vpn et roadwarrior... c la mort :)

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar kinkey » 26 Août 2003 10:57

salut <BR>------------------------------------- <BR>recap de la config : <BR>ipcop <BR>- eth0 (GREEN) : 192.168.5.254/255.255.255.0 : par vers un HUB ou je suis seul dessus. <BR>- eth1 (RED) : 192.168.6.254/255.255.255.0 <BR> <BR>roadwarrior xp pro sp1 <BR>ip : 192.168.6.200/255.255.255.0 <BR>je suis hors reseau, l'xp est connecte direct sur ipcop par un cable croise sur le RED <BR>------------------------------------- <BR>bon la je craque. <BR>j'ai suivi a la lettre le post ici <!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=3913&14" target="_blank">http://forums.ixus.net/viewtopic.php?t=3913&14</a><!-- BBCode auto-link end --> <BR> <BR>--- ipsec.conf ipcop --- <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> <BR>conn %default <BR> keyingtries=0 <BR> <BR>conn clientwin <BR> left=192.168.6.254 <BR> compress=no <BR> leftsubnet=192.168.6.0/24 <BR> leftnexthop=%defaultroute <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> right=%any <BR> rightnexthop=%defaultroute <BR> auto=add <BR>--- ipsec.conf ipcop --- <BR> <BR>--- ipsec.secrets ipcop --- <BR>192.168.6.254 %any : PSK "abcdef" <BR>192.168.6.254 0.0.0.0 : PSK "abcdef" <BR>--- ipsec.secrets ipcop --- <BR> <BR>--- extrait de mon /var/log/messages apres un redemarrage du VPN --- <BR>Aug 26 10:44:12 svfirw ipsec_setup: Stopping FreeS/WAN IPsec... <BR>Aug 26 10:44:13 svfirw kernel: IPSEC EVENT: KLIPS device ipsec0 shut down. <BR>Aug 26 10:44:13 svfirw kernel: klips_info:pfkey_cleanup: shutting down PF_KEY domain sockets. <BR>Aug 26 10:44:13 svfirw kernel: klips_info:cleanup_module: ipsec module unloaded. <BR>Aug 26 10:44:14 svfirw ipsec_setup: ...FreeS/WAN IPsec stopped <BR>Aug 26 10:44:14 svfirw ipsec_setup: Starting FreeS/WAN IPsec super-freeswan-1.99_kb2c... <BR>Aug 26 10:44:14 svfirw ipsec_setup: Using /lib/modules/2.4.21/kernel/net/ipsec/ipsec.o <BR>Aug 26 10:44:14 svfirw kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: super-freeswan-1.99_kb2c <BR>Aug 26 10:44:14 svfirw kernel: klips_info:ipsec_alg_init: KLIPS alg v=0.7.3-1 (EALG_MAX=255, AALG_MAX=15) <BR>Aug 26 10:44:14 svfirw kernel: klips_info:ipsec_alg_init: calling ipsec_alg_static_init() <BR>Aug 26 10:44:14 svfirw ipsec_setup: KLIPS debug `none' <BR>Aug 26 10:44:14 svfirw ipsec_setup: KLIPS ipsec0 on eth0 192.168.5.254/255.255.255.0 broadcast 192.168.5.255 <BR>Aug 26 10:44:14 svfirw ipsec_setup: ...FreeS/WAN IPsec started <BR>--- extrait de mon /var/log/messages apres un redemarrage du VPN --- <BR> <BR>deja premiere chose bizarre il me monte ipsec0 sur eth0 qui est mon interface GREEN. <BR>je precise aussi que j'ai ete oblige de parametre la passerelle et les dns sur ipcop : <BR>passerelle : 192.168.5.254 j'ai essaye de mettre 192.168.6.254 mais apres plus moyen de me connecter sur ipcop en ssh ou en http. les dns sont ceux de wanadoo. <BR> <BR>--- extrait de /var/log/secure apres un redemarrage du vpn --- <BR>Aug 26 10:44:12 svfirw pluto[1006]: shutting down <BR>Aug 26 10:44:12 svfirw pluto[1006]: forgetting secrets <BR>Aug 26 10:44:12 svfirw pluto[1006]: "clientwin": deleting connection <BR>Aug 26 10:44:12 svfirw pluto[1006]: shutting down interface ipsec0/eth0 192.168.5.254 <BR>Aug 26 10:44:14 svfirw ipsec__plutorun: Starting Pluto subsystem... <BR>Aug 26 10:44:14 svfirw pluto[1342]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) <BR>Aug 26 10:44:14 svfirw pluto[1342]: including X.509 patch (Version 0.9.15) <BR>Aug 26 10:44:14 svfirw pluto[1342]: including NAT-Traversal patch (Version 0.5a) [disabled] <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) <BR>Aug 26 10:44:14 svfirw pluto[1342]: Changing to directory '/etc/ipsec.d/cacerts' <BR>Aug 26 10:44:14 svfirw pluto[1342]: Warning: empty directory <BR>Aug 26 10:44:14 svfirw pluto[1342]: Changing to directory '/etc/ipsec.d/crls' <BR>Aug 26 10:44:14 svfirw pluto[1342]: Warning: empty directory <BR>Aug 26 10:44:14 svfirw pluto[1342]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>Aug 26 10:44:14 svfirw pluto[1342]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>Aug 26 10:44:15 svfirw pluto[1342]: | from whack: got --esp=3des <BR>Aug 26 10:44:15 svfirw pluto[1342]: | from whack: got --ike=3des <BR>Aug 26 10:44:15 svfirw pluto[1342]: added connection description "clientwin" <BR>Aug 26 10:44:15 svfirw pluto[1342]: listening for IKE messages <BR>Aug 26 10:44:15 svfirw pluto[1342]: adding interface ipsec0/eth0 192.168.5.254 <BR>Aug 26 10:44:15 svfirw pluto[1342]: loading secrets from "/etc/ipsec.secrets" <BR>--- extrait de /var/log/secure apres un redemarrage du vpn --- <BR> <BR>maintenant cote XP <BR>alors la c le fin du fin <IMG SRC="images/smiles/icon_boxe2.gif"> <BR>--- ipsec.conf XP --- <BR>conn clientwin <BR>left=192.168.6.254 <BR>leftsubnet=192.168.6.0/24 <BR>right=%any <BR>presharedkey=abcdef <BR>network=auto <BR>auto=start <BR>pfs=yes <BR>--- ipsec.conf XP --- <BR> <BR>quand je lance ipsec.exe j'ai le message suivants : <BR>C:Program FilesSupport Tools>ipsec <BR>IPSec Version 2.2.0 (c) 2001-2003 M... <BR>Getting running Config ... <BR>Microsoft's Windows XP identified <BR>Setting up IPSec ... <BR> <BR> Deactivating old policy... <BR> Removing old policy... <BR> <BR>Connection clientwin : <BR>Could not identify my own Interface <BR> <BR>bien sur histoire de compliquer la chose pas de trace de quoi que ce sois dans les log <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>si par hasard quelqu'un avait le courage de ce pancher sur le prb, sa serait cool <IMG SRC="images/smiles/icon_help.gif">
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar kinkey » 27 Août 2003 09:50

personne ?
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar kinkey » 28 Août 2003 10:33

<IMG SRC="images/smiles/icon_up.gif">
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar kinkey » 28 Août 2003 11:26

bon j'ai reussi a lui faire prend la red pour la creation d'ipsec, en fait il faut simplement la definir comme passerelle dans la config d'ipcop <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>mais au contraire mon win me dit toujours : Could not identify my own Interface quand je lance ipsec.exe
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar Gesp » 28 Août 2003 13:36

Si tu faisais une recherche sur presharedkey= dans le post de belugha <BR>tu as des <BR>leftnexthop=%defaultroute <BR>rightnexthop=%defaultroute <BR> <BR>Je n'y connais rien au VPN mais je me dis que cela pourrait servir dans ta conf pour qu'il trouve l'interface, non?
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar kinkey » 28 Août 2003 14:47

qui me parle ?? <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>bon je voie pas le rapport qu'il y a entre preshare et %defaultroute, le 1er concerne les cles et le second les chemins a prendre ? <BR>j'crois que j'ai la total la, maintenant meme si jessai pas d'activ le vpn j'peux pinger 192.168.5.254 dc l'interface green et je precise QUE JE N'AI RIEN TOUCHE AU FIREWALL OU A LA TABLE DE ROUTAGE ???? <BR> <BR>autrement le prog ipsec.exe utilise -Host dans la commande lancement ipseccmd.exe ce qui n'est pas reconnu par celui-ci, et si je tape la commande a la main (elle fait 3 lignes) sans le -Host ba il me dit : command succely, mais bon ca m'avance pas bcp puisque je ne peux pas piger derriere la green <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>le vu le temps passe je me demande si j'aurai pas gagne du temps et de l'argent en achetant un boitier tout fais <IMG SRC="images/smiles/icon_frown.gif"> un zyxel par exemple.
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar Gesp » 28 Août 2003 15:05

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>je voie pas le rapport qu'il y a entre preshare et %defaultroute</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je t'ai dit que je n'y connaissais rien en VNP. <BR> <BR>Par contre je sais utiliser un outil de recherche et preshared= est une clé suffisament spécifique pour te ressortir uniquement tous les posts qui parlent de VNP <BR> <BR>Et en faisant une chtite recherche, dans un post de belugha qui est (quand elle est présente ici) à peu près notre CEO VPN j'ai vu qu'elle définissait des defaultroute gauche et droite dans sa config windows et que toi tu ne faisais pas. <BR> <BR>Maintenant tu es libre de ne rien changer, <IMG SRC="images/smiles/icon_biggrin.gif"> no pb for me.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar kinkey » 28 Août 2003 15:15

hehe dsl c juste que ca me prend vraiment la tete ce bazard. en fait si presharedkey reviens a chaque c normal, c la cle qui permet d'autoriser ou non la connexion au vpn. bo nje regarde quand du cote des outils de recherche <IMG SRC="images/smiles/icon_wink.gif">
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar Gesp » 28 Août 2003 15:58

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>en fait si presharedkey reviens a chaque c normal, c la cle qui permet d'autoriser ou non la connexion au vpn</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Ben vi, c'est pas du hasard <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR> <BR>Si je n'ai pas pratiqué le VPN mais cela ne n'empèche pas d'avoir choisi un mot-clé qui soit sélectif à bon escient <IMG SRC="images/smiles/icon_lol.gif">
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar kinkey » 28 Août 2003 16:16

mouai bon ba apparament ca ouvre le tunnel mais pas moyen de faire un ping apres l'interface green <IMG SRC="images/smiles/icon_frown.gif">
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar fgille » 26 Sep 2003 11:42

Salut kinkey, <BR> <BR>Les paramètres leftnexthop et rightnexthop définissent les interface utilisées. Ils sont importants. Les valeurs %defaultroute sont souvent utilisées pour des configurations classiques. Cela pourait régler le message "Connection clientwin : <BR>Could not identify my own Interface" sous XP. <BR>Tu peux aussi retirer la ligne "network=auto" pour voir si cela fonctionne mieux. <BR> <BR>Que dit le ping sur l'interface GREEN du serveur ? Un message du genre "Négociation de la sécurité IP." serait encourageant. <BR> <BR>Que dit le log du serveur ? <BR>tail -50 /var/log/secure <BR> <BR>Courage, ça DOIT marcher ! <BR> <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
fgille
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 03 Avr 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité