VPN avec Ipcop derriere routeur NAT ???

[pkaer]

Mon premier post n'a pas eu de succès, même auprès des pointures du Forum. Peut-être me suis-je mal expliqué. <BR> <BR>Je veux faire du VPN entre mon IPcop 1.3, situé derriere le routeur fourni par France Télécom et un pc portable sous win2k en RTC (des commerciaux nomades). <BR> <BR> Ipcop 1.3---------------routeur <!-- BBcode auto-mailto start --><a href="mailto:FT-------------@-------------Modem------Pc">FT-------------@-------------Modem------Pc</a><!-- BBCode auto-mailto end --> portable <BR>vert rouge vert rouge rouge vert <BR>192.168.1.x 10...2 10...1 81.52.xx.yy dyndns.org 192.168.2.x <BR> <BR>J'ai vu un mini-how-to- nat- vpn.pdf qui me donne la moitié de la solution, le problème est que je ne sais pas comment faire du coté PC Win2k ou XP-pro. <BR> <BR>Quelqu'un peu--il m'aider ? <BR> <BR>Merci d'avance <BR> <BR>PK <BR> <IMG SRC="images/smiles/icon_confused.gif">

[belugha]

Si ton premier post n'a pas eu de succes c'est que la solution est peut-être sur le forum ! <BR>

[pkaer]

Bonjour Belugha, <BR> <BR>D'abord merci d'avoir répondu. <BR> <BR>J'ai cherché un peu partout sur le forum sans rien trouver de bien significatif. <BR> <BR>Faire du VPN de Ipcop à Ipcop avec ou sans routeur pas de problème, j'ai trouvé tout ce qu'il fallait sur le forum et dans le mini-how-to-vpn-nat.pdf.<IMG SRC="images/smiles/icon_up.gif"> <BR> <BR>Faire du VPN de IPcop à win2K/XP-Pro (RTC) sans routeur pas de problème non plus.<IMG SRC="images/smiles/icon_up.gif"> <BR> <BR>Par contre faire du VPN de IPcop derrière un routeur France Télécom (1 seule @IP fixe) à win2k/XP en Rtc là j'ai un pb car je ne sais pas quoi mettre coté win2k. <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR>As tu déjà vu ce genre de configuration sur le Forum ? <BR> <BR>

[belugha]

Il faut te servir de la doc de config ss routeur et ca devrait fonctionner. <BR>As-tu essayé ? <BR>

[pkaer]

Oui bien sur j'ai essayé. <BR>Le problème est que par défaut IpCop fonctionne en PSK..... qui lui ne fonctionne pas lorque tu es derrière un routeur faisant du NAT. <BR>IRL dans son mini-how-to-vpn-nat explique quil faut alors utiliser le RSA avec les rsasigkey. Donc pas de problème coté IpCop. <BR>Par contre comment intégrer des rsasigkey coté windows ? <BR>Peut on utiliser le RSA ACE/client 5.5 de RSA Security ? <BR> <BR>

[belugha]

Dans ce cas tu peux te servir de ça: <BR><!-- BBCode auto-link start --><a href="http://www.laboratoire-microsoft.org/articles/network/ipsec" target="_blank">http://www.laboratoire-microsoft.org/articles/network/ipsec</a><!-- BBCode auto-link end --> <BR>

[pkaer]

Merci Belugha, <BR> <BR>Je vais lire cela tranquillement et voir ce que je peux en faire. <BR> <BR>En attendant je seche sur le problème suivant. <BR> <BR>j'ai un vpn entre un ipcop 1.3 et un pc Xp_pro. <BR>Je ping bien l'interface verte de l'ipcop (192.168.35.102) ainsi que mon serveur SME (192.168.35.101). <BR> <BR>Par contre pas moyen de faire un ftp 192.168.35.101 ou un <!-- BBCode auto-link start --><a href="http://192.168.35.101.(alors" target="_blank">http://192.168.35.101.(alors</a><!-- BBCode auto-link end --> que cela fonctionne sur mon lan) sur le serveur SME. <BR> <BR>Je précise que le proxy n'est pas en transparent sur IPcop. <BR> <BR>Peut-être qq a-t'il une idée ?

[shubnigourat]

Bonjour, <BR> <BR>Je bloque sur le meme probleme. <BR> <BR>Je veux faire du VPN entre un ipcop v1.2 derriere un routeur NAT et un PC winXp <BR> <BR>Le transfert des ports UDP 500 et protocoles 50 sur l interface red d ipcop a était fait. <BR>Ipcop a ete reconfiguré pour utiliser une authentification RSA au lieu de PKE <BR> <BR>La conf ipsec.conf et ipsec.secrets est OK sur ipcop. <BR> <BR>MAIS maintenant qu est que je mets dans le ipsec.conf du PC ? <BR> <BR>Je pensais a qq chose dans le genre mais ca m ettonerai que ca fontionne <BR> <BR>conn road <BR> left=81.80.167.xx <BR> compress=yes <BR> leftsubnet=10.0.0.0/24 <BR> leftnexthop=81.80.167.9 <BR> right=213.103.x.xx <BR> rightsubnet=213.103.x.xx/32 <BR> rightnexthop= <BR> auto=add <BR> authby=rsasig <BR> leftid=@sg1.yourdomain.com <BR> rightid=@sg2.yourdomain.com <BR>leftrsasigkey=0sAQNvJ9+JV2eGrmaooBORrby93dlMzOFI3/btKdJjbPcev6iq28F679XWcrct <BR>YpG9nlzr+0j4jFQdPgW7FovWyG53 <BR>rightrsasigkey=0sAQNhv0ckA81I3dS+ySaRrJwmCAqdra26g7UiTTA8xzdsTXf3yGvtL61S+xF <BR>5fxm5VVGemSkh1VdmlXSwSXVf8U23 <BR> <BR>En effet comment on integre le ipsec.secrets avec le RSA sous winXP ? <BR> <BR>Si il faut passer par la local security policy comment ca se passe ? <BR>Je vois vraiment pas comment configurer l equivalent du ipsec.secrets la dedans. <BR> <BR>

[shubnigourat]

Pour utiliser l authentification RSA la seule solution serait les certificats sous windows ? <BR>Si c est le cas ca me ramene a mon point de depart : <BR>Je n arrive pas a faire fonctionner les certif x509 sous windows. <BR> <BR>Message d erreur doté Ipcop <BR> <BR>Sep 18 01:50:51 firewall pluto[9821]: | *received 84 bytes from 213.103.4.44:500 on eth2 <BR>Sep 18 01:50:51 firewall pluto[9821]: | bb 8b 98 ac bb 99 29 c0 71 85 b9 51 55 e6 cc d7 <BR>Sep 18 01:50:51 firewall pluto[9821]: | 08 10 05 01 d6 80 61 42 00 00 00 54 69 d3 56 b1 <BR>Sep 18 01:50:51 firewall pluto[9821]: | 54 ce d9 59 3b 30 ee 3f 5d 64 c8 43 9d 9c f6 cd <BR>Sep 18 01:50:51 firewall pluto[9821]: | fe 4e a2 58 fd aa 14 e6 f7 10 1c db f3 3a 33 a1 <BR>Sep 18 01:50:51 firewall pluto[9821]: | a3 e7 73 6b a6 2c 2c b0 2f 90 1c f0 bb 80 f9 3f <BR>Sep 18 01:50:51 firewall pluto[9821]: | 2d 62 ca 95 <BR>Sep 18 01:50:51 firewall pluto[9821]: | **parse ISAKMP Message: <BR>Sep 18 01:50:51 firewall pluto[9821]: | initiator cookie: <BR>Sep 18 01:50:51 firewall pluto[9821]: | bb 8b 98 ac bb 99 29 c0 <BR>Sep 18 01:50:51 firewall pluto[9821]: | responder cookie: <BR>Sep 18 01:50:51 firewall pluto[9821]: | 71 85 b9 51 55 e6 cc d7 <BR>Sep 18 01:50:51 firewall pluto[9821]: | next payload type: ISAKMP_NEXT_HASH <BR>Sep 18 01:50:51 firewall pluto[9821]: | ISAKMP version: ISAKMP Version 1.0 <BR>Sep 18 01:50:51 firewall pluto[9821]: | exchange type: ISAKMP_XCHG_INFO <BR>Sep 18 01:50:51 firewall pluto[9821]: | flags: ISAKMP_FLAG_ENCRYPTION <BR>Sep 18 01:50:51 firewall pluto[9821]: | message ID: d6 80 61 42 <BR>Sep 18 01:50:51 firewall pluto[9821]: | length: 84 <BR>Sep 18 01:50:51 firewall pluto[9821]: | ICOOKIE: bb 8b 98 ac bb 99 29 c0 <BR>Sep 18 01:50:51 firewall pluto[9821]: | RCOOKIE: 71 85 b9 51 55 e6 cc d7 <BR>Sep 18 01:50:51 firewall pluto[9821]: | peer: d5 67 04 2c <BR>Sep 18 01:50:51 firewall pluto[9821]: | state hash entry 1 <BR>Sep 18 01:50:51 firewall pluto[9821]: | state object not found <BR>Sep 18 01:50:51 firewall pluto[9821]: packet from 213.103.XX.XX:500: Informational Exchange is for an unknown (expired?) SA <BR>Sep 18 01:50:51 firewall pluto[9821]: | next event EVENT_SHUNT_SCAN in 83 seconds <BR> <BR>Coté Winxp (log Oakley) : <BR> <BR>.. <BR>..... <BR>7-02: 09:56:00:772:2250 failed to get chain 80092004 <BR>7-02: 09:56:00:772:2250 ProcessFailure: sa:000F4808 centry:00000000 status:35ee <BR>7-02: 09:56:00:772:2250 isadb_set_status sa:000F4808 centry:00000000 status 35ee <BR>7-02: 09:56:00:788:2250 Mode d'échange de clés (Mode principal) <BR>7-02: 09:56:00:788:2250 Adresse IP source... <BR>7-02: 09:56:00:788:2250 Identité basé sur le certificat. Adresse IP homologue : 81.80.167.XX (IP fixe Passerelle Ipcop) <BR>7-02: 09:56:00:788:2250 Moi <BR>7-02: 09:56:00:788:2250 IKE n'a pas trouvé de certificat ordinateur valide <BR> <BR>