VPN 1.3 1.2

par **Renaud** » 02 Juin 2003 19:13

Bonjour, bon je me remets à essayer de faire marcher mon vpn entre 2 ipcops, version 1.2 coté gauche et version 1.3 coté droit. J'ai recherché partout dans le forum, relu 10 fois le howto vpn en fr et anglais, mais ça marche toujours pas. J'ai un routeur de chaque coté qui font du nat et qui laissent bien passer IPSEC. Voilà ma config : LEFT (1.2) RIGHT (1.3) /------------------------------------- /--------------------------------------- green1--IPCOP1--red1--routeur1---internet---routeur2-red2--IPCOP2--green2 ^ ^ ^ ^ ^ ^ ^ ^ 192.x.y.1 10.z.0.2 10.z.0.1 @publik1 @publik2 10.z.10.1 10.z.10.2 192.a.b.1 donc j'ai bien mes sous réseau green sur des plages différentes, mes sous réseaux red sur des plages différentes aussi. Je précise aussi que je suis en @publik fixes. Et voilà les traces coté gauche ET coté droit quand j'essaie de lancer le VPN :  Jun 2 15:17:12 AirCop ipsec__plutorun: Starting Pluto subsystem... Jun 2 15:17:13 AirCop pluto[30202]: Starting Pluto (FreeS/WAN Version 1.99) Jun 2 15:17:13 AirCop pluto[30202]: including X.509 patch (Version 0.9.15) Jun 2 15:17:14 AirCop pluto[30202]: Changing to directory '/etc/ipsec.d/cacerts' Jun 2 15:17:15 AirCop pluto[30202]: Warning: empty directory Jun 2 15:17:15 AirCop pluto[30202]: Changing to directory '/etc/ipsec.d/crls' Jun 2 15:17:15 AirCop pluto[30202]: Warning: empty directory Jun 2 15:17:15 AirCop pluto[30202]: loaded my default X.509 cert file '/etc/x509cert.der' (0 bytes) Jun 2 15:17:15 AirCop pluto[30202]: file coded in unknown format, discarded Jun 2 15:17:15 AirCop pluto[30202]: OpenPGP certificate file '/etc/pgpcert.pgp' not found Jun 2 15:17:19 AirCop pluto[30202]: added connection description "vpntest" Jun 2 15:17:19 AirCop pluto[30202]: listening for IKE messages Jun 2 15:17:19 AirCop pluto[30202]: adding interface ipsec0/eth2 10.z.0.2 Jun 2 15:17:19 AirCop pluto[30202]: loading secrets from "/etc/ipsec.secrets" Jun 2 15:17:21 AirCop pluto[30202]: "vpntest": we have no ipsecN interface for either end of this connection  pourtant j'ai réinstallé IPCOP depuis, pensant que freeswan s'était mal installé, mais ça a rien changé ... je suis aussi allé sur le site de freeswan pour essayer de trouver des infos, ça m'a permis de voir que : # ipsec showhostkey --left ipsec showhostkey: no default key in "/etc/ipsec.secrets"  et # ipsec auto --start vpntest ipsec auto: unknown option `--start'  mais je sais pas si ipcop doit réagir idem qu'une install de base de freeswan ... Pour résumer : j'ai besoin d'aide <IMG SRC="images/smiles/icon_confused.gif">

par **JuLeS** » 03 Juin 2003 01:06

Ton VPN IPCop peut fonctionner soit avec un échange de certificats, soit par l'échange de PSK. C'est cette PSK qui se trouve dans ipsec.secrets. Tu devrais trouver toutes tes réponses sur : <a href="http://forums.ixus.net/viewtopic.php?t=3913&14" target="_blank">http://forums.ixus.net/viewtopic.php?t=3913&14</a> Courage, tout le monde a eu ses galeres sur du VPN <IMG SRC="images/smiles/icon_biggrin.gif">

par **olivier_morin** » 03 Juin 2003 08:37

J'ai testé un VPN entre 1.3 et 1.2 avec succes, sauf que comme j'ai des probs avec la reco 1.3 j'ai tout repassé en 1.2... Pour la partie VPN, je te conseille de paramètrer d'un coté, sauvegarder sur disque la config comme le propose l'interface web d'IPCOP puis de charger le fichier sur l'autre bécane toujours avec l'interface IPCOP. J'ai procédé ainsi de 1.2 vers 1.3 et cela marche. Seulautre prob 1.3, lors d'une reco (quand ça marche !) le VPN n'était pas relancé... Donc deux 1.2 c'est pas plus mal.

par **belugha** » 03 Juin 2003 09:18

Moi j'ai 7 VPN sur la version 1.3 de IpCop qui tournent simultanément et je peux vous dire que ca tournent du tonnerre de Dieu. J'utilise la clé PSK avec ipsec.secrets. voici ma config: config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 conn VPN1 left=174.52.13.2 compress=no leftsubnet=10.1.0.0/8 leftnexthop=%defaultroute right=%any rightsubnet=10.4.0.0/16 rightnexthop=%defaultroute auto=start conn VPN2 left=174.52.13.2 compress=no leftsubnet=10.1.0.0/8 leftnexthop=%defaultroute right=%any rightsubnet=10.10.0.0/16 rightnexthop=%defaultroute auto=start conn VPN3 left= 174.52.13.2 compress=no leftsubnet=10.1.0.0/8 leftnexthop=%defaultroute right=%any rightsubnet=10.8.0.0/16 rightnexthop=%defaultroute auto=start etc ... jusqu'à VPN7 Mon fichier ipsec.secrets se présentent comme cela: 174.52.13.2 %any : PSK "motdepasse" 174.52.13.2 %any : PSK "motdepasse" 174.52.13.2 %any : PSK "motdepasse" Si cela peut t'aider. Bon courage pour la suite.

par **Renaud** » 03 Juin 2003 10:16

je viens voir qu'apparemment , vu qu je suis derrière des routeurs qui font du nat, je ne dois pas faire du psk mais du rsa <IMG SRC="images/smiles/icon_eek.gif"> kkun peut il me confirmer ?

par **belugha** » 03 Juin 2003 10:32

mais tu fais bien une liaison VPN entre les 2 Ipcops ?

par **olivier_morin** » 03 Juin 2003 12:35

Belugha, peux tu me donner tes configs hards et modem et les fai utilisés ?

par **mfernandez** » 03 Juin 2003 12:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-03 09:18, belugha a écrit: Moi j'ai 7 VPN sur la version 1.3 de IpCop qui tournent simultanément et je peux vous dire que ca tournent du tonnerre de Dieu. J'utilise la clé PSK avec ipsec.secrets. voici ma config: config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 conn VPN1 left=174.52.13.2 compress=no leftsubnet=10.1.0.0/8 leftnexthop=%defaultroute right=%any rightsubnet=10.4.0.0/16 rightnexthop=%defaultroute auto=start conn VPN2 left=174.52.13.2 compress=no leftsubnet=10.1.0.0/8 leftnexthop=%defaultroute right=%any rightsubnet=10.10.0.0/16 rightnexthop=%defaultroute auto=start conn VPN3 left= 174.52.13.2 compress=no leftsubnet=10.1.0.0/8 leftnexthop=%defaultroute right=%any rightsubnet=10.8.0.0/16 rightnexthop=%defaultroute auto=start etc ... jusqu'à VPN7 Mon fichier ipsec.secrets se présentent comme cela: 174.52.13.2 %any : PSK "motdepasse" 174.52.13.2 %any : PSK "motdepasse" 174.52.13.2 %any : PSK "motdepasse" Si cela peut t'aider. Bon courage pour la suite. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> J'aurai une question. j'ai mis en place un vpn entre deux mnf, bon il fonctionne, dans la doc il precise de rejeter les regles par defaut et de configurer des exceptions pour le vpn, as tu configure des regles pour tes vps.

par **belugha** » 03 Juin 2003 13:09

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> J'aurai une question. j'ai mis en place un vpn entre deux mnf, bon il fonctionne, dans la doc il precise de rejeter les regles par defaut et de configurer des exceptions pour le vpn, as tu configure des regles pour tes vps. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non je n'ai établie aucune règles. Voici ma config: <a href="http://forums.ixus.net/viewtopic.php?t=3984" target="_blank">http://forums.ixus.net/viewtopic.php?t=3984</a> Elle reste la même à ce jour sauf que mes sites.dyndns.org ont été remplacé par des %any.

par **mfernandez** » 03 Juin 2003 13:23

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-03 13:09, belugha a écrit: <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> J'aurai une question. j'ai mis en place un vpn entre deux mnf, bon il fonctionne, dans la doc il precise de rejeter les regles par defaut et de configurer des exceptions pour le vpn, as tu configure des regles pour tes vps. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non je n'ai établie aucune règles. Voici ma config: <a href="http://forums.ixus.net/viewtopic.php?t=3984" target="_blank">http://forums.ixus.net/viewtopic.php?t=3984</a> Elle reste la même à ce jour sauf que mes sites.dyndns.org ont été remplacé par des %any. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Merci pour l'info et ton lien <IMG SRC="images/smiles/icon_bise.gif"> A+ <IMG SRC="images/smiles/icon_wink.gif">

par **Renaud** » 03 Juin 2003 13:42

si belugha mais mes ipcop sont derriere un routeur de chaque coté, routeurs qui laissent passer ipsec et esp

par **belugha** » 03 Juin 2003 14:06

A mon avis tu n'arrivras pas à créer une VPN entre les 2 IPCOPS si tes routeurs se trouvent devant. Enfin ca c'est ce que je pense. Sinon regarde ca: <a href="http://www.orbytes.fr/Site/ORBYTES_LABS/COURS/VPN/VPN.html" target="_blank">http://www.orbytes.fr/Site/ORBYTES_LABS/COURS/VPN/VPN.html</a> ca t'aidera à comprendre le mécanisme de l'IPSEC

par **Renaud** » 03 Juin 2003 14:38

je viens trouver l'excellente doc faite par irl téléchargeable à cette adresse : <A HREF="http://www.ixus.net/modules.php?name=Downloads&d_op=getit&lid=178" TARGET="_blank">http://www.ixus.net/modules.php?name=Downloads&d_op=getit&lid=178</A> c'est un howto pour faire un vpn ipcop derrière routeur NAT, pile poil ce que je veux faire ! je vous tiens au courant et merci pour vos réponses et liens

par **belugha** » 03 Juin 2003 14:51

on trouve tjs sa réponse sur IXUS.

par **Renaud** » 03 Juin 2003 23:25

ben ça marche nickel en fait en suivant la doc de irl et en passant par rsa au lieu de psk, le tour est joué. Par contre ça rame quand même pas mal, les 2 coté sont en adsl 512, le ping tourne autour de 120 ms mais par l'explorateur c trop lent !!! je sais pas si c'est normal, ou si y'a un moyen pour y remédier ?

VPN 1.3 1.2

Qui est en ligne ?