VPN entre Ipcop et Netasq...?

[stevethx]

Bonjour à tous, <BR> <BR>Je voudrais savoir s'il est possible d'établir une connexion VPN entre 2 firewalls différents (Un Ipcop et un Netasq) ou s'il est indispensable que les 2 firewalls soit Ipcop... <BR> <BR>Merci et @ bientôt !! <BR> <BR>Steve

[bruno]

J'espère que tu auras plus de réponses que bbbki <IMG SRC="images/smiles/icon_frown.gif"> <BR><!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=1824" TARGET="_blank">IPcop et le VPN - Message posté le 12-11-2002 à 16:49</A><!-- BBCode u2 End -->

[stevethx]

Bah oui j'ai vu qu'il y avait bof de réponses concenant ce point.... <BR> <BR>Je suis en contrat de qualif en informatique et je dois préparer un dossier pour Octobre : Relier 2 sites dont un protégé par un Netasq...donc je cherche un firewall (Ipcop, Smoothwall...) capable de protéger l'autre site tout en établissant une connexion VPN avec le Netasq. <BR> <BR>J'espère pouvoir trouver une solution quand au choix du firewall...pour les configs je me débrouillerais...mais c pour savoir si au moins il y en a un des 2 (Ipcop, Smoothwall) avec lequel c possible... <BR> <BR>

[bruno]

Tu peux peut-être éventuellement poser la question par message privé à <BR>- <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?name=Your_Account&op=userinfo&uname=TheBB" TARGET="_blank">TheBB</A><!-- BBCode u2 End --> (<!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=2401" TARGET="_blank">Info sur le VPN d'IPCOP</A><!-- BBCode u2 End -->) <BR>- <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?name=Your_Account&op=userinfo&uname=bbbki" TARGET="_blank">bbbki</A><!-- BBCode u2 End --> (<!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=1824" TARGET="_blank">IPcop et le VPN</A><!-- BBCode u2 End -->) <BR>- <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?name=Your_Account&op=userinfo&uname=t2net" TARGET="_blank">t2net</A><!-- BBCode u2 End --> (<!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=767" TARGET="_blank">plusieurs réseaux...</A><!-- BBCode u2 End -->) <BR> <BR>Ils ont cherché une possibilité de config entre IPCop et du matériel netasq. Peut-être ont-ils trouvé depuis le temps, sans pour autant le mentionner dans les forums... <BR> <BR><IMG SRC="images/smiles/icon_find.gif"> <BR> <BR>_________________ <BR>Bruno aka <!-- BBCode u2 Start --><A HREF="http://www.boolaz.com" TARGET="_blank">Boolaz</A><!-- BBCode u2 End --> <BR><BR><font size=-2></font>

[stevethx]

Ok merci je vais leur poser la question...

[tomtom]

Quand vous vous mosez ce genre de questions, un ptit tour par la peut etre utile... <BR> <BR><!-- BBCode auto-link start --><a href="http://www.freeswan.org/freeswan_trees/freeswan-2.00/doc/interop.html" target="_blank">http://www.freeswan.org/freeswan_trees/freeswan-2.00/doc/interop.html</a><!-- BBCode auto-link end --> <BR> <BR> <BR>Apparemment, des gens ont testé avec succès, en utilisant les certificats X509 (il faut patcher freeswann avant). Mais il n'y a pas d'infos concernant des connexions avec clés RSA ou autres... <BR> <BR>A mon avis ça doit fonctionner à peu près, il faut verifier que le Netasq sait initier es vpn autrement qu'avec des certificats, mais je pense que oui ! <BR> <BR> <BR>d'apres Netasq, pas de problème ! <BR><!-- BBCode auto-link start --><a href="http://www.netasq.com/Fr/Produits/Documentation/pdf/DT-Compatibilit%E9IPSEC-V11.pdf" target="_blank">http://www.netasq.com/Fr/Produits/Documentation/pdf/DT-Compatibilit%E9IPSEC-V11.pdf</a><!-- BBCode auto-link end --> <BR> <BR>D'apres ce que je lis dans la doc, pas deproblème non plus ! <BR><!-- BBCode auto-link start --><a href="http://www.netasq.com/Fr/Produits/Documentation/pdf/WP-vpn.pdf" target="_blank">http://www.netasq.com/Fr/Produits/Documentation/pdf/WP-vpn.pdf</a><!-- BBCode auto-link end --> <BR> <BR> <BR>Alors je dis OUI <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>Tom

[stevethx]

Merci pour votre aide...je vais faire des essais et vous recontacterez après.... <BR> <BR>Merci @+ <BR> <BR>Steve

[NtDetect]

NETASQ ET IPCOP CA MARCHE AVEC LES CLEFS PREPARTAGEE PRE-SHARED KEY <BR> <BR>Je viens de réussir. <BR> <BR>1,5 jours pour trouver le bon réglage avec une PSK. <BR> <BR>Voilà les reglages a mettre. <BR> <BR>Site A : <BR>Réseau IP: 192.168.0.0/24 <BR>Public Ip : 193.75.43.12 <BR> <BR>Site B : <BR>Réseau IP: 100.83.60.0/24 <BR>public Ip : 62.4.3.43 <BR> <BR>Paramètre à mettre sur l'IpCop <BR> <BR>Name: nomtoto <BR>Enable: Oui <BR> <BR>Left: 193.75.43.12 Left next hop: %defaultroute Left subnet: 192.168.0.0/24 <BR>Right: 62.4.3.43 Right next hop: %defaultroute Right subnet: 100.83.60.0/24 <BR>Secret: tagada Compression: off <BR> <BR> <BR>Paramètres à mettre dans le F50/F100/F200..... (je valide avec le 50 et le 100) <BR> <BR>Créer la Pre-shared Key et se mettre en mode Adresse IP <BR>193.75.43.12 et mot de passe : tagada <BR> <BR>Creer les différents objets dans la base : machine et reseau en faisant attention de bien mettre les memes subnet mask que ceux sur l'Ipcop. <BR>Dans notre cas : 255.255.255.0 sur les deux reseaux. <BR> <BR>On y va : <BR> <BR>Extremite local du tunnel : Le firewall netasq : 62.4.3.43 <BR>Correspondant : Ipcop : 193.75.43.12 <BR>Configuration tunnel : clef prepartagée <BR>negociation phase 1 : mode principal <BR> <BR>Durée de vie du SA : 360 minutes <BR> <BR>Phase 1 (imperatif : respecter l'ordre des propositions comme ci-dessous) <BR>Proposition 1 : md5 / 3des / Diffie-Hellman Groupe 5 (modp 1536) <BR>Proposition 2 : sha1 / 3des / Diffie-Hellman Groupe 2 (modp 1024) <BR>Proposition 3 : md5 / 3des / Diffie-Hellman Groupe 1 (modp 768) <BR> <BR>Phase 2 <BR>Protocol ESP mode Tunnel <BR>maintenir la connexion : 0 <BR>PFS : Oui : Diffie-Hellman Groupe 1 (modp 768) <BR>Vie du SA : 60 <BR> <BR>Authentification : <BR>Hmac_sha1 : On <BR>Hmac_md5 : On <BR>non_auth : off <BR> <BR>Chiffrement : <BR>3des : On <BR>des : On <BR>null_enc : Off <BR>blowfish : Off <BR>cast128 : Off <BR>rjindael : off <BR> <BR>Extremite du traffic: (mettre un reseau de preference comme ci-dessous) <BR> <BR>Local : 100.83.60.0/24 <BR>Distant : 192.168.0.0/24 <BR> <BR>Comme ca marche. Faites attention de ne pas vous tromper dans les masques de sous reseau !!!! et surtout de mettre les bonnes extremite. <BR> <BR>Voila voila <BR> <BR>A bientot <BR> <BR>Olivier <BR><BR><BR><font size=-2></font>

[ahaffray]

Salut,

je viens de lancer ce même projet de lier IPCOP et un NETASQ F50, mais malheureusement, en suivant a la lettre les indications ci dessus d'olivier cela ne fonctionne pas.
La phase 1 ne monte même pas.

Sur quelle version d'ipcop cette config a-t-elle été testé ?
Ou puis-je trouver les logs VPN sur IPCOP?
Ou se trouve le fichier texte de config VPN IPCOP ?

Merci

Arnaud.

[Th0rS3lit3]

Es tu sur que ton F50 fasse VPN il me semble qu'en dessous de la version F100 cela soit une option.

Comme le souligne Ntdetect avec des clés prépartagé cela devrait fonctionner sans soucis, mais question sécu j'aurais plutot opté pour des certificats (X509 car cela fonctionne apparement...).

Juste pour info NetASQ tourne sur FreeBSD, cela ne devrait donc pas poser trop de problèmes avec IPCop.

Bon courage

[NtDetect]

J'ai implanté encore dernièrement la même solution sur un autre site distant.
Pour info la version sur laquelle je certifie que cela fonctionne est : IPCOP v1.3.0

Fais attention aux pre-sharekeys. Il faut quelles soient quand même assez longues et complexes.
Vérifier quand même si tu as la licence pour monter des VPN.
Ainsi que la quantité de tunnel simultanée autorisés.

Il n’y a rien à régler dans l’IPCOP. Mets les propositions que j’ai indiquées ci-dessus.

Si tu veux voir ou les propositions ne collent pas tu peux te connecter sur ton Firewall en
SSH et regarder les log via la commande tcpdump

Bon courage

NT

[NtDetect]

Vérifies aussi que ta licence d'utilisation soit encore valide.
Pour cela aller dans informations et controle les dates d'expiration
des licences systeme de ton F50