Problème VPN

[targa]

Bonjour, <BR> <BR>Après avoir suivi la doc sur le VPN j'ai quelques problèmes. Dans le fichier /var/log/secure j'obtiens : <BR> <BR>Changing to directory '/etc/ipsec.d/cacerts' <BR>May 5 11:48:17 ipcop pluto[2423]: Warning: empty directory <BR>May 5 11:48:17 ipcop pluto[2423]: Changing to directory '/etc/ipsec.d/crls' <BR>May 5 11:48:17 ipcop pluto[2423]: Warning: empty directory <BR>May 5 11:48:17 ipcop pluto[2423]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>May 5 11:48:17 ipcop pluto[2423]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>May 5 11:48:18 ipcop pluto[2423]: | from whack: got --esp=3des <BR>May 5 11:48:18 ipcop pluto[2423]: | from whack: got --ike=3des <BR>May 5 11:48:18 ipcop pluto[2423]: added connection description "VPN" <BR>May 5 11:48:18 ipcop pluto[2423]: listening for IKE messages <BR>May 5 11:48:18 ipcop pluto[2423]: adding interface ipsec0/eth2 10.0.1.8 <BR>May 5 11:48:18 ipcop pluto[2423]: loading secrets from "/etc/ipsec.secrets" <BR>May 5 11:48:18 ipcop pluto[2423]: "VPN": cannot route Road Warrior template <BR>May 5 11:48:18 ipcop pluto[2423]: "VPN": cannot initiate connection without knowing peer IP address <BR>May 5 11:48:24 ipcop pluto[2423]: packet from 10.0.1.133:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] <BR>May 5 11:48:24 ipcop pluto[2423]: "VPN"[1] 10.0.1.133 #1: responding to Main Mode from unknown peer 10.0.1.133 <BR>May 5 11:48:24 ipcop pluto[2423]: "VPN"[1] 10.0.1.133 #1: OAKLEY_DES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ALGO <BR> <BR>Il y a beaucoup d'erreurs, non. <BR> <BR>Après un ping <BR> <BR> <BR>May 5 11:48:24 ipcop last message repeated 3 times <BR>May 5 11:48:24 ipcop pluto[2423]: "VPN"[1] 10.0.1.133 #1: no acceptable Oakley Transform <BR>May 5 11:48:24 ipcop pluto[2423]: "VPN"[1] 10.0.1.133 #1: sending notification NO_PROPOSAL_CHOSEN to 10.0.1.133:500 <BR>May 5 11:48:24 ipcop pluto[2423]: "VPN"[1] 10.0.1.133: deleting connection "VPN" instance with peer 10.0.1.133 <BR>May 5 11:48:25 ipcop pluto[2423]: packet from 10.0.1.133:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] <BR>May 5 11:48:25 ipcop pluto[2423]: "VPN"[2] 10.0.1.133 #2: responding to Main Mode from unknown peer 10.0.1.133 <BR>May 5 11:48:25 ipcop pluto[2423]: "VPN"[2] 10.0.1.133 #2: OAKLEY_DES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ALGO <BR> <BR>

[targa]

Bonjour, excusez moi de revenir sur mon problème, mais je dois règler cette affaire rapidement. <BR> <BR>J'ai suivi la doc à le lettre, je dispose d'IPCOP 1.3 et mon poste client est Win2K. Dans le panneau de configuration du VPN je n'ai pas le statut de ma connexion au vert elle est tout le temps fermé, est ce normal. <BR>Quand je fais un ping derrière IPCOP, j'obtiens des Négociation de la sécurité IP. <BR> <BR>Faut il changer encore des paramètres ? <BR> <BR>Merci

[tomtom]

Peux-tu decrire toute ton architecture ? <BR> <BR>Servveurs IPCop, methode de connexion du client, ip fixe/dynamiques, routeurs etc... <BR> <BR>Ce sera plus simpple pour t'aider ! <BR> <BR>Essaye d'être complet et prceis ! <BR> <BR>Thomas

[targa]

Voila pour l'instant je fais des tests au sein de mon réseau interne. Mon réseau interne est en 10.0.1.0/24 sur lequel j'ai installé ma machine IPCOP qui possède une adresse 10.0.1.8. Derrière j'ai un réseau 10.0.3.0/24. Mon poste client distant se trouve sur mon réseau interne avec une adresse 10.0.1.133. <BR>Je souhaite réaliser une connection VPN entre mon poste client 10.0.1.133 vers le réseau derrière IPCOP 10.0.3.0. <BR> <BR>J'utilise IPCOP 1.3 avec la fixe 1.3.0 <BR> <BR>Configuration client : <BR> <BR>conn KDI <BR> left=10.0.1.8 <BR> leftsubnet=10.0.3.0/24 <BR> right=%any <BR> presharedkey=test <BR> network=auto <BR> auto=start <BR> pfs=yes <BR> <BR>configuration IPCOP : <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> keyingtries=0 <BR> <BR>conn VPN <BR> left=10.0.1.8 <BR> compress=no <BR> leftsubnet=10.0.3.0/24 <BR> leftnexthop=%defaultroute <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> right=%any <BR> rightsubnet=10.0.1.133/24 <BR> rightnexthop=%defaultroute <BR> auto=add <BR> <BR>J'ai fait la configuration par GUI. <BR>Je n'arrive pas à ouvrir ma connexion. <BR> <BR>Merci <BR>

[tomtom]

Je suis perplexe..... <BR> <BR>Comment peut-on avoir un vpn alors qu'il n'y a pas de réseau intermediaire ??? <BR>Ca ne pourra pas marcher : avec ta config, le vpn devrait mettre une route vers le reseau 10.0.1.133/24 (c'est à dire le 10.0.1.0/24 !) alors que ce reseau est directement connecté ! <BR> <BR>Le VPN n'est pas fait pour ça !

[targa]

Le but d'un VPN est de réaliser une connexion sécurisé entre 2 points peu importe ce qu'il y a entre les 2 points. <BR>On parle bien pour le wifi pour sécuriser la liaison de créer des tunnels VPN. <BR> <BR>Dite moi si je me trompe.

[tomtom]

C'est pas le problème.. Ici, tu as une route pour le réseau 10.0.1.0/24 qui devra etre dans le VPN (puisque tu dis que c'est le bout du tunnel), alors que le tunnel est defini lui-même sur le réseau 10.0.1.0 !!! Vers ou doivent être routés les paquets ? comment veux-tu qu'il s'y retrouve ? <BR> <BR>Il faut que tu changes de réseau au moins ! <BR> <BR>Thomas

[antolien]

un vpn, c'est un tunnel crypté qui rejoins deux réseaux avec des plages d'ip différentes. ensuite le tunnel fait partie d'un réseau encore différent et en général public. <BR> <BR>[reseau1]--[SVPN]===tunnel_crypté===[SVPN]--[reseau2] <BR> <BR>SVPN= serveur vpn <BR> <BR>le tunnel_crypté doit être sur un réseau intermédiaire, dans le cas contraire, le routage ne pourra pas se faire, et le tunnel ne pourra pas être établi. <BR>

[targa]

Donc il faut que je mette mon poste client sur une réseau différent 10.0.2.1, par exemple.

[tomtom]

merci Antolien j'ai parfois du mal à m'exprimer clairement... Il me semblait pourtant <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Thomas

[antolien]

désolé j'avais pas vu ta réponse, j'ai mis au moins 15 minutes à taper le message car je faisait autre chose en même temps. <BR> <BR>mais ton message était très clair <IMG SRC="images/smiles/icon_wink.gif">

[tomtom]

N'empeche que tout le monde a compris le tien et pas le mien <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Quel talent ! <BR> <BR><IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Mais ce n'etait pas ironique, tu as très bien fait de reformuler car il vaut toujours mieux avoir plusieurs "visions" d'un sujet pour mieux l'assimiler <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR><IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>Thomas

[targa]

Les 2 étaient clairs, merci de votre aide. <BR> <BR>Encore une question comment fonctionne l'interface VPN sous IPCOP. Est ce que le voyant d'état doit etre au vert quand il n'y aucune connexion ? <BR> <BR>

[ONC]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-06 12:22, targa a écrit: <BR>Les 2 étaient clairs, merci de votre aide. <BR> <BR>Encore une question comment fonctionne l'interface VPN sous IPCOP. Est ce que le voyant d'état doit etre au vert quand il n'y aucune connexion ? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Le voyant d'etat est vert dès l'instant ou le VPN est activé... <BR>Peu importe que les clients communiquent ou pas. <BR> <BR>Ce voyant ne sert donc qu'a savoir si le tunnel entre les 2 serveurs VPN a bien été établit. <BR> <BR>Attention : il reste vert même s'i l'un des serveurs VPN tombe.... :'( <BR>Pour etre sur que le tunnel est ok, il faut donc vérifier le voyant vert des 2 serveurs VPN. <BR> <BR> <BR> <BR>