VPN avec client Win2000

par **fgille** » 07 Mai 2003 19:57

Désolé de poser une question de plus à propos de VPN... J'essaye d'établir une connexion entre : un serveur IPCop 1.2 fix5 en PPPoE et un client sous Windows 2000 avec le cable. J'ai suivi pas à pas la doc VNP Howto, notamment la partie avec client w2k <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowto" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowto</a> Les fichiers ipsec.conf et ipsec.secrets sont bien créés. Quand je lance ipsec.exe sur le PC, j'ai le message suivant : Connection clientwin: MyTunnel : 195.132.65.236 MyNet : 195.132.65.236/255.255.255.255 PartnerTunnel: monserveur.dyndns.org PartnerNet : 192.168.1.0/255.255.255.0 CA (ID) : Preshared Key ****************** PFS : y Auto : start Auth.Mode : MD5 Rekeying : 3600S/50000K Activating policy... Ensuite, si je fais un ping vers le réseau local dernière le serveur : C:Program FilesResource Kit>ping 192.168.1.8 Envoi d'une requête 'ping' sur 192.168.1.8 avec 32 octets de données : Négociation de la sécurité IP. Négociation de la sécurité IP. Négociation de la sécurité IP. Négociation de la sécurité IP. Statistiques Ping pour 192.168.1.8: Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%), Durée approximative des boucles en millisecondes : minimum = 0ms, maximum = 0ms, moyenne = 0ms Sur le serveur, l'instruction "cat /var/log/secure" ne montre rien en relation avec le VPN. Dans le menu "Information" de l'interface d'administration, le réseau privé virtuel est marqué "Arrêté". Faut-il activer quelque chose sur le serveur ? Est-ce un problème de mise en place de la sécurité comme le dit le ping ? Avez-vous une idée pour me sortir de là ? <IMG SRC="images/smiles/icon_frown.gif"> Merci.

par **mad_dog** » 12 Mai 2003 15:03

As tu installer le SP2 ?? car moi j'ai le meme soucy ??? et fais $%#&! §§§§§§§§§§§§§

par **belugha** » 12 Mai 2003 15:12

me too meme souci ... En fait le Win200 arrive bien sur le serveur IpCop mais il n'autorise pas la connection. Pb de certif ??

par **fgille** » 12 Mai 2003 16:08

Le PC client est sous Win2000 SP3. Dans le menu "Information" de l'administration de IPCop, j'ai maintenant le RPV en vert. Voici ce que j'ai trouvé en faisant "cat /var/log/secure" : --------- May 12 05:38:54 ipcop pluto[31138]: Starting Pluto (FreeS/WAN Version 1.99) May 12 05:38:54 ipcop pluto[31138]: including X.509 patch (Version 0.9.15) May 12 05:38:54 ipcop pluto[31138]: Changing to directory '/etc/ipsec.d/cacerts' May 12 05:38:54 ipcop pluto[31138]: Warning: empty directory May 12 05:38:54 ipcop pluto[31138]: Changing to directory '/etc/ipsec.d/crls' May 12 05:38:54 ipcop pluto[31138]: Warning: empty directory May 12 05:38:54 ipcop pluto[31138]: could not open my default X.509 cert file '/etc/x509cert.der' May 12 05:38:54 ipcop pluto[31138]: OpenPGP certificate file '/etc/pgpcert.pgp' not found May 12 05:38:54 ipcop pluto[31138]: listening for IKE messages May 12 05:38:54 ipcop pluto[31138]: adding interface ipsec0/ppp0 80.11.45.231 May 12 05:38:54 ipcop pluto[31138]: loading secrets from "/etc/ipsec.secrets" --------- Le fichier /etc/ipsec.secrets est identique à celui que j'ai créé dans /var/ipcop/vpn. La "presharedkey" parait identique à celle que j'ai sur le PC. J'ai tenté de nouveau un ping du PC. Il répond toujours "Négociation de la sécurité IP." (j'ai ecécuté le ping plein de fois). Par contre maintenant le fichier secure de IPCop ressort : --------- May 12 15:49:58 ipcop pluto[31138]: packet from 195.132.65.236:500: ignoring Vendor ID payload May 12 15:49:58 ipcop pluto[31138]: packet from 195.132.65.236:500: initial Main Mode message received on 80.11.45.231:500 but no connection has been authorized --------- Je suppose que c'est un progrès. C'est surement un problème d'authentification. Mais je ne sais pas comment le régler. <IMG SRC="images/smiles/icon_confused.gif">

par **belugha** » 12 Mai 2003 16:32

je pense que pour toi c'est un probleme de certification avec la X509, par contre moi j'utilise le IKE avec le PSK donc je n'ai pas le meme souci. Coté serveur Ipcop, ipsec.conf conn VPNESSAI left=195.252.18.1.5 (ip fixe internet Ipcop reseau Red) compress=no leftsubnet=10.1.0.0/16 (Adresse LAN) leftnexthop=%defaultroute right=%any rightnexthop=%defaultroute auto=add ipsec.secrets 195.252.18.1.5 0.0.0.0 : PSK "*******" Coté Client Win200: conn VPNESSAI left=195.252.18.1.5 (ip fixe internet Ipcop reseau Red) compress=no leftsubnet=10.1.0.0/16 (Adresse LAN) leftnexthop=%defaultroute right=%any rightnexthop=%defaultroute auto=start network=auto presharedkey=*********

par **elpacino** » 12 Mai 2003 19:07

Tu n'as pas par exemple un firewall qui est actif... ou, si tu as XP, la protection des connexions

par **belugha** » 13 Mai 2003 08:34

exact j'ai un firewall actif, je vais le desactiver et je vous tiens au courant.

par FJ » 13 Mai 2003 08:44

Salut Négociation de la sécurité IP. Correspond à une statégie implémentant IPSEC. Donc d'un coté ou de l'autre il y a un problème de config IPSEC (probablement pas la meme config). Bon courrage @+ si toujours des problèmes

par **belugha** » 13 Mai 2003 13:47

Le Firewall est desactivé: dans les logs G les messages suivants: May 13 13:35:53 parefeu pluto[496]: packet from 80.12.58.110:500: initial Main Mode message received on 195.252.18.1.5:500 but no connection has been authorized May 13 13:36:09 parefeu pluto[496]: packet from 80.12.58.110:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] May 13 13:36:09 parefeu pluto[496]: packet from 80.12.58.110:500: initial Main Mode message received on 195.252.18.1.5:500 but no connection has been authorized May 13 13:36:41 parefeu pluto[496]: packet from 80.12.58.110:500: ignoring Delete SA payload: not encrypted

par **gogol33** » 14 Mai 2003 15:18

J'utilise un VPN entre un IPCOP 1.2 sur le cable (Maison) et une Turbo DSL oléane (boulot). Si je souhaite démarrer le VPN manuellement, je suis obligé de mettre à l'heure mon IPCOP pour pouvoir faire le VPN, sinon, ca ne fonctionne pas. Je ne sais pas si c'est pareil sur W2k, mais essaie pour voir ....

par **targa** » 14 Mai 2003 15:29

Je ne comprends pas ton histoire de mettre à l'heure ? Si tu pouvais en dire un peu plus. Merci

par **gogol33** » 14 Mai 2003 15:36

Et bien, j'avais lu sur le forum un post sur le VPN, où il était question de mettre à l'heure chacun des IPCOP pour établir le VPN, lorsque l'on se sert d'adresse dynamiques (ce qui est le cas sur le cable). Effectivement, si je souhaite démarrer mon VPN manuellement (car je ne le maintiens pas ouvert tout le temps), je suis obligé de mette à l'heure mon IPCOP (grace à un serveur de temps) avant d'établir le VPN, sinon, ca ne fonctionne pas ... Pourquoi faut il faire cette manip avant ??? Je n'en sais rien, en tout cas ca fonctionne ..... Ca ne veut pas dire que ca fonctionne sous W2K !!!

par **targa** » 14 Mai 2003 15:40

Quand je paramètre mes fichiers pour le VPN à la main, il n'apparait pas ensuite dans le GUI, est ce normal ?

par **fgille** » 14 Mai 2003 16:11

SUCCES ! J'ai enfin trouvé, le VPN entre mon PC w2k et le serveur IPCop est établi. Après quelques recherches sur le net et des tatonnements, voilà ce que je pense avoir compris en 4 parties : 1. Contrôle des fichiers de configuration IPCop. 2. Contrôle du chargement du VPN IPCop. 3. Contrôle du fichier de configuration du client Windows. 4. Contrôle de l'initialisation de la connexion. Mes commentaires sur les éléments à vérifier doivent être en itallique dans les exemples ci-dessous. 1. Contrôle des fichiers de configuration IPCop. J'ai ajouté des paramètres de configuration dans ipsec.conf --- ipsec.conf sur IPCop --- config setup interfaces="%defaultroute" <- permet de charger une interface ipsec# klipsdebug=none plutodebug=none <-Pluto permet de voir les traces  plutoload=%search  dans le fichier /var/log/secure plutostart=%search conn clientwin left=my.dyndns.org <- Nom ou IP de l'interface RED de IPCop compress=no leftsubnet=192.168.1.0/24 leftnexthop=%defaultroute type=tunnel authby=secret pfs=yes right=%any <- Nom ou IP du client Windows, %any si dynamique rightnexthop=%defaultroute auto=add --- ipsec.conf sur IPCop --- ATTENTION : dans ipsec.secrets, sur le ligne de définition de la PSK, le premier mot doit correspondre EXACTEMENT à la valeur "left" de la définition de connexion dans ipsec.conf (ici my.dyndns.org). De même, le dexième mot doit correspondre EXACTEMENT à la valeur "right" de la définition de connexion dans ipsec.conf (ici %any). Sinon, la définition de la connexion n'est pas chargée et on a le message "initial Main Mode message received on XXX.XXX.XXX.XXX:500 but no connection has been authorized" dans le fichier secure. C'est l'erreur de Belugha ci-dessus. --- ipsec.secrets sur IPCop --- my.dyndns.org %any : PSK "MaClePartagee" my.dyndns.org 0.0.0.0 : PSK "MaClePartagee" --- ipsec.secrets sur IPCop --- Belugha, je pense qu'il faudrait mettre la ligne suivante au début de ton fichier ipsec.secrets : 195.252.18.1.5 %any : PSK "*******" Quand tout cela est vérifié, il faut re-démarrer le VPN : dans l'administration de IPCop, menu RPVs, bouton Redémarrer. 2. Contrôle du chargement du VPN IPCop. Quand c'est fait, on peut contrôler le bon chargement du VPN dans le fichier secure : avec SSH, taper "cat /var/log/secure" --- Extait de /var/log/secure --- May 14 14:44:04 ipcop ipsec__plutorun: Starting Pluto subsystem... May 14 14:44:04 ipcop pluto[10799]: Starting Pluto (FreeS/WAN Version 1.99) May 14 14:44:04 ipcop pluto[10799]: including X.509 patch (Version 0.9.15) May 14 14:44:04 ipcop pluto[10799]: Changing to directory '/etc/ipsec.d/cacerts' May 14 14:44:04 ipcop pluto[10799]: Warning: empty directory May 14 14:44:04 ipcop pluto[10799]: Changing to directory '/etc/ipsec.d/crls' May 14 14:44:04 ipcop pluto[10799]: Warning: empty directory May 14 14:44:04 ipcop pluto[10799]: could not open my default X.509 cert file '/etc/x509cert.der' May 14 14:44:04 ipcop pluto[10799]: OpenPGP certificate file '/etc/pgpcert.pgp' not found May 14 14:44:04 ipcop pluto[10799]: added connection description "clientwin" <- Description de la connexion client chargée May 14 14:44:05 ipcop pluto[10799]: listening for IKE messages May 14 14:44:05 ipcop pluto[10799]: adding interface ipsec0/ppp0 80.11.101.211 <- Interface ipsec définie May 14 14:44:05 ipcop pluto[10799]: loading secrets from "/etc/ipsec.secrets" <- Chargement de la clé partagée --- Extait de /var/log/secure --- Si la ligne "added connection description" est absente, alors la description de la connexion n'est pas chargée. Il y a un problème dans ipsec.conf. Si une interface ipsec0 n'est pas chargée, il manque une route dans le setup de ipsec.conf, par exemple : config setup interfaces="%defaultroute" En principe, le fichier "/etc/ipsec.secrets" est identique à "/var/ipcop/vpn/ipsec.secrets". Si on a le message "initial Main Mode message received on XXX.XXX.XXX.XXX:500 but no connection has been authorized", il faut vérifier qu'une ligne de ipsec.secrets correspond EXACTEMENT aux valeurs "left" et "right" de la définition de la connexion dans ipsec.conf (voir ci-dessus). 3. Contrôle du fichier de configuration du client Windows. --- ipsec.conf sous Windows --- conn clientwin left=my.dyndns.org leftsubnet=192.168.1.0/24 right=%any presharedkey=MaClePartagee network=auto auto=start pfs=yes --- ipsec.conf sous Windows --- Pas de problème particulier. Vérifier la valeur presharedkey, AVEC " " sur IPCop, SANS " " sous Windows. Lancer ipsec.exe, voici ce que donne la console : --- Console Windows --- C:Program FilesResource Kit>ipsec IPSec Version 2.1.4 (c) 2001,2002 Marcus Mueller Getting running Config ... Microsoft's Windows 2000 identified Host name is: gille - c'est moi <IMG SRC="images/smiles/icon_wink.gif"> No RAS connections found. LAN IP address: 195.132.65.236 Setting up IPSec ... Deactivating old policy... Removing old policy... Connection clientwin: MyTunnel : 195.132.65.236 MyNet : 195.132.65.236/255.255.255.255 PartnerTunnel: my.dyndns.org PartnerNet : 192.168.1.0/255.255.255.0 CA (ID) : Preshared Key ****************** PFS : y Auto : start Auth.Mode : MD5 Rekeying : 3600S/50000K Activating policy... C:Program FilesResource Kit> --- Console Windows --- 4. Contrôle de l'initialisation de la connexion. Côté IPCop, voici ce que me donne le fichier secure quand cela fonctione : --- Extait de /var/log/secure --- May 14 14:49:20 ipcop pluto[10799]: packet from 195.132.65.236:500: ignoring Vendor ID payload May 14 14:49:20 ipcop pluto[10799]: "clientwin"[1] 195.132.65.236 #1: responding to Main Mode from unknown peer 195.132.65.236 May 14 14:49:20 ipcop pluto[10799]: "clientwin"[1] 195.132.65.236 #1: Peer ID is ID_IPV4_ADDR: '195.132.65.236' May 14 14:49:20 ipcop pluto[10799]: "clientwin"[1] 195.132.65.236 #1: sent MR3, ISAKMP SA established May 14 14:49:21 ipcop pluto[10799]: "clientwin"[1] 195.132.65.236 #2: responding to Quick Mode May 14 14:49:21 ipcop pluto[10799]: "clientwin"[1] 195.132.65.236 #2: IPsec SA established --- Extait de /var/log/secure ---<- Decription de client chargée Côté Windows, 2 ou 3 ping vers le réseau IPCop GREEN doivent retourner un résultat positif. Si le message "Négociation de la sécurité IP." apparait toujours après plusieurs ping, vérifier le fichier secure sur IPCop et la définition des clés partagées (PSK). Voilà ! C'est un peu long mais j'ai essayé d'être aussi précis que possible. Cela sera peut être utile... En conclusion, IPCop ? Ca marche ! <IMG SRC="images/smiles/icon_lol.gif">

par **fgille** » 14 Mai 2003 16:23

Concernant la synchronisation de l'heure, l'ai lu aussi qu'il est nécessaire de le faire pour initialiser une connexion entre 2 serveurs. Je ne l'ai pas lu pour un client Windows. Mais j'ai configuré la mise à l'heure automatique par NTP sur IPCop et sur mon PC w2k. Je n'ai donc pas eu ce problème. Targa : "Quand je paramètre mes fichiers pour le VPN à la main, il n'apparait pas ensuite dans le GUI, est ce normal ?" Oui, il est écrit dans le VPN HowTo (http://www.ipcop.org/cgi-bin/twiki/view ... opVPNHowto) que l'interface web d'administration de IPCop 1.2 ne fonctionne pas avec un paramètrage pour client Windows. Si on l'utilise, elle efface les fichiers de configuration. Par contre, certains ont écrit dans ce forum les modifications à faire dans les scripts CGI pour que cette configuration soit visible dans l'interface d'administration.

VPN avec client Win2000

Qui est en ligne ?