vpn et roadwarrior... c la mort :)

par **kinkey** » 26 Août 2003 10:57

salut ------------------------------------- recap de la config : ipcop - eth0 (GREEN) : 192.168.5.254/255.255.255.0 : par vers un HUB ou je suis seul dessus. - eth1 (RED) : 192.168.6.254/255.255.255.0 roadwarrior xp pro sp1 ip : 192.168.6.200/255.255.255.0 je suis hors reseau, l'xp est connecte direct sur ipcop par un cable croise sur le RED ------------------------------------- bon la je craque. j'ai suivi a la lettre le post ici <a href="http://forums.ixus.net/viewtopic.php?t=3913&14" target="_blank">http://forums.ixus.net/viewtopic.php?t=3913&14</a> --- ipsec.conf ipcop --- config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search conn %default keyingtries=0 conn clientwin left=192.168.6.254 compress=no leftsubnet=192.168.6.0/24 leftnexthop=%defaultroute type=tunnel authby=secret pfs=yes right=%any rightnexthop=%defaultroute auto=add --- ipsec.conf ipcop --- --- ipsec.secrets ipcop --- 192.168.6.254 %any : PSK "abcdef" 192.168.6.254 0.0.0.0 : PSK "abcdef" --- ipsec.secrets ipcop --- --- extrait de mon /var/log/messages apres un redemarrage du VPN --- Aug 26 10:44:12 svfirw ipsec_setup: Stopping FreeS/WAN IPsec... Aug 26 10:44:13 svfirw kernel: IPSEC EVENT: KLIPS device ipsec0 shut down. Aug 26 10:44:13 svfirw kernel: klips_info:pfkey_cleanup: shutting down PF_KEY domain sockets. Aug 26 10:44:13 svfirw kernel: klips_info:cleanup_module: ipsec module unloaded. Aug 26 10:44:14 svfirw ipsec_setup: ...FreeS/WAN IPsec stopped Aug 26 10:44:14 svfirw ipsec_setup: Starting FreeS/WAN IPsec super-freeswan-1.99_kb2c... Aug 26 10:44:14 svfirw ipsec_setup: Using /lib/modules/2.4.21/kernel/net/ipsec/ipsec.o Aug 26 10:44:14 svfirw kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: super-freeswan-1.99_kb2c Aug 26 10:44:14 svfirw kernel: klips_info:ipsec_alg_init: KLIPS alg v=0.7.3-1 (EALG_MAX=255, AALG_MAX=15) Aug 26 10:44:14 svfirw kernel: klips_info:ipsec_alg_init: calling ipsec_alg_static_init() Aug 26 10:44:14 svfirw ipsec_setup: KLIPS debug `none' Aug 26 10:44:14 svfirw ipsec_setup: KLIPS ipsec0 on eth0 192.168.5.254/255.255.255.0 broadcast 192.168.5.255 Aug 26 10:44:14 svfirw ipsec_setup: ...FreeS/WAN IPsec started --- extrait de mon /var/log/messages apres un redemarrage du VPN --- deja premiere chose bizarre il me monte ipsec0 sur eth0 qui est mon interface GREEN. je precise aussi que j'ai ete oblige de parametre la passerelle et les dns sur ipcop : passerelle : 192.168.5.254 j'ai essaye de mettre 192.168.6.254 mais apres plus moyen de me connecter sur ipcop en ssh ou en http. les dns sont ceux de wanadoo. --- extrait de /var/log/secure apres un redemarrage du vpn --- Aug 26 10:44:12 svfirw pluto[1006]: shutting down Aug 26 10:44:12 svfirw pluto[1006]: forgetting secrets Aug 26 10:44:12 svfirw pluto[1006]: "clientwin": deleting connection Aug 26 10:44:12 svfirw pluto[1006]: shutting down interface ipsec0/eth0 192.168.5.254 Aug 26 10:44:14 svfirw ipsec__plutorun: Starting Pluto subsystem... Aug 26 10:44:14 svfirw pluto[1342]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) Aug 26 10:44:14 svfirw pluto[1342]: including X.509 patch (Version 0.9.15) Aug 26 10:44:14 svfirw pluto[1342]: including NAT-Traversal patch (Version 0.5a) [disabled] Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) Aug 26 10:44:14 svfirw pluto[1342]: Changing to directory '/etc/ipsec.d/cacerts' Aug 26 10:44:14 svfirw pluto[1342]: Warning: empty directory Aug 26 10:44:14 svfirw pluto[1342]: Changing to directory '/etc/ipsec.d/crls' Aug 26 10:44:14 svfirw pluto[1342]: Warning: empty directory Aug 26 10:44:14 svfirw pluto[1342]: could not open my default X.509 cert file '/etc/x509cert.der' Aug 26 10:44:14 svfirw pluto[1342]: OpenPGP certificate file '/etc/pgpcert.pgp' not found Aug 26 10:44:15 svfirw pluto[1342]: | from whack: got --esp=3des Aug 26 10:44:15 svfirw pluto[1342]: | from whack: got --ike=3des Aug 26 10:44:15 svfirw pluto[1342]: added connection description "clientwin" Aug 26 10:44:15 svfirw pluto[1342]: listening for IKE messages Aug 26 10:44:15 svfirw pluto[1342]: adding interface ipsec0/eth0 192.168.5.254 Aug 26 10:44:15 svfirw pluto[1342]: loading secrets from "/etc/ipsec.secrets" --- extrait de /var/log/secure apres un redemarrage du vpn --- maintenant cote XP alors la c le fin du fin <IMG SRC="images/smiles/icon_boxe2.gif"> --- ipsec.conf XP --- conn clientwin left=192.168.6.254 leftsubnet=192.168.6.0/24 right=%any presharedkey=abcdef network=auto auto=start pfs=yes --- ipsec.conf XP --- quand je lance ipsec.exe j'ai le message suivants : C:Program FilesSupport Tools>ipsec IPSec Version 2.2.0 (c) 2001-2003 M... Getting running Config ... Microsoft's Windows XP identified Setting up IPSec ... Deactivating old policy... Removing old policy... Connection clientwin : Could not identify my own Interface bien sur histoire de compliquer la chose pas de trace de quoi que ce sois dans les log <IMG SRC="images/smiles/icon_frown.gif"> si par hasard quelqu'un avait le courage de ce pancher sur le prb, sa serait cool <IMG SRC="images/smiles/icon_help.gif">

par **kinkey** » 27 Août 2003 09:50

personne ?

par **kinkey** » 28 Août 2003 10:33

par **kinkey** » 28 Août 2003 11:26

bon j'ai reussi a lui faire prend la red pour la creation d'ipsec, en fait il faut simplement la definir comme passerelle dans la config d'ipcop <IMG SRC="images/smiles/icon_smile.gif"> mais au contraire mon win me dit toujours : Could not identify my own Interface quand je lance ipsec.exe

par **Gesp** » 28 Août 2003 13:36

Si tu faisais une recherche sur presharedkey= dans le post de belugha tu as des leftnexthop=%defaultroute rightnexthop=%defaultroute Je n'y connais rien au VPN mais je me dis que cela pourrait servir dans ta conf pour qu'il trouve l'interface, non?

par **kinkey** » 28 Août 2003 14:47

qui me parle ?? <IMG SRC="images/smiles/icon_wink.gif"> bon je voie pas le rapport qu'il y a entre preshare et %defaultroute, le 1er concerne les cles et le second les chemins a prendre ? j'crois que j'ai la total la, maintenant meme si jessai pas d'activ le vpn j'peux pinger 192.168.5.254 dc l'interface green et je precise QUE JE N'AI RIEN TOUCHE AU FIREWALL OU A LA TABLE DE ROUTAGE ???? autrement le prog ipsec.exe utilise -Host dans la commande lancement ipseccmd.exe ce qui n'est pas reconnu par celui-ci, et si je tape la commande a la main (elle fait 3 lignes) sans le -Host ba il me dit : command succely, mais bon ca m'avance pas bcp puisque je ne peux pas piger derriere la green <IMG SRC="images/smiles/icon_frown.gif"> le vu le temps passe je me demande si j'aurai pas gagne du temps et de l'argent en achetant un boitier tout fais <IMG SRC="images/smiles/icon_frown.gif"> un zyxel par exemple.

par **Gesp** » 28 Août 2003 15:05

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>je voie pas le rapport qu'il y a entre preshare et %defaultroute</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je t'ai dit que je n'y connaissais rien en VNP. Par contre je sais utiliser un outil de recherche et preshared= est une clé suffisament spécifique pour te ressortir uniquement tous les posts qui parlent de VNP Et en faisant une chtite recherche, dans un post de belugha qui est (quand elle est présente ici) à peu près notre CEO VPN j'ai vu qu'elle définissait des defaultroute gauche et droite dans sa config windows et que toi tu ne faisais pas. Maintenant tu es libre de ne rien changer, <IMG SRC="images/smiles/icon_biggrin.gif"> no pb for me.

par **kinkey** » 28 Août 2003 15:15

hehe dsl c juste que ca me prend vraiment la tete ce bazard. en fait si presharedkey reviens a chaque c normal, c la cle qui permet d'autoriser ou non la connexion au vpn. bo nje regarde quand du cote des outils de recherche <IMG SRC="images/smiles/icon_wink.gif">

par **Gesp** » 28 Août 2003 15:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>en fait si presharedkey reviens a chaque c normal, c la cle qui permet d'autoriser ou non la connexion au vpn</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ben vi, c'est pas du hasard <IMG SRC="images/smiles/icon_lol.gif"> Si je n'ai pas pratiqué le VPN mais cela ne n'empèche pas d'avoir choisi un mot-clé qui soit sélectif à bon escient <IMG SRC="images/smiles/icon_lol.gif">

par **kinkey** » 28 Août 2003 16:16

mouai bon ba apparament ca ouvre le tunnel mais pas moyen de faire un ping apres l'interface green <IMG SRC="images/smiles/icon_frown.gif">

par **fgille** » 26 Sep 2003 11:42

Salut kinkey, Les paramètres leftnexthop et rightnexthop définissent les interface utilisées. Ils sont importants. Les valeurs %defaultroute sont souvent utilisées pour des configurations classiques. Cela pourait régler le message "Connection clientwin : Could not identify my own Interface" sous XP. Tu peux aussi retirer la ligne "network=auto" pour voir si cela fonctionne mieux. Que dit le ping sur l'interface GREEN du serveur ? Un message du genre "Négociation de la sécurité IP." serait encourageant. Que dit le log du serveur ? tail -50 /var/log/secure Courage, ça DOIT marcher ! <IMG SRC="images/smiles/icon_wink.gif">

vpn et roadwarrior... c la mort :)

Qui est en ligne ?