vpn windows

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar Moigno » 11 Juin 2003 09:45

lu all, <BR> <BR>déjà je m'excuse, je sais que ce sujet est traité dans dautre topic mais je n'y ai pas trouvé exactement mes réponses. <BR> <BR>Donc après l'avoir fait entre 2 mnf, je voulais tester le VPN avec un client nomade windows. J'ai donc suivi la très bonne doc (le .pdf) dont on a parlé dans thread précédent. <BR>Mais ça ne fonctionne pas, j'ai donc plusieurs questions qui sont surement cons mais bon, je cherche toutes les possibilités <IMG SRC="images/smiles/icon_smile.gif"> : <BR> <BR>-lors de la création de certificats et clés avec ca.sh, il est indiqué dans la doc que le -newreq crée un "newcert.pem" et que le -sign crée un "newreq.pem". Chez moi ça fait l'inverse, donc c juste une petite erreur dans la doc ou c moi? et après c bien le newcert.pem qu'il faut renommer en .pem et l'autre en .key? <BR> <BR>-faut-il lancer le ipsec.exe du coté windows pour "lancer" le VPN? faut-il créer une connexion de type VPN dans Connexion réseau? <BR> <BR>Dans mes logs, j'ai: <BR> <BR>- au lancement d'ipsec coté mnf : "couldn't find my x509cert file" -> il n'est pas présent c vrai, est-il indispensable? <BR> <BR>"added connection machine-distante et machien-distante-net" <BR> <BR>"listening ike messages" <BR> <BR>"added intreface ipsec0/IP" <BR> <BR>"loaded ipsec.secrets et le keyfile" <BR> <BR>Puis plus rien, un ping vers le réseau distant ne fonctionne pas. <BR> <BR>Si je crée une connexion Windows de type Vpn coté client, et que je la lance, ça me rajoute: <BR> <BR>"machine-distante-net : responding to Main Mode from unknown peer ip-client" <BR> <BR>"deleting connection machine-distante-net instance with peer" <BR> <BR>"ignoring Delet SA payload" <BR> <BR>"ignoring Vendor ID payload" <BR> <BR>"machine-distante : : responding to Main Mode from unknown peer ip-client" <BR> <BR>"machine-distante ; ISAKMP SA established" <BR> <BR>"machine-distante ; IPSEC established" <BR> <BR>Puis quelques paquets ESP entre le client et la MNF; un ping du client vers la MNF envoie aussi des paquets ESP auquel la mnf ne répond pas. Et un ping (ou autre type de connexion ) vers le réseau distant ne fonctionne pas ("impossible de joindre l'hote"). <BR> <BR>Voila si qqun a déjà eu ce type de pbs, merci d'avance. <BR> <BR>
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar Moigno » 11 Juin 2003 15:13

<IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_frown.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar belugha » 11 Juin 2003 16:05

Je connais assez bien maintenant le VPN Ipsec mais je n'ai pas essayé avec le certificat X509. J'ai tjs utilisé la clé PSK puisque je suis sur Ipcop. <BR>Juste pour savoir ton client nomade Windows, c'est quelle version ? <BR> <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Moigno » 11 Juin 2003 16:10

windows 2000 server <BR> <BR>jaimerais au moins savoir si je dois créer une connexion VPN ds connexion réseau ou si ça se fait tout seul par ipsec.exe ou les deux <IMG SRC="images/smiles/icon_redface.gif">
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar belugha » 12 Juin 2003 08:50

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-11 16:10, Moigno a écrit: <BR>windows 2000 server <BR> <BR>jaimerais au moins savoir si je dois créer une connexion VPN ds connexion réseau ou si ça se fait tout seul par ipsec.exe ou les deux <IMG SRC="images/smiles/icon_redface.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Cela se fait tout seul lorsque tu lance la cde ipsec. <BR> <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Moigno » 12 Juin 2003 10:22

tu veux dire la commande ipsec qui lance le ipsec.exe du paquetage qu'il est dit d'installer dans la doc? <BR> <BR>bon à part ça, j'ai activé mon log oakley, et tout au début de .log, correspondant au démarrage de windows, j'ai un message du style "impossible d'obtenir les informations d'identification du serveur Kerberos pour le service ISAKM/Oakley.L'authentificationKerberos ne fonctionnera pas? La raison la plus probable est l'absence d'appartenance de domaine".Puis après, à chaque lancement de ipsec.exe, tout un tas de messages un peu compliqué. <BR> <BR>Faut-il désactiver cette authentification Kerberos afin quil ne se limite pas à ce type d'authentification, ou une fois échoué, il continue à valider dautres modes dauthentification (certificats ici) ?
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar belugha » 12 Juin 2003 10:47

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-12 10:22, Moigno a écrit: <BR>tu veux dire la commande ipsec qui lance le ipsec.exe du paquetage qu'il est dit d'installer dans la doc? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Ouaip c'est ça. <BR> <BR>Comme je te l'ai déjà dit je ne pourais pas t'aider conernant la certificat avec la norme X509, désolée. <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Moigno » 12 Juin 2003 16:19

bon on reste calme... <BR> <BR>dans mes logs coté windows, je vois à un moment (après quelques messages de négociation IKE): <BR> <BR>"error 9032165 during CryptSignHash1" <BR> <BR>kan je lance le ipsec.exe, je vois en protocole de hachage md5. <BR>Y-aurait-il une incomptabilité md5/sha1, ma mnf tentant pt etre du sha1 et le client du md5? <BR> <BR>kkun a déjà eu ce type de probleme? <BR> <BR>mais c bizarre puisqune certaine négociation semble passer puisque des paquets ESP transitent du client à la MNF, mais pas vers le réseau privé. <BR> <BR> <BR> <BR>
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar Moigno » 16 Juin 2003 16:10

pas d'idée sur ça alors? snif
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar DV » 17 Juin 2003 13:24

Salut <BR> <BR>va voir <BR> <BR><!-- BBCode auto-link start --><a href="http://www.fnt.fr/intra/Download/vpn1-02.pdf" target="_blank">http://www.fnt.fr/intra/Download/vpn1-02.pdf</a><!-- BBCode auto-link end --> <BR> <BR>pas encore essayé mais je suis en train <BR> <BR>DV
Avatar de l’utilisateur
DV
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 23 Déc 2002 01:00

Messagepar Moigno » 17 Juin 2003 14:16

lu, <BR> <BR>c justement avec cette doc (très bien faite) que j'ai essayé mais il me reste juste ce pb que je n'arrive pas à regler. Tiens moi au courant si tu y arrives stp
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar samuel » 17 Juin 2003 14:36

Bonjour, <BR> <BR>Je suis en train d'essayer de tester les vpn pour client windows avec MNF. <BR>J'ai téléchargé le pdf d'Eric faure mais je suis déjà bloqué à l'installation de l'autorité de certification car le fichier newreq.pem n'est pas créé. <BR>Cela proviens peut-être du fait que je n'ai pas installé les mises à jour de MNF. <BR> <BR>Avez-vous été bloqué comme moi ?
Avatar de l’utilisateur
samuel
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 14 Avr 2003 00:00
Localisation: Blagnac 31

Messagepar Moigno » 17 Juin 2003 14:42

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-11 09:45, Moigno a écrit: <BR> <BR>-lors de la création de certificats et clés avec ca.sh, il est indiqué dans la doc que le -newreq crée un "newcert.pem" et que le -sign crée un "newreq.pem". Chez moi ça fait l'inverse, donc c juste une petite erreur dans la doc ou c moi? et après c bien le newcert.pem qu'il faut renommer en .pem et l'autre en .key? <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>c pas plutôt ce problème que t'as rencontré?
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Messagepar samuel » 17 Juin 2003 15:10

Différence par rapport à la doc : <BR>-----------page 9------------- <BR> Je dois faire : <BR>>cd /usr/lib/ssl/misc au lieu de (>cd /usr/lib/ssl) <BR> <BR>Quand je tape: <BR>./CA.sh -newca <BR>une arborescence /demoCA est crée mais aucun fichier dans ssl ou ssl/misc <BR> <BR>Quand je tape: <BR>./CA.sh -sign <BR>un fichier newcert.pem est créé sous ssl/misc/ mais il fait 0 octet et j'ai un message d'erreur me signifiant que newreq.pem est manquant. <BR> <BR>Ca ressemble à ce que tu as connu ? <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
samuel
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 14 Avr 2003 00:00
Localisation: Blagnac 31

Messagepar Moigno » 17 Juin 2003 15:36

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-17 15:10, samuel a écrit: <BR>Différence par rapport à la doc : <BR>-----------page 9------------- <BR> Je dois faire : <BR>>cd /usr/lib/ssl/misc au lieu de (>cd /usr/lib/ssl) <BR> <BR>Quand je tape: <BR>./CA.sh -newca <BR>une arborescence /demoCA est crée mais aucun fichier dans ssl ou ssl/misc <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>ça je suis d'accord <BR> <BR> <BR>par contre pour le -newreq, ça marche chez moi, mais ça ne crée pas le fichier indiqué dans la doc <BR> <BR>t'as pas oublié le -newreq avant le -sign ? si non, le -newreq fonctionne? il te crée quel fichier? <BR> <BR>_________________ <BR>Et ça moignonne.. <IMG SRC="images/smiles/icon_smile.gif"><BR><BR><font size=-2></font>
Et ça moignonne.. :)
Avatar de l’utilisateur
Moigno
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 20 Mai 2003 00:00
Localisation: Toulouse/Paris suivant l'humeur :)

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité