VPN, encore et toujours...

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar Moigno » 27 Mai 2003 11:45

lu all, <BR> <BR>après plusieurs heures de recherches, je m'en résoud à demander votre aide <BR> <BR>je souhaite mettre en place un VPN sur une plate forme de test, avec 2 lan, protégés par 2 firewalls, et séparés par un réseau externe (autre lan simulant internet). <BR> <BR>LanA : 192.168.9.0/24 <BR>IP publique A : 172.16.62.254 <BR> <BR>LanB : 192.168.10.0/24 <BR>IP publique B : 172.16.62.252 <BR> <BR>Certains points de la documentation (le .pdf) ne me semble pas clair: <BR> <BR>- dans mon cas, il vaut mieux que je définisse les 2 passerelles en tant que 2 serveurs ou un serveur et un client? <BR> <BR>- si 2 serveurs, les 2 serveurs doivent être définies dans la section VPN -> Serveur sur les 2 machines? <BR> <BR>- que mettre dans la case "VPN distant" de la page VPN -> Serveur ? il est expliqué de mettre une "passerelle", mais là je vois pas... l'ip externe distante? <BR> <BR>bref, après plusieurs essais, je me retrouve avec des paquets ARP sur le réseau externe (who has 192.168.10.2 tell 172.16.62.254 ...), lorsque je souhaite tester le VPN. <BR> <BR>Je sais, tout ça est un peu confus mais bon... <BR> <BR>Merci d'avance.
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar Moigno » 27 Mai 2003 16:36

encore une journée de perdue..., HELPPPPPP <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>kkun pourrait poster un exemple de ipsec.conf qui marche, au pire, ça peut m'aider..
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar mfernandez » 28 Mai 2003 10:07

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-27 16:36, Moigno a écrit: <BR>encore une journée de perdue..., HELPPPPPP <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>kkun pourrait poster un exemple de ipsec.conf qui marche, au pire, ça peut m'aider.. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Salut <BR>Ne pert pas patience, ca fait 2 mois que nous somme dessus avec un ami, nous avons la meme config que toi, 2 mnf chacunes avec un modem adsl aux fesses, nous avons notre tunnel de cree, appel d'un <BR>serveur mnf a l'autre ce fait, mais nous avons toujours des probleme de ping d'une machine client du reseau droit vers une machine client du reseau gauche et quand on regarde le fichier log firwall, on observe bien un appel sur la carte ipse0 proto icmp vers une adresse interne, mais aucune autre reponse, je peux te dir deux choses; la premiere nius sommes frustre et la deuxieme nous a deux doigts de conclure. Pour ta question concernant le vpn distant dans la doc il precise de taper en mode terminal route -n, tu devrais optenir ton adresse public + 1. <BR> <BR>ex: <BR>ip public: 81.200.200.200 <BR>ip route -n: 81.200.200.201 <BR> <BR>Courage <IMG SRC="images/smiles/icon_frown.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar Moigno » 28 Mai 2003 11:33

bon je vais essayer de préciser quelques détails... <BR> <BR>je rapelle que mes deux lans distants sont séparés en vérité par un autre lan (noté lan externe, supposé "simulé" internet) puisque je teste sur plate forme. <BR> <BR>dans mes logs (auth.log), lorsque je redéfinis un des 2 serveur VPN par la GUI, j'ai ce type de lignes qui se rajoutent: <BR> <BR>- loaded des certificats qui semblent bien se dérouler <BR> <BR>- added connection description nom_machine-vpn <BR> <BR>- listening for IKE messages <BR> <BR>- no public interfaces found <BR> <BR>- d'autre loaded de certificat <BR> <BR>- "connection nom_machine-vpn" : we have no ipsecN interface for either end of this connection <BR> <BR> <BR> <BR>Donc est-ce impossible de faire un VPN avec mnf à travers un LAN comme je souhaite le faire (puisqu'il semble vouoir une "public interface")? <BR> <BR> <BR>Sachant que g bien défini ma zone vpn en interface ipsec0 des 2 cotés. <BR> <BR>thx <BR> <BR> <BR> <BR>ps : dans ma case vpn distant, g mis l'adresse externe distante 172.16.62.252 ou 172.16.62.254 suivant le serveur défini <BR>
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar mfernandez » 28 Mai 2003 11:58

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-28 11:33, Moigno a écrit: <BR>bon je vais essayer de préciser quelques détails... <BR> <BR>je rapelle que mes deux lans distants sont séparés en vérité par un autre lan (noté lan externe, supposé "simulé" internet) puisque je teste sur plate forme. <BR> <BR>dans mes logs (auth.log), lorsque je redéfinis un des 2 serveur VPN par la GUI, j'ai ce type de lignes qui se rajoutent: <BR> <BR>- loaded des certificats qui semblent bien se dérouler <BR> <BR>- added connection description nom_machine-vpn <BR> <BR>- listening for IKE messages <BR> <BR>- no public interfaces found <BR> <BR>- d'autre loaded de certificat <BR> <BR>- "connection nom_machine-vpn" : we have no ipsecN interface for either end of this connection <BR> <BR> <BR> <BR>Donc est-ce impossible de faire un VPN avec mnf à travers un LAN comme je souhaite le faire (puisqu'il semble vouoir une "public interface")? <BR> <BR> <BR>Sachant que g bien défini ma zone vpn en interface ipsec0 des 2 cotés. <BR> <BR>thx <BR> <BR> <BR> <BR>ps : dans ma case vpn distant, g mis l'adresse externe distante 172.16.62.252 ou 172.16.62.254 suivant le serveur défini <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>a tu fais route -n <BR>a tu 2 cartes reseaux sur chaque machine <BR>tu dois definir 1 serveur comme CA et copier les clefs sur l'autre. <BR> <BR>je continue a voir ta conf. <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar Moigno » 28 Mai 2003 13:38

j'ai 3 cartes réseaux sur chaque mnf: lan interne(192.168.11.0), dmz(192.168.10.0), et lan externe(172.16.0.0/16) <BR> <BR>route -n me renvoie donc ces 3 réseaux connectés aux 3 interfaces. <BR> <BR>De plus, je rajoute à la main (route add -net... ) la route indiquant que pour aller vers la lan distant (192.168.9.0/24), il faut sortir sur 172.16.62.252, mon ip du lan externe. J'ai essayé avec et sans cette route, ca ne marche pas dans les 2 cas. <BR> <BR>en ce qui concerne les clés, j'ai bien créer les certificats sur un des 2 serveur qui joue donc le role de CA. Ensuite je copie depuis ce serveur les fichiers /etc/freeswan/ipsec.d/server-local.crt, /etc <BR>/freeswan/ipsec.d/server-distant.crt et /etc/freeswan/ipsec.d/private/server-distant.key vers l'autre serveur. <BR> <BR>Puis j'ai définit sur les 2 mnf, les 2 serveurs dans la section vpn->server en respectant droite/gauche (toujours le serveur local en premier c ça?)
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar mfernandez » 28 Mai 2003 13:50

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-28 13:38, Moigno a écrit: <BR>j'ai 3 cartes réseaux sur chaque mnf: lan interne(192.168.11.0), dmz(192.168.10.0), et lan externe(172.16.0.0/16) <BR> <BR>route -n me renvoie donc ces 3 réseaux connectés aux 3 interfaces. <BR> <BR>De plus, je rajoute à la main (route add -net... ) la route indiquant que pour aller vers la lan distant (192.168.9.0/24), il faut sortir sur 172.16.62.252, mon ip du lan externe. J'ai essayé avec et sans cette route, ca ne marche pas dans les 2 cas. <BR> <BR>en ce qui concerne les clés, j'ai bien créer les certificats sur un des 2 serveur qui joue donc le role de CA. Ensuite je copie depuis ce serveur les fichiers /etc/freeswan/ipsec.d/server-local.crt, /etc <BR>/freeswan/ipsec.d/server-distant.crt et /etc/freeswan/ipsec.d/private/server-distant.key vers l'autre serveur. <BR> <BR>Puis j'ai définit sur les 2 mnf, les 2 serveurs dans la section vpn->server en respectant droite/gauche (toujours le serveur local en premier c ça?) <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>il faut que tu copis aussi x509.... ca.cr.. et crl.... dans leur repertoire respectif, du serveur CA vers le serveur client. il faut que tu ouvre sur le CA le port 500 wan vers lan et inverse pour le serveur client <BR>dans les exceptions. un conseil si je peux me permettre, soit tu utilise l'interface soit tu le fait mano, because les modifs que tu fais mano ne sont pas retranscri sur l'interface. <IMG SRC="images/smiles/icon_wink.gif"> <BR>A+
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar Moigno » 28 Mai 2003 15:10

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>because les modifs que tu fais mano ne sont pas retranscri sur l'interface. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>oui, bien vu, c d'ailleurs pas pratique du tout... <BR> <BR> <BR> <BR>bon g rajouté le /etc/freeswan/x509... sur le client mais toujours pareil... <BR> <BR>vu que je vois des requetes ARP (qui est 192.168.9.3 tell 172.16.62.52) sur le réseau externe quand je souhaite faire marcher le vpn, le pb semble donc être que le premier firewall ne reconnait pas le traffic 192.168.10.0 -> 192.168.9.0 comme devant être traités en VPN. <BR> <BR>dans mon ipsec.conf, j'ai 3 parties principales: "config setup", "conn %default" définissant le server local (notamment IP locale externe, IP du réseau privé , IP distante et nom du certificat), , et "conn machine-distante-vpn" définissant la machine distante. Est-ce suffisant? <BR> <BR>bref, je patauge toujours et jespere que faire un vpn en passant par un lan n'est pas impossible, ce qui me paraitrais quand même bizarre. <BR> <BR>je fais aussi de la NAT en sortie (d'ailleurs je dois mettre en IP de sortie une adresse differente de celle de mon interface externe ou ça plante). mais avec ou sans nat, ça ne marche pas quand même. <BR> <BR>quant au regle de firewall, j'ai bien rajouté concernant le port 500 mais de toute facon, g tout autoriser dans les regles de base <BR> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar Moigno » 28 Mai 2003 15:13

merci en tout cas mfernandez d'essayer de m'aider <IMG SRC="images/smiles/icon_smile.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar mfernandez » 28 Mai 2003 15:24

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-28 15:13, Moigno a écrit: <BR>merci en tout cas mfernandez d'essayer de m'aider <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>je t'enpris, nous patogeons aussi. ce soir je te posterais mon ipsec.conf pour que tu compare ou plutot pour que ca de donne une idee, je n'utilise que la doc et les aides qui ce trouve dans la mnf. <IMG SRC="images/smiles/icon_wink.gif"> <BR>A+
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar Moigno » 28 Mai 2003 15:34

oui, d'ailleurs je trouve la configuration et les outils de la mnf assez clair et simple à mettre en oeuvre, mais concernant le VPN, l'aide de la mnf me semble flou. ce doit être moi mais bon... <BR> <BR>bon je continue à chercher, et oui ce serait cool pour le ipsec.conf <IMG SRC="images/smiles/icon_smile.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar mfernandez » 28 Mai 2003 15:44

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-28 15:34, Moigno a écrit: <BR>oui, d'ailleurs je trouve la configuration et les outils de la mnf assez clair et simple à mettre en oeuvre, mais concernant le VPN, l'aide de la mnf me semble flou. ce doit être moi mais bon... <BR> <BR>bon je continue à chercher, et oui ce serait cool pour le ipsec.conf <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>non c'est pas toi, c'est quand fait ils doivent estimer qu'il ya des choses que le ne doit pas expilquer par ce qu'elles doivent etre acquise, mais bon il faut reconnaitre quand meme que le gars qui a fait le doc il est couillu. Bon a ce soir <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar Moigno » 28 Mai 2003 15:47

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>mais bon il faut reconnaitre quand meme que le gars qui a fait le doc il est couillu. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>ok, on va dire ça alors <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar mfernandez » 28 Mai 2003 22:30

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-28 15:47, Moigno a écrit: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>mais bon il faut reconnaitre quand meme que le gars qui a fait le doc il est couillu. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>ok, on va dire ça alors <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Voila mon fichier conf, en esperant qu'il t'aide, mais j'en doute. <BR>c'est le fichier cote serveur non CA, pour lui tu inverse la conn %default et conn mnf.jvinfo.org-vpn <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> pfs=yes <BR> keyingtries=1 <BR> compress=yes <BR> disablearrivalcheck=no <BR> left=ip_du_modem <BR> leftcert=mnf.personnel.org.crt <BR> leftrsasigkey=%cert <BR> leftsubnet=reseau_lan_2(ip) <BR> leftnexthop=ip_du_modem_avec_un_de_plus <BR> <BR>conn mnf.jvinfo.org-vpn <BR> authby=rsasig <BR> auto=start <BR> right=ip_du_modem <BR> rightcert=mnf.jvinfo.org.crt <BR> rightrsasigkey=%cert <BR> rightsubnet=reseau_lan_1(ip) <BR> rightnexthop=ip_du_modem_avec_un_de_plus <BR> <BR>A+ <BR> <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Je t'annonce que notre vpn fonctionne <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> apres 2 mois de galere <IMG SRC="images/smiles/icon_cussing.gif"> maintenant nous travaillons sur le filtrage <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>A+ <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR><BR><font size=-2></font>
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar Moigno » 29 Mai 2003 12:46

Bon nos ipsec.conf semble cohérents. <BR> <BR>Le suel truc, c le ip_du_modem+1 que je cerne pas trop... et puis moi, vu que le réseau externe est en fait un lan, je ne c pas trop quoi mettre (mes ip externes sont 172.16.62.252 et 172.16.62.254). en nexthop, je met l'ip externe d'en face mais ça marche pas. A moins que ce soit pas possible de passer par un lan. <BR>ou mon erreur est ailleurs.. <IMG SRC="images/smiles/icon_frown.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron