oscour MNF / VPN / Windows XP avec NAT

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar Doc » 02 Juil 2003 12:11

bon, ben... OSCOUR! <BR> <BR>J'ai mis en place un MNF : ip publique + DMZ (192.168.10.0/24) + Lan (192.168.1.0/24 en NAT). <BR>Tout roule jusque là. <BR> <BR>Par contre le VPN: <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>J'ai suivi d'abord la doc MNF, puis j'ai recommencé avec les indications d'Eric Faure (merci à lui!). Mais rien à faire... <BR> <BR>J'essaye de me connecter depuis un poste Windows XP (192.168.0.21) qui est derrière un firewall qui NAT ma connexion (ip publique / 192.168.0.254). <BR>La génération des certificats s'est bien passée, et ils ont l'air bien installé (?) <BR> <BR>Mes fichiers de conf sont: <BR> <BR>(MNF) <BR>## /etc/ipsec.conf - FreeS/WAN IPsec configuration file <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> keyingtries=1 <BR> compress=yes <BR> disablearrivalcheck=no <BR> authby=rsasig <BR> leftrsasigkey=%cert <BR> rightrsasigkey=%cert <BR> <BR>conn francois-net <BR> leftsubnet=192.168.1.0/24 <BR> also=francois <BR> <BR>conn francois <BR> left=%defaultroute <BR> right=%any <BR> rightsubnet=0/0 <BR> leftcert=firewall.pem <BR> auto=add <BR> pfs=yes <BR> <BR> <BR># LAST LINE -- EOF <BR> <BR>(Windows XP) <BR>conn resosec <BR> left=%any <BR> right=xxx.xxx.xxx.xxx (ip publique MNF) <BR> rightca="E = <!-- BBcode auto-mailto start --><a href="mailto:informatique@xxx">informatique@xxx</a><!-- BBCode auto-mailto end --> <BR>, CN = firewall, <BR>OU = Service Informatique, <BR>O = Assoc, <BR>L = PARIS, <BR>S = Ile de France, <BR>C = FR" <BR> network=lan <BR> auto=start <BR> pfs=yes <BR> <BR>conn resosec-net <BR> left=%any <BR> leftsubnet=* <BR> right=xxx.xxx.xxx.xxx (ip publique MNF) <BR> rightsubnet=192.168.1.0/24 <BR> rightca="E = <!-- BBcode auto-mailto start --><a href="mailto:informatique@xxx">informatique@xxx</a><!-- BBCode auto-mailto end --> <BR>, CN = firewall, <BR>OU = Service Informatique, <BR>O = Assoc, <BR>L = PARIS, <BR>S = Ile de France, <BR>C = FR" <BR> network=lan <BR> auto=start <BR> pfs=yes <BR> <BR> <BR>Lorsque je tente d'établir la connexion, le log MNF indique: <BR>"...encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA..." <BR> <BR>Le log XP indique: <BR> 7-02: 09:56:00:600:2250 ISAKMP Header: (V1.0), len = 184 <BR> 7-02: 09:56:00:600:2250 I-COOKIE 1c91d7624fe668f9 <BR> 7-02: 09:56:00:600:2250 R-COOKIE 7ade5cfbe9c86791 <BR> 7-02: 09:56:00:600:2250 exchange: Oakley Main Mode <BR> 7-02: 09:56:00:600:2250 flags: 0 <BR> 7-02: 09:56:00:600:2250 next payload: KE <BR> 7-02: 09:56:00:600:2250 message ID: 00000000 <BR> 7-02: 09:56:00:600:2250 Ports S:f401 D:f401 <BR> 7-02: 09:56:00:757:2250 <BR> 7-02: 09:56:00:757:2250 Receive: (get) SA = 0x000f4808 from xxx.xxx.xxx.xxx (ip MNF) <BR> 7-02: 09:56:00:757:2250 ISAKMP Header: (V1.0), len = 188 <BR> 7-02: 09:56:00:757:2250 I-COOKIE 1c91d7624fe668f9 <BR> 7-02: 09:56:00:757:2250 R-COOKIE 7ade5cfbe9c86791 <BR> 7-02: 09:56:00:757:2250 exchange: Oakley Main Mode <BR> 7-02: 09:56:00:757:2250 flags: 0 <BR> 7-02: 09:56:00:757:2250 next payload: KE <BR> 7-02: 09:56:00:757:2250 message ID: 00000000 <BR> 7-02: 09:56:00:757:2250 processing payload KE <BR> 7-02: 09:56:00:772:2250 processing payload NONCE <BR> 7-02: 09:56:00:772:2250 processing payload CRP <BR> 7-02: 09:56:00:772:2250 ClearFragList <BR> 7-02: 09:56:00:772:2250 constructing ISAKMP Header <BR> 7-02: 09:56:00:772:2250 constructing ID <BR> 7-02: 09:56:00:772:2250 Received no valid CRPs. Using all configured <BR> 7-02: 09:56:00:772:2250 Looking for IPSec only cert <BR> 7-02: 09:56:00:772:2250 failed to get chain 80092004 <BR> 7-02: 09:56:00:772:2250 Looking for any cert <BR> 7-02: 09:56:00:772:2250 failed to get chain 80092004 <BR> 7-02: 09:56:00:772:2250 ProcessFailure: sa:000F4808 centry:00000000 status:35ee <BR> 7-02: 09:56:00:772:2250 isadb_set_status sa:000F4808 centry:00000000 status 35ee <BR> 7-02: 09:56:00:788:2250 Mode d'échange de clés (Mode principal) <BR> 7-02: 09:56:00:788:2250 Adresse IP source... <BR> 7-02: 09:56:00:788:2250 Identité basé sur le certificat. Adresse IP homologue : xxx.xxx.xxx.xxx (ip MNF) <BR> 7-02: 09:56:00:788:2250 Moi <BR> 7-02: 09:56:00:788:2250 IKE n'a pas trouvé de certificat ordinateur valide <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_razz.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR>Bon, je vois bien qu'il y a un pb de certificat... et pourtant la génération des certificats et l'import sous XP s'est bien passé... <BR>Ca ne serait pas un pb de ipsec.conf (NAT ??) <BR> <BR>OSCOUR! <BR>Quelqu'un a une idée? <BR> <BR>Merci de votre aide...
Petit mais gentil...
Avatar de l’utilisateur
Doc
Matelot
Matelot
 
Messages: 5
Inscrit le: 02 Juil 2003 00:00

Messagepar belugha » 02 Juil 2003 12:54

As-tu été voir le How TO VPNNAT: <BR><!-- BBCode auto-link start --><a href="http://www.ixus.net/pdf/mini-howto-vpnnat.pdf" target="_blank">http://www.ixus.net/pdf/mini-howto-vpnnat.pdf</a><!-- BBCode auto-link end --> <BR> <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Doc » 02 Juil 2003 15:44

Oui, merci j'ai lu le doc et refait la conf... mais rien à faire. <BR> <BR>J'avoue être un peu <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Bon. Je continue à cherher. <BR>Si quelqu'un à une piste en attendant. <BR> <BR>Si je trouve je posterai un Howto pour cette conf spécifique (MNF / VPN avec client XP naté)... <BR> <BR>Comme tu le suggère, je vais donc essayer et essayer encore ... (enespérant ne pas rebondir contre le mur trop longtemps!) <IMG SRC="images/smiles/icon_lol.gif">
Petit mais gentil...
Avatar de l’utilisateur
Doc
Matelot
Matelot
 
Messages: 5
Inscrit le: 02 Juil 2003 00:00

Messagepar belugha » 02 Juil 2003 15:50

J'ai peut-être encore une piste: <BR><!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=4551" target="_blank">http://forums.ixus.net/viewtopic.php?t=4551</a><!-- BBCode auto-link end --> <BR> <BR>Et surtout ne te decourage pas <IMG SRC="images/smiles/icon_bise.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Doc » 02 Juil 2003 17:52

OUUUUUUIIIIII! <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_razz.gif"> <IMG SRC="images/smiles/icon_up.gif"> <BR> <BR>Merci! <BR> <BR>En fait le dernier lien m'a aidé à comprendre pourquoi mon certificat n'était pas avallé par Windows XP. <BR> <BR>Voici le bon fichier ipsec.conf sur XP: <BR> <BR>conn francois <BR> right=%any <BR> rightsubnet=192.168.0/24 <BR> left=xxx.xxx.xxx.xxx (IP publique MNF) <BR> leftsubnet=192.168.10.0/24 <BR> leftca="C=FR, S=Ile de France, L=PARIS, O=Assoc, OU=Service Informatique, CN=firewall, E=informatique@xxx" <BR> network=lan <BR> auto=start <BR> pfs=yes <BR> <BR>(pas besoin de "conn francois-net...") <BR> <BR>Le fichier ipsec.conf du MNF est: <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> keyingtries=1 <BR> compress=yes <BR> disablearrivalcheck=no <BR> authby=rsasig <BR> leftrsasigkey=%cert <BR> rightrsasigkey=%cert <BR> <BR>conn francois <BR> left=%defaultroute <BR> leftsubnet=192.168.10.0/24 <BR> right=%any <BR> rightsubnet=192.168.0.0/24 <BR> auto=add <BR> leftcert=firewall.pem <BR> rightcert=francois.pem <BR> pfs=yes <BR> <BR># LAST LINE -- EOF <BR> <BR>L'astuce pour que cela marche dans tous les cas (NAT ou pas NAT) est de bien préciser le "leftcert" et le "rightcert" pour la connexion du MNF, et sur Windows XP, il faut respecter impérativement l'ordre DSN (C=FR, S=Ile de France, L=PARIS...). <BR>Il se trouve que je n'avais ni précisé le rightcert dans le fichier de conf MNF, et que j'avais inversé l'ordre DSN (E=informatique@xxx, CN=...) <BR> <BR>Ca marche super! <BR> <BR>Merci belugha <IMG SRC="images/smiles/icon_bise.gif"> , <IMG SRC="images/smiles/icon_bise.gif"> , et re <IMG SRC="images/smiles/icon_bise.gif"> ! <BR> <BR>(Ca intéresse quelqu'un que je fasse un doc propre pour expliquer plus en détail les pb de certificats avec Windows XP et MNF ?)
Petit mais gentil...
Avatar de l’utilisateur
Doc
Matelot
Matelot
 
Messages: 5
Inscrit le: 02 Juil 2003 00:00

Messagepar pvaussen » 02 Juil 2003 19:42

Bonjour, <BR> <BR>je suis interessé pour avoir votre documentation (si vous l'avez fait) car je suis également allé sur les sites en anglais et j'ai parfois du mal à tout saisir. <BR> <BR>mon email : <!-- BBcode auto-mailto start --><a href="mailto:pascal.vaussenat@fnac.net">pascal.vaussenat@fnac.net</a><!-- BBCode auto-mailto end --> <BR> <BR>Merci beaucoup.
Avatar de l’utilisateur
pvaussen
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Mars 2003 01:00
Localisation: Québec

Messagepar belugha » 03 Juil 2003 08:18

De rien Doc <IMG SRC="images/smiles/icon_smile.gif"> <BR>En ce qui concerne ta doc tu peux toujours essayé de la proposer sur le site d'ixus. <BR> <BR>Bon courage et ravie d'avoir pu t'aider <IMG SRC="images/smiles/icon_smile.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar bisol » 03 Juil 2003 08:22

Je suis également intéressé par ta doc.. <BR> <BR>Merci
Avatar de l’utilisateur
bisol
Contre-Amiral
Contre-Amiral
 
Messages: 437
Inscrit le: 05 Juin 2002 00:00
Localisation: Suisse

Messagepar bruno » 03 Juil 2003 08:24

Oui, je viens de proposer à Doc, si il veut de la mettre en ligne en HTML et PDF. <BR>Ca permettrait à tout le monde d'y faire référence ...
Ixus, it's us !
Avatar de l’utilisateur
bruno
AdminIxus
AdminIxus
 
Messages: 1667
Inscrit le: 23 Mai 2001 00:00
Localisation: Sous le soleil de Nice

Messagepar Doc » 03 Juil 2003 09:17

Ok. Je vais essayer de faire un document aussi propre que celui d'Eric Faure (mais complémentaire). <BR> <BR>Je le rédige et dès qu'il est prêt je te fais signe pour que tu puisses en disposer. <BR> <BR>A+ <BR> <IMG SRC="images/smiles/icon_smile.gif">
Petit mais gentil...
Avatar de l’utilisateur
Doc
Matelot
Matelot
 
Messages: 5
Inscrit le: 02 Juil 2003 00:00

Messagepar Doc » 07 Juil 2003 09:39

Salut à tous. <BR> <BR>Le document est fin prêt. <BR>Je le transmets à Bruno pour qu'il le mette à dispo. <BR> <BR>C'est en fait le document original d'Eric Faure (v1.02) auquel j'ai apporté 1 ou 2 corrections et ajouté notamment l'exemple du poste Windows derrière un firewall faisant du NAT (document repris et modifié avec, bien sur, l'autorisation d'Eric Faure). <BR> <BR>Il s'agit donc du fichier vpn1-04.pdf. <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">
Petit mais gentil...
Avatar de l’utilisateur
Doc
Matelot
Matelot
 
Messages: 5
Inscrit le: 02 Juil 2003 00:00

Messagepar Guepi » 10 Sep 2003 17:30

Doc ou Bruno <BR> <BR>Je n'ai pas trouvé la dite documentation : As t'elle été mise sur le serveur ixus ? <BR> <BR>Merci de vos réponses.
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar shubnigourat » 18 Sep 2003 12:39

La doc "vpn1-04.pdf" est elle disponible ? <BR> <BR>Je ne suis pas sous MNF mais Ipcop v1.2 et j ai exactement les memes problemes. <BR>Je teste une conf Ipcop---routeurNAT---Internet---ModemADSL--WinXP <BR>La conf ipsec sur la passerelle Ipcop a l air correcte. Les certifs se chargent bien. <BR>Mais un message du type <BR> <BR>Informational Exchange is for an unknown (expired?) SA <BR> <BR>Sous windows un message de certif non valide <BR> <BR>
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar Guepi » 18 Sep 2003 15:35

Ton problème ne serait-il pas à l'insertion d'un certificat pour ton Windows XP ? <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Mais sous IpCop et Windows XP, ce ne sont pas des Pre Shared Key ( PSK ) ? <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar shubnigourat » 18 Sep 2003 17:07

Pas de probleme a l importation des certificats sous winxp <BR>De meme sur la passerelle VPN Ipcop. Les certifs sont correctements chargés par ipsec. <BR> <BR>J emploie des certif x509 pour la bonne raison que le PSK ne passe pas le NAT <BR>Il faut employer RSA d apres le How-to "VPN derriere un routeur NAT", une doc dispo a la section Ipcop. <BR> <BR>Pas de souci pour la conf de freeswan de Ipcop mais coté winXP, RSA veut dire certificat apparemment. Si quelqu un a un moyen de configurer Windows pour du RSA sans passer par les certifs je suis preneur. <BR> <BR>Mon post sur le forum ipcop avec la conf detailé de mon system, les logs ipsec et Oakley : <BR> <BR><!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=6640&5" target="_blank">http://forums.ixus.net/viewtopic.php?t=6640&5</a><!-- BBCode auto-link end --> <BR> <BR> <BR>
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron