VPN entre 2 MNF au secours

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar taquetman1 » 10 Juil 2003 10:25

Bonjour j'ai commence la config et fini ca marche pas, donc j'ai plusieurs questions pour debuguer : <BR> <BR> <BR>Voila la config que j'ai faites sur le site de lyon : <BR> <BR>ajout du tunnel : <BR>1, ipsec, wan, et je pointe sur "sitetroyes".dyndns.org, vpn <BR> <BR>le serveur vpn : <BR>1, gauche, "nomcommun", mon ip publique, 192.0.0.0/24, et la j'ai mis 192.0.0.1 (je sais vraiment pas ce qu'il faut mettre ici) <BR> <BR>Ensuite j'ai rajouté un client VPN <BR>meme config pour le voté gauche que ci dessus, pour le cote droit : nomcommun, "sitetroyes".dyndns.org, 192.0.1.0/24 et pour les noeuds j mis a chaque fois l'adresse ip locale de ma passerelle. <BR> <BR>Voila mes questions : <BR> <BR>1) Faut il que je configure les clients VPN sur chaque mandrake ou uniquement sur le site de lyon. <BR> <BR>2) J'ai bien copié les certificats a leur place mais il n'apparaissent pas sur le site de troyes dans l'interface graphique (est ce normal) <BR> <BR>3) QUand je fais un ping au lieu d'avoir ping 192.0.0.1 from 192.0.1.1 j'ai ping 192.0.0.1 from pon adresse publique <BR>Il y a pas un probleme de masquage a faire?? <BR> <BR>J'ai essayer de regarder le post pour faire des vpn sous ipcop mais ca ne m'aide pas bcp. <BR> <BR>merci de vos reponses <BR>
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar taquetman1 » 10 Juil 2003 11:10

Est il plus facile de realiser des VPNS sous IPcop sous sous MNF??? <BR> <BR>Si jamais c plus facile priere de me le dire car je suis en train de telecharger IPCOP et je vais l'installer dans ce cas ?????
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar taquetman1 » 10 Juil 2003 13:57

J'ai reussi a avoir un fichier conf presque correct mon probleme est au lieu d'avoir <BR> <BR>config setup donnée dans une doc explicative correspondant a mon schéma <BR> <BR>interfaces=%defaultroute <BR>klipsdebug=none <BR>plutodebug=none <BR>plutoload=%search <BR>plutostart=%search <BR> <BR>conn %default <BR>keyingtries=0 <BR> <BR>conn site1-site2 <BR>left=ip publique <BR>leftsubnet=192.0.0.0/24 <BR>leftnexthop=ip publique et 1 a la fin <BR>right=%defaultroute <BR>rightsubnet=192.0.1.0/24 <BR>rightnexthop= <BR>auto=start <BR>authby=rsasig <BR> <BR>moi j'ai <BR> <BR>config setup <BR>interfaces=%defaultroute <BR>klipsdebug=none <BR>plutodebug=none <BR>plutoload=%search <BR>plutostart=%search <BR> <BR> <BR> <BR> <BR>conn %default <BR>pfs=yes <BR>keyingtries=1 ->>>>>> pkoi?? <BR>compress=yes <BR>left=ip publique <BR>leftsubnet=192.0.0.0/24 <BR>leftnexthop=ip publique et 1 a la fin <BR> <BR> <BR>conn "nomdusysteme"-"nom du domaine" (QUe faut il mettre dans nom de domaine <BR> <BR>right=%defaultroute <BR>rightsubnet=192.168.2.0/24 <BR>rightnexthop= <BR>auto=start <BR>authby=rsasig <BR> <BR>quelqu'un voit il pkoi je n'ai pas le bon ipsec.conf
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar taquetman1 » 10 Juil 2003 14:02

Y a t'il d'autres regles de frirewall a mettre a part definition des zones <BR> <BR>vpn-> all accept <BR> <BR>all-> vpn accept
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar taquetman1 » 10 Juil 2003 15:47

J'adore parler tout seul mais la je vais pas tarder a craquer, s'il vous plait un peu d'aide <BR>
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar taquetman1 » 10 Juil 2003 15:57

cote left: mnf CA IP Fixe sur WAN + IP passerelle1 192.0.0.140 <BR>cote right: mnf cliente IP dynamique ÎP passerelle2 192.0.1.140 <BR> <BR>rubrique VPN/serveur <BR> <BR>mnf CA: <BR>1 ! left ! nomdedomaine! IP fixe sur WAN ! X.X.X.X/24 ! IP passerelle1 ! x509 <BR>2 ! right ! nom2.domaine2.fr ! ip dynamique wan ! W.W.W.W/24 ! IP passerelle2 ! x509 <BR> <BR>mnf distante: <BR>1 ! right ! nom2.domaine2.fr ! IP dynamique wan ! W.W.W.W/24 ! IP passerelle 2! x509 <BR>2 ! left ! nom1.domaine1.fr ! IP fixe sur WAN ! IP passerelle 1 ! x509 <BR> <BR>Pour les 2 cotés rubrique "tunnels" <BR>1 ! ipsec ! 0.0.0.0/0 ! vpn <BR> <BR>VOila ce que j'ai fais quelqu'un voit il une erreur!!!!
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar mfernandez » 10 Juil 2003 16:02

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-07-10 15:47, taquetman1 a écrit: <BR>J'adore parler tout seul mais la je vais pas tarder a craquer, s'il vous plait un peu d'aide <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Salut <BR>je vais essayer de t'aider, il que tu rajoute des exections dans le firewall, tu peux sauf tu la, telecharger la doc de la mnf chez mandrake. <BR> <BR>Courage nous avons mis un mois passe a comprendre et mettre en place deux vpn, au bout du compte c'est assez simple, garde cour age <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar taquetman1 » 10 Juil 2003 16:11

je l'ai la doc mais il y a pas d'exceptions a propos des vpns <BR> <BR>tu peux me dire la config que tu a mis en place que je compare avec la mienne <BR><BR><BR><font size=-2></font>
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar mfernandez » 10 Juil 2003 16:23

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-07-10 16:11, taquetman1 a écrit: <BR>je l'ai la doc mais il y a pas d'exceptions a propos des vpns <BR> <BR>tu peux me dire la config que tu a mis en place que je compare avec la mienne <BR> <BR> <BR><font size=-2></font> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Salut <BR>Pour l'instant je ne suis pas chez moi <BR>A partir de 20h je pourrai te donner des info, par contre quand tu tape la comande tail /var/log/auth.log ca repond quoi?
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar taquetman1 » 10 Juil 2003 16:32

ca repond plein d'erreurs par contre il trouvre pas un certificat pgpcert.pgp ?? <BR> <BR>Il y a plein d'autres erreurs
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar mfernandez » 10 Juil 2003 16:43

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-07-10 16:32, taquetman1 a écrit: <BR>ca repond plein d'erreurs par contre il trouvre pas un certificat pgpcert.pgp ?? <BR> <BR>Il y a plein d'autres erreurs <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>De memoire c'etait pareil pour le pgp, bon je regarderai ce soir. <BR> <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar taquetman1 » 10 Juil 2003 16:54

ok a mon avis je serais encore la ce soir merci a tout please ne m'oublie pas
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar mfernandez » 10 Juil 2003 21:12

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-07-10 16:54, taquetman1 a écrit: <BR>ok a mon avis je serais encore la ce soir merci a tout please ne m'oublie pas <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>bonsoir <BR>tout d'abort je ne configure la mnf quand http. <BR> <BR>Zone configuration du firewall <BR> -declarer ta zone vpn <BR> -associer une interface au vpn <BR> -traduction d'adresse reseau->masquage classic (ex:192.168.0.0/24) <BR> -regles par defaut "vpn->all REJECT - all->vpn REJECT" <BR> -ajoute un tunnel <BR> <BR>Zone vpn <BR> -cree ton CA autosigne <BR> -serveur tu cres tes deux serveurs (respecte bien le faite de les enregistre et de les valide en appliquant. tu n' as pas de client a cree. <BR> -tu dois copier tous les fichiers qui en ete cree ( x509, les fichiers .crt du local et du distant ainsi que le fichier .key) du serveur CA vers le serveur distan, il ne doit y avoir qu'un seul serveur CA. <BR> <BR>Retour dans la Zone du firewall <BR> -exeption <BR> ACCEPT fw->wan udp 53 <BR> ACCEPT lan->fw udp 53 <BR> ACCEPT lan->vpn icmp 8 pour pinguer une machine du reseau 1 vers une machine du reseau 2 <BR> Apres tu peux autorise les services que tu veux. <BR> Je me repose un peu lit deja et tu me diras apres <BR>A+ <BR> <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Messagepar taquetman1 » 11 Juil 2003 08:49

Voila mes defauts que je n'avais pas fait: <BR> <BR>Pas de masquage classique je m'en doutais donc maintenant j'ai 2 masquage classique un pour ppp+ et l'autre sur ipsec0. c'est bon?? <BR> <BR>Je n'avais pas autorise le icmp8 par contre j'ai autorise lan -> VPN accept et Vpn -> lan accept donc je suis pas tres securise mais pour l'instant ca ira. les deux premieres regles sont par defaut donc c'est bon. <BR> <BR> <BR>Pour les certificats, j'ai tout copié sauf le x509 ou se trouve t'il???? <BR> <BR>merci
Nico
Avatar de l’utilisateur
taquetman1
Major
Major
 
Messages: 98
Inscrit le: 11 Juin 2003 00:00
Localisation: LYON

Messagepar mfernandez » 11 Juil 2003 11:58

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-07-11 08:49, taquetman1 a écrit: <BR>Voila mes defauts que je n'avais pas fait: <BR> <BR>Pas de masquage classique je m'en doutais donc maintenant j'ai 2 masquage classique un pour ppp+ et l'autre sur ipsec0. c'est bon?? <BR> <BR>Je n'avais pas autorise le icmp8 par contre j'ai autorise lan -> VPN accept et Vpn -> lan accept donc je suis pas tres securise mais pour l'instant ca ira. les deux premieres regles sont par defaut donc c'est bon. <BR> <BR> <BR>Pour les certificats, j'ai tout copié sauf le x509 ou se trouve t'il???? <BR> <BR>merci <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>ton masquage classique seulement sur le ppp. <BR>le x509 se trouce dans /etc/freeswan/ de memoire. <BR>a+ <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
mfernandez
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 06 Mars 2003 01:00
Localisation: gagny

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité