roadwarrior... je seche :(

par **kinkey** » 29 Juil 2003 16:13

salut, bon j'suis largué pour la mise en place d'un vpn avec ipcop 1.3 et des roadwarrior XP pro ou 2000 sp3. j'ai suivi le howto qui va bien, mais meme la ca marche pas. shema de mon reseau : reseau A : 192.168.5.0/24 contient ipcop et tout le reste du lan reseau B : 192.168.6.0/24 contient les roadwarrior avant la mise en production je simule internet par hub. reseau B ------- HUB --------- reseau A maintenant mes fichiers de config : cote ipcop :

Code: Tout sélectionner:  ipsec.conf ----------- conn warrior compress=no left=192.168.6.254 leftsubnet=192.168.5.0/24 leftnexthop=%defaultroute type=tunnel pfs=yes right=%any rightsubnet= rightnexthop=%defaultroute auto=add ----------- ipsec.secret -------------- 192.168.6.254 0.0.0.0 : PSK "abcdef" 192.168.6.254 %any : PSK "abcdef" --------------

Maintenant cote Xp pro SP1

Code: Tout sélectionner:  ipsec.conf ----------- conn warrior left=192.168.6.254 leftsubnet=192.168.5.0/24 right=%any presharedkey=abcdef network=auto auto=start pfs=yes ------------

Voila pour la config maintenant le resultat : quand je lance ipsec cote xp, ca me renvoie pas de message d'erreur, au contraire cote ipcop pas de message d'erreur aussi <IMG SRC="images/smiles/icon_frown.gif"> extrait du dernier du fichier secure apres un redemarrage d'ipsec (ipsec setup restart)

Code: Tout sélectionner: Jul 29 14:36:43 svfirw ipsec__plutorun: Starting Pluto subsystem... Jul 29 14:36:43 svfirw pluto[6839]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) Jul 29 14:36:43 svfirw pluto[6839]: including X.509 patch (Version 0.9.15) Jul 29 14:36:43 svfirw pluto[6839]: including NAT-Traversal patch (Version 0.5a) [disabled] Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) Jul 29 14:36:43 svfirw pluto[6839]: Changing to directory '/etc/ipsec.d/cacerts' Jul 29 14:36:43 svfirw pluto[6839]: Warning: empty directory Jul 29 14:36:43 svfirw pluto[6839]: Changing to directory '/etc/ipsec.d/crls' Jul 29 14:36:43 svfirw pluto[6839]: Warning: empty directory Jul 29 14:36:43 svfirw pluto[6839]: could not open my default X.509 cert file '/etc/x509cert.der' Jul 29 14:36:43 svfirw pluto[6839]: OpenPGP certificate file '/etc/pgpcert.pgp' not found Jul 29 14:36:43 svfirw pluto[6839]: | from whack: got --esp=3des Jul 29 14:36:43 svfirw pluto[6839]: | from whack: got --ike=3des Jul 29 14:36:43 svfirw pluto[6839]: added connection description "roadwarrior" Jul 29 14:36:43 svfirw pluto[6839]: listening for IKE messages Jul 29 14:36:43 svfirw pluto[6839]: adding interface ipsec0/eth0 192.168.5.254 Jul 29 14:36:43 svfirw pluto[6839]: loading secrets from "/etc/ipsec.secrets"

j'continu dans le bizzard quand je fais un ping sur 192.168.5.254 a partir d'xp alors que je n'est pas lance ipsec, il me repond : negociation securite ip et si je fais la meme manip ca ping normalement, mais je ne peux pas ping 192.168.5.254 (hote introuvable)... j'ai le choix ou je me tire une balle ou je saute par le fenetre <IMG SRC="images/smiles/icon_smile.gif">

par **kinkey** » 29 Juil 2003 17:00

bon pour l'histoire de la negociation de la securite sur le ping, c'etait moi qui avait une erreur dans un fichier, mais ce que j'ai mis dans mon message est juste... mais ca marche toujours pas <IMG SRC="images/smiles/icon_frown.gif">

par **kinkey** » 30 Juil 2003 10:36

au secours... j'ai bo essayer tout les solutions ca marche toujours pas et j'ai toujours rien dans le log <IMG SRC="images/smiles/icon_frown.gif"> sur mon xp j'ai fait : route add 192.168.5.0 255.255.255.0 192.168.6.254 metric 50 si je le lance pas ipsec ca ping sans sous soucis les 2 interfaces (.6.254 / .5.254) au contraire si je lance ipsec pour la .5.254 ca me dit : negociation de la securite ip J'ai essaye la methode decrite ici : <a href="http://www.jacco2.dds.nl/networking/freeswan-l2tp.html" target="_blank">http://www.jacco2.dds.nl/networking/freeswan-l2tp.html</a> c idem, ca marche pas, de temps en temps j'arrive a avoir une erreur 789 mais meme en lisant la faq sur le site ca regle pas mon soucis <IMG SRC="images/smiles/icon_frown.gif">

par **Gesp** » 30 Juil 2003 10:50

Tu as regardé dans le forum parce qu'il y a plein de sujet traitant des VPN. Et bellugha a l'air d'avoir déserté son écran et ne peut te fournir une réponse particulière.

par **belugha** » 30 Juil 2003 10:51

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-07-29 16:13, kinkey a écrit: shema de mon reseau : reseau A : 192.168.5.0/24 contient ipcop et tout le reste du lan reseau B : 192.168.6.0/24 contient les roadwarrior maintenant mes fichiers de config : cote ipcop : ipsec.conf ----------- conn warrior compress=no left=192.168.6.254 leftsubnet=192.168.5.0/24 leftnexthop=%defaultroute type=tunnel pfs=yes right=%any rightsubnet= rightnexthop=%defaultroute auto=add ----------- ipsec.secret -------------- ipfixe 0.0.0.0 : PSK "abcdef" -------------- [/CODE] Maintenant cote Xp pro SP1 [CODE] ipsec.conf ----------- conn warrior left=192.168.6.254 leftsubnet=192.168.5.0/24 right=%any presharedkey=abcdef network=auto auto=start pfs=yes ------------ </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je mettrais du coté Ipcop conn VPN left= ipfix du coté Ipcop ou site dns compress=no leftsubnet= 192.168.5.0/24 leftnexthop=%defaultroute right=%any rightsubnet=192.168.6.0/24 rightnexthop=%defaultroute auto=start Maintenant coté XP conn VPN left= ipfix du coté Ipcop ou site dns compress=no leftsubnet= 192.168.6.0/24 leftnexthop=%defaultroute right=%any rightsubnet=192.168.5.0/24 rightnexthop=%defaultroute presharedkey=abcd network=auto auto=start Ensuite a partir du ssh de Ipcop, tu lance un ipsec setup --restart Et sur le XP tu lance ipsec puis tu fais un ping . <IMG SRC="images/smiles/icon_smile.gif">

par **kinkey** » 30 Juil 2003 11:38

hehe cool y a un mieux maintenant j'arrive a ping la 192.168.5.254 (verte), au contraire je passe pas un ping sur une autre machine du reso 192.168.5.0, je pense que ca doit etre bloque par defaut au niveau de iptables, mais bon a la limite ce pas plus mal, il me reste plus k forward quelque port pour finir les tests. autre truc, je sais pas si c important mais je n'ai aucune trace d'activite dans le /var/log/secure, sauf quand je relance ipsec, mais rien au moment d'une connexion, c pas tres pratique pour suivre ce qui se passe sur la machine. et encore un truc, quand je fais "ipsec setup stop" et ensuite "ipsec setup start" il me dit : "no default route, %defaultroute cannot cope !!!" merci.

par **kinkey** » 31 Juil 2003 11:26

bon en fait c'est moi qui m'etais trompe dans le masque de sous reseau d'xp il etait en 255.0.0.0 dc meme sans le vpn d'active ca marche (?) merci l'ing qui m'impose ce masque a la con. j'ai regarde du cote iptables, comme c les valeurs par defaut je pense pas que cela vienne de la ?

par **kinkey** » 31 Juil 2003 15:26

bon ba comme je trouve pas la solution j'avais essaye avec MNF <IMG SRC="images/smiles/icon_frown.gif">

roadwarrior... je seche :(

Qui est en ligne ?