IPsec : tunnel ouvert mais pas ping

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPsec : tunnel ouvert mais pas ping

Messagepar Criville » 10 Jan 2008 12:48

Bonjour à tous,

Un sujet mainte et mainte fois abordé mais dont je n'arrive pas à trouver une solution à mon problème.

Je suis en IPcop 1.4.18, je réalise un VPN LAN to LAN avec un autre serveur IPcop.

LAN1 - IPcop1 - INTERNET - IPcop2 - LAN2


IPCop1 : GREEN 192.168.0.1, RED 1.2.3.4 IP publique fixe
IPCop2 : GREEN 192.168.1.1, RED 11.22.33.44 IP publique fixe

J'utilise une PSK, les tunnels sont ouverts sur les 2 IPcop mais pas de ping possible entre les machines du LAN. J'ai même utilisé hping2 sur les IPcop et rien ne passe :

hping2 -1 -i 1 -c 1 -a 192.168.0.1 -I eth0 192.168.1.1
1 packets tramitted, 0 packets received, 100% packet loss

De chaque côté du VPN j'ai configuré le DPD sur hold

Je ne sais pas où regarder, une aide me serez précieuse d'avance merci

Cyrille
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00

Messagepar Vieille grenouille » 10 Jan 2008 14:50

Salut,

Déjà, si tes 2 IpCop te disent que ton tunnel est ouvert, c'est bon signe et je ne vois pas pourquoi il ne faudrait pas les croire sur parole. Ensuite, si tes PING ne passent pas, c'est que quelque chose d'autre les empêche.... Genre des vilains firewall installé sur les machines que tu veux pinger (celui de Windows ou d'autres...)
Avatar de l’utilisateur
Vieille grenouille
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 16 Déc 2007 16:44

Messagepar Poupou94 » 10 Jan 2008 20:36

Bonsoir,

Il est bon aussi de vérifier les routes pour aller et revenir d'un host à l'autre.

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Criville » 10 Jan 2008 21:19

En fait il n'y a pas le ping qui ne passe, il y a notamment le RDP. Il n'y a pas de firewall sur les machines (Windows 2000 pro sans firewall).

Pour ce qui est des routes, la config est très simple, les passerelles par défaut des machines sont les IPCop de leur LAN.
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00

Messagepar Poupou94 » 10 Jan 2008 21:29

Ok,

pas d'addon sur les machines IPCop ?

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Criville » 10 Jan 2008 23:47

Non, pas d'addon sur aucun des IPCop
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00

Messagepar Poupou94 » 11 Jan 2008 10:30

Bonjour,

essai voir un tracert depuis une machine sur l'un des deux réseaux vers l'autre pour voir ou cela bloque.

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Criville » 11 Jan 2008 17:31

Bonjour,

Le tracert s'arrête apres l'IPCop :
Détermination de l'itinéraire vers 192.168.1.10 avec un maximum de 30 sauts.

1 <10 ms <10 ms <10 ms 192.168.0.1
2 * * * Délai d'attente de la demande dépassé.
3 * * * Délai d'attente de la demande dépassé.
4 * * * Délai d'attente de la demande dépassé.
5 * * * Délai d'attente de la demande dépassé.
6 * * * Délai d'attente de la demande dépassé.
7 * * * Délai d'attente de la demande dépassé.
8 * * * Délai d'attente de la demande dépassé.
9 * * * Délai d'attente de la demande dépassé.

Cyrille
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00

Messagepar Poupou94 » 11 Jan 2008 17:45

Bonsoir,

Tu devrais avoir quelque chose comme:

C:\Documents and Settings\Pascal>tracert 192.168.16.11

Détermination de l'itinéraire vers 192.168.16.11 avec un maximum de 30 sauts.

1 <1 ms <1 ms <1 ms ipcop-colt [192.168.10.215]
2 * * * Délai d'attente de la demande dépassé.
3 85 ms 84 ms 112 ms 192.168.16.11

Dans l'exemple
reseau local 192.168.10.0/24
192.168.10.215 IPCOP default gateway pour 192.168.10.0
réseau distant 192.168.16.0/24
192.168.16.2 IPCOP gateway distante et default gateway pour 192.168.16.0
Tracert depuis 192.168.10.16 vers 192.168.16.11

Vérifie que, le vpn ouvert, tu as bien des routes de définies dans les firewalls pour le réseau distant

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Criville » 11 Jan 2008 17:58

Le VPN est ouvert

route -n sur IPCop2
11.22.33.42 0.0.0.0 255.255.255.248 U 0 0 0 eth1
11.22.33.42 0.0.0.0 255.255.255.248 U 0 0 0 ipsec0
192.168.0.0 11.22.33.43 255.255.255.0 UG 0 0 0 ipsec0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 11.22.33.43 0.0.0.0 UG 0 0 0 eth1

Sur IPCop1 c'est la même chose

J'ai un nouvel axe de recherche, d'autre part on m'a demandé de vérifier la séquence des paquets.
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00

Messagepar Poupou94 » 11 Jan 2008 19:24

dans tes adresses
11.22.33.42 c'est bien le réseau pour un masque en 248 ?

l'ordre des paquets dans ping je vois pas
en fait cela ne route pas dans tes IPCops donc reste les masques de réseau

un ping de l'ipcop distant adresse privée ne donne rien non plus ?

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Criville » 12 Jan 2008 18:36

dans tes adresses
11.22.33.42 c'est bien le réseau pour un masque en 248 ?

Oui c'est ça

l'ordre des paquets dans ping je vois pas
en fait cela ne route pas dans tes IPCops donc reste les masques de réseau

Je ne comprends pas

un ping de l'ipcop distant adresse privée ne donne rien non plus ?

Ca ne répond pas non plus et le ping n'est pas désactivé sur les IPCop
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00

Messagepar Poupou94 » 12 Jan 2008 19:34

Bonsoir,


Je commence à être sec.
Pour ping il n' y a qu'un seul paquet d'envoyé (echo request) et on attend un echo reply donc l'ordre des paquet ne doit pas avoir grand chose à voir la dedans...
Ton tracert montre bien que le paquet ne dépasse pas la machine IPCop donc s'il n'y a pas de filtrage il ne reste qu'un problème de routage et quand on utilise des masques type 248 il faut faire attention à ce que l'on fait.
As tu regardé les logs, on ne sait jamais il peut y avoir quelques infos. (/var/log/messages)

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Poupou94 » 12 Jan 2008 19:46

Re

Encore une question qui sont tes fournisseurs d'accès ?
Tes adresses sont, il semble, des IP fixes exact ?
Les adresses IP Internet des deux IPCops sont bien des adresses IP Internet et pas naté ?
Normalement cela devrait monter tout seul...
Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Criville » 14 Jan 2008 11:10

Bonjour,

Effectivement mes adresses sont en IP fixes, mon FAI est Adista (RMI) des deux côtés.

Mon FAI me dit qu'il n'y a rien de bloquer à son niveau (les routeurs sont transparents).

Dans /var/log/messages j'ai trouvé ça :
packet from 1.2.3.4:500: Informational Exchange is for an unknown (expired?) SA

Ton tracert montre bien que le paquet ne dépasse pas la machine IPCop donc s'il n'y a pas de filtrage il ne reste qu'un problème de routage et quand on utilise des masques type 248 il faut faire attention à ce que l'on fait

Si tu veux je peux te fournir les tables de routages sur les 2 IPcop en privé.

Moi aussi je suis sec, merci pour ton aide Pascal
Avatar de l’utilisateur
Criville
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 05 Déc 2003 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron