VPN, encore et toujours...

par **Moigno** » 27 Mai 2003 11:45

lu all, après plusieurs heures de recherches, je m'en résoud à demander votre aide je souhaite mettre en place un VPN sur une plate forme de test, avec 2 lan, protégés par 2 firewalls, et séparés par un réseau externe (autre lan simulant internet). LanA : 192.168.9.0/24 IP publique A : 172.16.62.254 LanB : 192.168.10.0/24 IP publique B : 172.16.62.252 Certains points de la documentation (le .pdf) ne me semble pas clair: - dans mon cas, il vaut mieux que je définisse les 2 passerelles en tant que 2 serveurs ou un serveur et un client? - si 2 serveurs, les 2 serveurs doivent être définies dans la section VPN -> Serveur sur les 2 machines? - que mettre dans la case "VPN distant" de la page VPN -> Serveur ? il est expliqué de mettre une "passerelle", mais là je vois pas... l'ip externe distante? bref, après plusieurs essais, je me retrouve avec des paquets ARP sur le réseau externe (who has 192.168.10.2 tell 172.16.62.254 ...), lorsque je souhaite tester le VPN. Je sais, tout ça est un peu confus mais bon... Merci d'avance.

par **Moigno** » 27 Mai 2003 16:36

encore une journée de perdue..., HELPPPPPP <IMG SRC="images/smiles/icon_mad.gif"> kkun pourrait poster un exemple de ipsec.conf qui marche, au pire, ça peut m'aider..

par **mfernandez** » 28 Mai 2003 10:07

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-27 16:36, Moigno a écrit: encore une journée de perdue..., HELPPPPPP <IMG SRC="images/smiles/icon_mad.gif"> kkun pourrait poster un exemple de ipsec.conf qui marche, au pire, ça peut m'aider.. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Salut Ne pert pas patience, ca fait 2 mois que nous somme dessus avec un ami, nous avons la meme config que toi, 2 mnf chacunes avec un modem adsl aux fesses, nous avons notre tunnel de cree, appel d'un serveur mnf a l'autre ce fait, mais nous avons toujours des probleme de ping d'une machine client du reseau droit vers une machine client du reseau gauche et quand on regarde le fichier log firwall, on observe bien un appel sur la carte ipse0 proto icmp vers une adresse interne, mais aucune autre reponse, je peux te dir deux choses; la premiere nius sommes frustre et la deuxieme nous a deux doigts de conclure. Pour ta question concernant le vpn distant dans la doc il precise de taper en mode terminal route -n, tu devrais optenir ton adresse public + 1. ex: ip public: 81.200.200.200 ip route -n: 81.200.200.201 Courage <IMG SRC="images/smiles/icon_frown.gif">

par **Moigno** » 28 Mai 2003 11:33

bon je vais essayer de préciser quelques détails... je rapelle que mes deux lans distants sont séparés en vérité par un autre lan (noté lan externe, supposé "simulé" internet) puisque je teste sur plate forme. dans mes logs (auth.log), lorsque je redéfinis un des 2 serveur VPN par la GUI, j'ai ce type de lignes qui se rajoutent: - loaded des certificats qui semblent bien se dérouler - added connection description nom_machine-vpn - listening for IKE messages - no public interfaces found - d'autre loaded de certificat - "connection nom_machine-vpn" : we have no ipsecN interface for either end of this connection Donc est-ce impossible de faire un VPN avec mnf à travers un LAN comme je souhaite le faire (puisqu'il semble vouoir une "public interface")? Sachant que g bien défini ma zone vpn en interface ipsec0 des 2 cotés. thx ps : dans ma case vpn distant, g mis l'adresse externe distante 172.16.62.252 ou 172.16.62.254 suivant le serveur défini

par **mfernandez** » 28 Mai 2003 11:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-28 11:33, Moigno a écrit: bon je vais essayer de préciser quelques détails... je rapelle que mes deux lans distants sont séparés en vérité par un autre lan (noté lan externe, supposé "simulé" internet) puisque je teste sur plate forme. dans mes logs (auth.log), lorsque je redéfinis un des 2 serveur VPN par la GUI, j'ai ce type de lignes qui se rajoutent: - loaded des certificats qui semblent bien se dérouler - added connection description nom_machine-vpn - listening for IKE messages - no public interfaces found - d'autre loaded de certificat - "connection nom_machine-vpn" : we have no ipsecN interface for either end of this connection Donc est-ce impossible de faire un VPN avec mnf à travers un LAN comme je souhaite le faire (puisqu'il semble vouoir une "public interface")? Sachant que g bien défini ma zone vpn en interface ipsec0 des 2 cotés. thx ps : dans ma case vpn distant, g mis l'adresse externe distante 172.16.62.252 ou 172.16.62.254 suivant le serveur défini </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> a tu fais route -n a tu 2 cartes reseaux sur chaque machine tu dois definir 1 serveur comme CA et copier les clefs sur l'autre. je continue a voir ta conf. <IMG SRC="images/smiles/icon_wink.gif">

par **Moigno** » 28 Mai 2003 13:38

j'ai 3 cartes réseaux sur chaque mnf: lan interne(192.168.11.0), dmz(192.168.10.0), et lan externe(172.16.0.0/16) route -n me renvoie donc ces 3 réseaux connectés aux 3 interfaces. De plus, je rajoute à la main (route add -net... ) la route indiquant que pour aller vers la lan distant (192.168.9.0/24), il faut sortir sur 172.16.62.252, mon ip du lan externe. J'ai essayé avec et sans cette route, ca ne marche pas dans les 2 cas. en ce qui concerne les clés, j'ai bien créer les certificats sur un des 2 serveur qui joue donc le role de CA. Ensuite je copie depuis ce serveur les fichiers /etc/freeswan/ipsec.d/server-local.crt, /etc /freeswan/ipsec.d/server-distant.crt et /etc/freeswan/ipsec.d/private/server-distant.key vers l'autre serveur. Puis j'ai définit sur les 2 mnf, les 2 serveurs dans la section vpn->server en respectant droite/gauche (toujours le serveur local en premier c ça?)

par **mfernandez** » 28 Mai 2003 13:50

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-28 13:38, Moigno a écrit: j'ai 3 cartes réseaux sur chaque mnf: lan interne(192.168.11.0), dmz(192.168.10.0), et lan externe(172.16.0.0/16) route -n me renvoie donc ces 3 réseaux connectés aux 3 interfaces. De plus, je rajoute à la main (route add -net... ) la route indiquant que pour aller vers la lan distant (192.168.9.0/24), il faut sortir sur 172.16.62.252, mon ip du lan externe. J'ai essayé avec et sans cette route, ca ne marche pas dans les 2 cas. en ce qui concerne les clés, j'ai bien créer les certificats sur un des 2 serveur qui joue donc le role de CA. Ensuite je copie depuis ce serveur les fichiers /etc/freeswan/ipsec.d/server-local.crt, /etc /freeswan/ipsec.d/server-distant.crt et /etc/freeswan/ipsec.d/private/server-distant.key vers l'autre serveur. Puis j'ai définit sur les 2 mnf, les 2 serveurs dans la section vpn->server en respectant droite/gauche (toujours le serveur local en premier c ça?) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> il faut que tu copis aussi x509.... ca.cr.. et crl.... dans leur repertoire respectif, du serveur CA vers le serveur client. il faut que tu ouvre sur le CA le port 500 wan vers lan et inverse pour le serveur client dans les exceptions. un conseil si je peux me permettre, soit tu utilise l'interface soit tu le fait mano, because les modifs que tu fais mano ne sont pas retranscri sur l'interface. <IMG SRC="images/smiles/icon_wink.gif"> A+

par **Moigno** » 28 Mai 2003 15:10

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> because les modifs que tu fais mano ne sont pas retranscri sur l'interface. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> oui, bien vu, c d'ailleurs pas pratique du tout... bon g rajouté le /etc/freeswan/x509... sur le client mais toujours pareil... vu que je vois des requetes ARP (qui est 192.168.9.3 tell 172.16.62.52) sur le réseau externe quand je souhaite faire marcher le vpn, le pb semble donc être que le premier firewall ne reconnait pas le traffic 192.168.10.0 -> 192.168.9.0 comme devant être traités en VPN. dans mon ipsec.conf, j'ai 3 parties principales: "config setup", "conn %default" définissant le server local (notamment IP locale externe, IP du réseau privé , IP distante et nom du certificat), , et "conn machine-distante-vpn" définissant la machine distante. Est-ce suffisant? bref, je patauge toujours et jespere que faire un vpn en passant par un lan n'est pas impossible, ce qui me paraitrais quand même bizarre. je fais aussi de la NAT en sortie (d'ailleurs je dois mettre en IP de sortie une adresse differente de celle de mon interface externe ou ça plante). mais avec ou sans nat, ça ne marche pas quand même. quant au regle de firewall, j'ai bien rajouté concernant le port 500 mais de toute facon, g tout autoriser dans les regles de base <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif">

par **Moigno** » 28 Mai 2003 15:13

merci en tout cas mfernandez d'essayer de m'aider <IMG SRC="images/smiles/icon_smile.gif">

par **mfernandez** » 28 Mai 2003 15:24

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-28 15:13, Moigno a écrit: merci en tout cas mfernandez d'essayer de m'aider <IMG SRC="images/smiles/icon_smile.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> je t'enpris, nous patogeons aussi. ce soir je te posterais mon ipsec.conf pour que tu compare ou plutot pour que ca de donne une idee, je n'utilise que la doc et les aides qui ce trouve dans la mnf. <IMG SRC="images/smiles/icon_wink.gif"> A+

par **Moigno** » 28 Mai 2003 15:34

oui, d'ailleurs je trouve la configuration et les outils de la mnf assez clair et simple à mettre en oeuvre, mais concernant le VPN, l'aide de la mnf me semble flou. ce doit être moi mais bon... bon je continue à chercher, et oui ce serait cool pour le ipsec.conf <IMG SRC="images/smiles/icon_smile.gif">

par **mfernandez** » 28 Mai 2003 15:44

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-28 15:34, Moigno a écrit: oui, d'ailleurs je trouve la configuration et les outils de la mnf assez clair et simple à mettre en oeuvre, mais concernant le VPN, l'aide de la mnf me semble flou. ce doit être moi mais bon... bon je continue à chercher, et oui ce serait cool pour le ipsec.conf <IMG SRC="images/smiles/icon_smile.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> non c'est pas toi, c'est quand fait ils doivent estimer qu'il ya des choses que le ne doit pas expilquer par ce qu'elles doivent etre acquise, mais bon il faut reconnaitre quand meme que le gars qui a fait le doc il est couillu. Bon a ce soir <IMG SRC="images/smiles/icon_wink.gif">

par **Moigno** » 28 Mai 2003 15:47

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> mais bon il faut reconnaitre quand meme que le gars qui a fait le doc il est couillu. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ok, on va dire ça alors <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

par **mfernandez** » 28 Mai 2003 22:30

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-28 15:47, Moigno a écrit: <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> mais bon il faut reconnaitre quand meme que le gars qui a fait le doc il est couillu. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ok, on va dire ça alors <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Voila mon fichier conf, en esperant qu'il t'aide, mais j'en doute. c'est le fichier cote serveur non CA, pour lui tu inverse la conn %default et conn mnf.jvinfo.org-vpn config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default pfs=yes keyingtries=1 compress=yes disablearrivalcheck=no left=ip_du_modem leftcert=mnf.personnel.org.crt leftrsasigkey=%cert leftsubnet=reseau_lan_2(ip) leftnexthop=ip_du_modem_avec_un_de_plus conn mnf.jvinfo.org-vpn authby=rsasig auto=start right=ip_du_modem rightcert=mnf.jvinfo.org.crt rightrsasigkey=%cert rightsubnet=reseau_lan_1(ip) rightnexthop=ip_du_modem_avec_un_de_plus A+ <IMG SRC="images/smiles/icon_wink.gif"> Je t'annonce que notre vpn fonctionne <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> apres 2 mois de galere <IMG SRC="images/smiles/icon_cussing.gif"> maintenant nous travaillons sur le filtrage <IMG SRC="images/smiles/icon_bawling.gif"> A+ <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

par **Moigno** » 29 Mai 2003 12:46

Bon nos ipsec.conf semble cohérents. Le suel truc, c le ip_du_modem+1 que je cerne pas trop... et puis moi, vu que le réseau externe est en fait un lan, je ne c pas trop quoi mettre (mes ip externes sont 172.16.62.252 et 172.16.62.254). en nexthop, je met l'ip externe d'en face mais ça marche pas. A moins que ce soit pas possible de passer par un lan. ou mon erreur est ailleurs.. <IMG SRC="images/smiles/icon_frown.gif">

VPN, encore et toujours...

Qui est en ligne ?