pluto[1924]   "Lieu": deleting connection
14:42:20   pluto[1924]   | from whack: got --esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
14:42:20   pluto[1924]   | from whack: got --ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1 536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3d es-md5-modp1024
14:42:20   pluto[1924]   loaded host cert file '/var/ipcop/certs/hostcert.pem' (1127 bytes)
14:42:20   pluto[1924]   no subjectAltName matches ID '@***.****ip.com', replaced by subject DN
14:42:20   pluto[1924]   loaded host cert file '/var/ipcop/certs/Lieucert.pem' (1143 bytes)
14:42:20   pluto[1924]   no subjectAltName matches ID '@lieu.****ip.com', replaced by subject DN
14:42:20   pluto[1924]   added connection description "Lieu"
14:42:20   pluto[1924]   "Lieu": [b]we have no ipsecN interface for either end of this connection[/b]
14:42:21   vpn-watch   'Lieu': start watching 83.***.**.***


Celui-ci par contre, semble bien mal configuré, pourtant, j'ai tenté plusieurs fois de recommencer le tutorial à partir de 0.

Je mets actuellement la faute sur la Livebox, mais ai-je raison ? je n'en suis pas sûr.
Dernière édition par Adesfire le 23 Juil 2007 16:15, édité 4 fois au total.
Avatar de l’utilisateur
Adesfire
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 14 Juil 2004 20:01

Messagepar Adesfire » 23 Juil 2007 14:29

Edit : j'ai redirigé le port 500 comme vu sur certains forums, sans succés apparent.
Dernière édition par Adesfire le 23 Juil 2007 16:09, édité 1 fois au total.
Ades.
Avatar de l’utilisateur
Adesfire
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 14 Juil 2004 20:01

Messagepar Franck78 » 23 Juil 2007 14:34

Hello,

remplis absolument les champs
Local et remote ID à la fois sur le DG et sur IPCop.

Et utilise des noms du type
@LIEU1 @LIEU2

Le DG ne connait pas les certificats. Pourquoi en utiliser alors?
bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Adesfire » 23 Juil 2007 14:46

Merci d'avoir répondu si vite.

J'ai bien ajouté les informations dans ces champs, sous la forme :
@mon.dyndns.org

Mais toujours pas de VPN ouvert.
Dernière édition par Adesfire le 23 Juil 2007 16:10, édité 1 fois au total.
Ades.
Avatar de l’utilisateur
Adesfire
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 14 Juil 2004 20:01

Messagepar Franck78 » 23 Juil 2007 15:27

Alors voila ou je bloque, mon objectif et l'établissement d'un VPN entre un DG834 et mon Ipcop, mais si l'interface web n'est pas joignable depuis l'extérieur, alors pas la peine d'aller plus loin.

ou l'art savant de brouiller les pistes....

déjà débrouiller un problème n'est pas simple, alors quand en plus on ne parle pas du même, aucune chance.

Reprend depuis le début, un seul problème. Mieux, demande à supprimer ce topic et recommence un autre topic sur un seul problème.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Adesfire » 23 Juil 2007 16:07

Voila, sujet mis à jour sur tes recommandations.
Ades.
Avatar de l’utilisateur
Adesfire
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 14 Juil 2004 20:01

Messagepar Franck78 » 23 Juil 2007 18:11

le DG c'est pas clair. Mode routeur ou modem...?
En tous cas plus besoin d'utiliser les champs Local/remoteID ! Efface

Il faut récuperer les ports UDP 500 et UDP 4500 sur l'IPCop.
Sur chaque IPCop !
Facile dans la livebox, c'est deux entrées serveurs.
Pour le DG ca dépend du mode. Si il peut disparaitre c'est mieux.

Les certificats, je fais comme ça pour vérifier:
ipsec auto --listall
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Adesfire » 23 Juil 2007 18:43

Super merci ;)

Alors pour le DG, je l'ai mis en mode bridge, c'est à dire qu'il est vu comme un modem Ethernet et donc c'est IpCop qui initie la connexion ADSL.

En gros, ne nous occupons pas du DG, c'est comme un simple modem Ethernet.

Il me reste donc a rediriger le port 4500 depuis la Livebox.
Pas besoin de redirection pour le DG puisqu'il est en mode modem.

Je vais également effacer les ID, même si je n'ai pas compris leur utilités !

J'avance grace à toi, c'est déja super.
Ades.
Avatar de l’utilisateur
Adesfire
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 14 Juil 2004 20:01

Messagepar Adesfire » 25 Juil 2007 14:47

Bon,
je suis aller rediriger le port 4500 depuis la Livebox, mais rien à faire.

Coté IpCop 1, tout va bien j'ai :
Code: Tout sélectionner
'mdg': start watching 83.***.***.**


Coté IpCop 2, rien ne va j'ai :
Code: Tout sélectionner
14:31:43   pluto[3118]   added connection description "test"
14:31:43   pluto[3118]   "test": we have no ipsecN interface for either end of this connection
14:31:43   vpn-watch   'test': start watching 83.***.***.**


Sur l'IpCop 2 (celui dérriére la Livebox) j'ai testé de modifier le champ "P publique, nom complet de l'interface RED ou <%defaultroute>:", champ qui se situe au début de la page des RPVs, en mettant l'adresse IP de l'interface rouge au lieur de l'adresse Dyndns.

Résultat, j'obtiens dans mes logs IpSec le log suivant qui est peut être plus expréssif :
Code: Tout sélectionner
14:43:32   ipsec_setup   Stopping Openswan IPsec...
14:43:32   pluto[9405]   shutting down
14:43:32   pluto[9405]   forgetting secrets
14:43:32   pluto[9405]   "test": deleting connection
14:43:32   pluto[9405]   shutting down interface ipsec0/eth1 192.168.1.254
14:43:32   pluto[9405]   shutting down interface ipsec0/eth1 192.168.1.254
14:43:33   ipsec_setup   /usr/lib/ipsec/tncfg: Socket ioctl failed on detach -- No such device. Is the v irtual device valid? The ipsec module may not be linked into the kernel or load ed as a module.
14:43:33   ipsec_setup   ipsec: Device or resource busy
14:43:33   ipsec_setup   ...Openswan IPsec stopped
14:43:33   ipsec_setup   Starting Openswan IPsec 1.0.10...
14:43:33   ipsec_setup   KLIPS debug `none'
14:43:33   ipsec_setup   KLIPS ipsec0 on eth1 192.168.1.254/255.255.255.0 broadcast 192.168.1.255
14:43:33   ipsec__plutorun   Starting Pluto subsystem...
14:43:33   pluto[9879]   Starting Pluto (Openswan Version 1.0.10)
14:43:33   pluto[9879]   including X.509 patch with traffic selectors (Version 0.9.42)
14:43:33   pluto[9879]   including NAT-Traversal patch (Version 0.6)
14:43:33   pluto[9879]   ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
14:43:33   pluto[9879]   ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
14:43:33   pluto[9879]   ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
14:43:33   pluto[9879]   ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
14:43:33   ipsec_setup   ...Openswan IPsec started
14:43:33   pluto[9879]   ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
14:43:33   pluto[9879]   ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
14:43:33   pluto[9879]   ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
14:43:33   pluto[9879]   ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
14:43:33   vpn-watch   'test': start watching 83.***.***.**
14:43:33   pluto[9879]   Changing to directory '/etc/ipsec.d/cacerts'
14:43:34   pluto[9879]   loaded cacert file 'cacert.pem' (1245 bytes)
14:43:34   pluto[9879]   loaded cacert file 'testcert.pem' (1261 bytes)
14:43:34   pluto[9879]   Changing to directory '/etc/ipsec.d/crls'
14:43:34   pluto[9879]   loaded crl file 'cacrl.pem' (556 bytes)
14:43:34   pluto[9879]   OpenPGP certificate file '/etc/pgpcert.pgp' not found
14:43:34   pluto[9879]   | from whack: got --esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
14:43:34   pluto[9879]   | from whack: got --ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1 536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3d es-md5-modp1024
14:43:34   pluto[9879]   loaded host cert file '/var/ipcop/certs/hostcert.pem' (1127 bytes)
14:43:34   pluto[9879]   loaded host cert file '/var/ipcop/certs/testcert.pem' (1143 bytes)
14:43:34   pluto[9879]   added connection description "test"
14:43:34   pluto[9879]   listening for IKE messages
14:43:34   pluto[9879]   adding interface ipsec0/eth1 192.168.1.254
14:43:34   pluto[9879]   adding interface ipsec0/eth1 192.168.1.254:4500
14:43:34   pluto[9879]   loading secrets from "/etc/ipsec.secrets"
14:43:34   pluto[9879]   loaded private key file '/var/ipcop/certs/hostkey.pem' (887 bytes)
14:43:35   pluto[9879]   "test": route-client output: SIOCADDRT: Network is unreachable
14:43:35   pluto[9879]   "test": route-client output: /usr/lib/ipsec/_updown: `route add -net 192.168.1. 0 netmask 255.255.255.0 dev ipsec0 gw 192.168.1.1' failed
14:43:35   pluto[9879]   "test": route-client output: /usr/lib/ipsec/_updown: (incorrect or missing next hop setting??)
14:43:35   pluto[9879]   "test": route-client command exited with status 7
14:43:35   ipsec__plutorun   003 "test": route-client command exited with status 7
14:43:35   pluto[9879]   "test" #1: initiating Main Mode
14:43:35   ipsec__plutorun   025 "test": could not route
14:43:35   ipsec__plutorun   ...could not route conn "test"
14:43:35   pluto[9879]   "test" #1: ERROR: asynchronous network error report on eth1 for message to 83.***.***.** port 500, complainant 83.***.***.**: Connection refused [errno 111, or igin ICMP type 3 code 3 (not authenticated)]


Apparemment, c'est un problème de route, mais je ne pense pas arriver à débuger ça sans votre aide...
Ades.
Avatar de l’utilisateur
Adesfire
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 14 Juil 2004 20:01

Messagepar Franck78 » 26 Juil 2007 16:44

Sur l'IpCop 2 (celui dérriére la Livebox) j'ai testé de modifier le champ "P publique, nom complet de l'interface RED ou <%defaultroute>:", champ qui se situe au début de la page des RPVs, en mettant l'adresse IP de l'interface rouge au lieur de l'adresse Dyndns.

ca ne fait jamais que deux essais...
dès que tu auras trouvé ton erreur réseau, tu obtiendra les messages de type
"19/11:37:15 pluto[20612] packet from 81.53.42.188:500: ignoring Vendor ID payload "
et le vpn s'établira

Voici une séquence sur IPCop non natté vers une Ubuntu6 derrière livebox avec port 500/4500 redirigés vers ubuntu.

Code: Tout sélectionner
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188:4500 #2: IPsec SA established
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188:4500 #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188:4500 #2: Dead Peer Detection (RFC3706) enabled
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188:4500 #2: transition from state (null) to state STATE_QUICK_R1
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188:4500 #2: responding to Quick Mode
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188:4500 #1: sent MR3, ISAKMP SA established
19/11:37:15 pluto[20612] | NAT-T: new mapping 81.53.42.188:500/4500)
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188 #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188 #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, O=BOURDONNEC, CN=LABAULE'
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188 #1: NAT-Traversal: Result using RFC 3947: peer is NATed
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188 #1: transition from state (null) to state STATE_MAIN_R1
19/11:37:15 pluto[20612] "VersLabaule"[1] 81.53.42.188 #1: responding to Main Mode from unknown peer 81.53.42.188
19/11:37:15 pluto[20612] packet from 81.53.42.188:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
19/11:37:15 pluto[20612] packet from 81.53.42.188:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
19/11:37:15 pluto[20612] packet from 81.53.42.188:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
19/11:37:15 pluto[20612] packet from 81.53.42.188:500: received Vendor ID payload [RFC 3947]
19/11:37:15 pluto[20612] packet from 81.53.42.188:500: received Vendor ID payload [Dead Peer Detection]
19/11:37:15 pluto[20612] packet from 81.53.42.188:500: ignoring Vendor ID payload [4f457a7d4646466667725f65]

19/10:09:40 pluto[20612]   loaded private key file '/var/ipcop/certs/hostkey.pem' (887 bytes)
19/10:09:40 pluto[20612] loading secrets from "/etc/ipsec.secrets"
19/10:09:40 pluto[20612] adding interface ipsec0/ppp0 86.72.26.248:4500
19/10:09:40 pluto[20612] adding interface ipsec0/ppp0 86.72.26.248
19/10:09:40 pluto[20612] listening for IKE messages
19/10:09:40 pluto[20612] added connection description "VersLabaule"
19/10:09:40 pluto[20612]   loaded host cert file '/var/ipcop/certs/VersLabaulecert.pem' (1164 bytes)
19/10:09:40 pluto[20612]   loaded host cert file '/var/ipcop/certs/hostcert.pem' (1172 bytes)
19/10:09:40 pluto[20612] | from whack: got --ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
19/10:09:40 pluto[20612] | from whack: got --esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
19/10:09:39 pluto[20612] OpenPGP certificate file '/etc/pgpcert.pgp' not found
19/10:09:39 pluto[20612]   loaded crl file 'cacrl.pem' (573 bytes)
19/10:09:39 pluto[20612] Changing to directory '/etc/ipsec.d/crls'
19/10:09:39 pluto[20612]   loaded cacert file 'cacert.pem' (1302 bytes)
19/10:09:39 ipsec_setup ...Openswan IPsec started
19/10:09:39 pluto[20612] Changing to directory '/etc/ipsec.d/cacerts'
19/10:09:39 pluto[20612] ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
19/10:09:39 pluto[20612] ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
19/10:09:39 pluto[20612]   including NAT-Traversal patch (Version 0.6)
19/10:09:39 pluto[20612]   including X.509 patch with traffic selectors (Version 0.9.42)
19/10:09:39 pluto[20612] Starting Pluto (Openswan Version 1.0.10)
19/10:09:39 ipsec__plutorun Starting Pluto subsystem...
19/10:09:39 ipsec_setup KLIPS ipsec0 on ppp0 86.72.26.248/255.255.255.255 pointopoint 1.1.1.1
19/10:09:39 ipsec_setup KLIPS debug `none'
19/10:09:39 ipsec_setup Starting Openswan IPsec 1.0.10...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité