VPN entre ipcop V1.2 et Winxp avec certif x509

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar shubnigourat » 17 Sep 2003 11:22

Bonjour, <BR> <BR>Depuis qq semaine je teste le VPN entre des config diverses et variées. <BR> <BR>W2k-W2k sur un LAN <BR>W2k-W2k via l ADSL et au travers de FW <BR>W2k-W2k via l ADSL au travers de Routeur NAT <BR>W2K-Ipcop en local <BR>Ipcop-W2k via ADSL <BR> <BR>c est jamais sans problemes mais en general il suffit de consulter les logs et corriger qq erreurs de syntaxe dans les fichiers de conf. Parfois une bonne relecture des tres bon How-to dispo sur le web fait avancer les chose. Au pire on fait une petite recherche dans l abondante ressource du forum Ixux et on finit par trouver ! <BR>Encore bravo a toutes les personnes qui animent ce forum ! <BR> <BR>Malheureusement aujourd'hui je suis complettement bloqué. <BR>je teste une conf <BR> <BR>ipcop-w2k a travers l ADSL et des routeurs NAT avec authentification par certificat x509 <BR> <BR>Le probleme c est que les 2 parties se voient, commence a echanger des données mais la negotiation n abouti jamais. Ca ressemble a un bete pb de conf mais je vois vraiment pas ou. Un probleme avec les certificats ? La j y connais pas grand chose. Je me suis contenté de suivre le How-to suivant : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.decaservices.com/docs/securite/vpn/freeswan.html" target="_blank">http://www.decaservices.com/docs/securite/vpn/freeswan.html</a><!-- BBCode auto-link end --> <BR> <BR>J'attends votre analyse car je commence a desespérer. <BR>En attendant je vais tester la conf avec une authentification RSA simple. <BR> <BR> <BR>---------------------------------------- <BR> <BR> <BR>Voila un schema detaillé : <BR> <BR>Coté Passerelle Ipcop <BR> <BR>Passerelle---------red --------- Routeur NAT ----- Modem ADSL --- Internet <BR>Ipcop v1.2 192.168.0.1 192.168.0.254 Ip fixe <BR> | 81.80.167.xx <BR>Green <BR>10.0.0.1 <BR> | <BR>Reseau A <BR>10.0.0.0/24 <BR> <BR> <BR>Coté PC winXp <BR> <BR>Internet----Modem ADSL-------PC Winxp <BR> @Ip variable FW Look'n'Stop <BR> 213.103.xx.xx <BR> <BR>Au niveau du routeur NAT <BR>UDP 500 et protocole 50/51 ont été tranféré sur l interface rouge de la passerelle Ipcop. <BR> <BR>ipsec.conf coté ipcop : <BR>------------------------- <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> uniqueids=yes <BR> plutodebug=all <BR> plutoload=%search <BR> plutostart=%search <BR> syslog=syslog.info <BR> <BR>conn %default <BR> keyingtries=0 <BR> compress=yes <BR> authby=rsasig <BR> <BR>conn SDC_GEMENOS <BR> left=%defaultroute <BR> leftsubnet=10.0.0.0/24 <BR> leftnexthop= <BR> leftcert=firewall.pem <BR> leftrsasigkey=%cert <BR> right=%any <BR> rightnexthop=%defaultroute <BR> rightrsasigkey=%cert <BR> pfs=yes <BR> auto=add <BR> <BR>ipsec.secrets : <BR>--------------- <BR> <BR>: RSA firewall.key "ab&l40v" <BR> <BR> <BR>ipsec.conf coté winXP : <BR>-------------------------- <BR> <BR>conn road <BR>left=%any <BR>leftsubnet=213.103.xx.xx/32 <BR>right=81.80.167.xx <BR>rightsubnet=10.0.0.0/24 <BR>rightca="C=FR, S=France, L=Gemenos, O=Coframi, CN=firewall, Email=shubnigourat@yahoo.fr" <BR>network=auto <BR>auto=start <BR>pfs=yes <BR> <BR> <BR>-------------------------- <BR> <BR>J ai verifié le FW sous win2k. j ai fait verifié le transfert de UDP 500 et protocole 50/51 vers la passerelle Ipcop par mon FAI Oleane. Tout a l air OK. <BR> <BR>Pour ce qui est de la conf Ipcop <BR> <BR>#ipsec auto --rereadall <BR>#ipsec auto --listall <BR> <BR>ne renvoie aucune erreur. <BR> <BR>Voila les logs au demarrage de ipsec <BR> <BR>#/usr/local/bin/ipsecctrl R <BR># tail -f /var/log/messages <BR> <BR>Sep 17 11:01:38 firewall ipsec_setup: ...FreeS/WAN IPsec stopped <BR>Sep 17 11:01:47 firewall ipsec_setup: Stopping FreeS/WAN IPsec... <BR>Sep 17 11:01:47 firewall ipsec_setup: stop ordered, but IPsec does not appear to be running! <BR>Sep 17 11:01:47 firewall ipsec_setup: doing cleanup anyway... <BR>Sep 17 11:01:50 firewall ipsec_setup: ...FreeS/WAN IPsec stopped <BR>Sep 17 11:01:55 firewall ipsec_setup: Starting FreeS/WAN IPsec 1.99... <BR>Sep 17 11:01:57 firewall ipsec_setup: KLIPS debug `none' <BR>Sep 17 11:02:01 firewall ipsec_setup: KLIPS ipsec0 on eth2 192.168.0.1/255.255.255.0 broadcast 192.168.0.255 <BR>Sep 17 11:02:02 firewall dansguardian: Error connecting to proxy <BR>Sep 17 11:02:03 firewall ipsec_setup: ...FreeS/WAN IPsec started <BR> <BR># tail -f /var/log/secure <BR> <BR>Sep 17 11:02:24 firewall pluto[12605]: | IP interface eth0 10.0.0.1 has no matching ipsec* interface -- ignored <BR>Sep 17 11:02:24 firewall pluto[12605]: | IP interface lo 127.0.0.1 has no matching ipsec* interface -- ignored <BR>Sep 17 11:02:24 firewall pluto[12605]: | could not open /proc/net/if_inet6 <BR>Sep 17 11:02:24 firewall pluto[12605]: loading secrets from "/etc/ipsec.secrets" <BR>Sep 17 11:02:24 firewall pluto[12605]: loaded private key file '/etc/ipsec.d/private/firewall.key' (963 bytes) <BR>Sep 17 11:02:24 firewall pluto[12605]: | file content is not binary ASN.1 <BR>Sep 17 11:02:24 firewall pluto[12605]: | -----BEGIN RSA PRIVATE KEY----- <BR>Sep 17 11:02:24 firewall pluto[12605]: | Proc-Type: 4,ENCRYPTED <BR>Sep 17 11:02:24 firewall pluto[12605]: | DEK-Info: DES-EDE3-CBC,B91CB0DDB00038DE <BR>Sep 17 11:02:24 firewall pluto[12605]: | -----END RSA PRIVATE KEY----- <BR>Sep 17 11:02:24 firewall pluto[12605]: | decrypting file using 'DES-EDE3-CBC' <BR>Sep 17 11:02:24 firewall pluto[12605]: | file coded in PEM format <BR>Sep 17 11:02:24 firewall pluto[12605]: | L0 - RSAPrivateKey: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - version: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - modulus: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - publicExponent: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - privateExponent: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - prime1: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - prime2: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - exponent1: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - exponent2: <BR>Sep 17 11:02:24 firewall pluto[12605]: | L1 - coefficient: <BR>Sep 17 11:02:24 firewall pluto[12605]: | next event EVENT_SHUNT_SCAN in 99 seconds <BR> <BR> <BR>Les logs lorsque le client winXP tentent d ouvrir le tunnel : <BR> <BR>Sep 16 23:50:53 firewall pluto[29140]: | *received 216 bytes from 213.103.4.57:500 on eth2 <BR>Sep 16 23:50:53 firewall pluto[29140]: | 36 00 72 d9 57 32 b7 e8 00 00 00 00 00 00 00 00 <BR>.... <BR>.... <BR>.... <BR>Sep 16 23:50:53 firewall pluto[29140]: | **parse ISAKMP Message: <BR>Sep 16 23:50:53 firewall pluto[29140]: | initiator cookie: <BR>Sep 16 23:50:53 firewall pluto[29140]: | 36 00 72 d9 57 32 b7 e8 <BR>Sep 16 23:50:53 firewall pluto[29140]: | responder cookie: <BR>Sep 16 23:50:53 firewall pluto[29140]: | 00 00 00 00 00 00 00 00 <BR>Sep 16 23:50:53 firewall pluto[29140]: | next payload type: ISAKMP_NEXT_SA <BR>Sep 16 23:50:53 firewall pluto[29140]: | ISAKMP version: ISAKMP Version 1.0 <BR>Sep 16 23:50:53 firewall pluto[29140]: | exchange type: ISAKMP_XCHG_IDPROT <BR>Sep 16 23:50:53 firewall pluto[29140]: | flags: none <BR>Sep 16 23:50:53 firewall pluto[29140]: | message ID: 00 00 00 00 <BR>Sep 16 23:50:53 firewall pluto[29140]: | length: 216 <BR>Sep 16 23:50:53 firewall pluto[29140]: | ***parse ISAKMP Security Association Payload: <BR>Sep 16 23:50:53 firewall pluto[29140]: | next payload type: ISAKMP_NEXT_VID <BR>Sep 16 23:50:53 firewall pluto[29140]: | length: 164 <BR>Sep 16 23:50:53 firewall pluto[29140]: | DOI: ISAKMP_DOI_IPSEC <BR>Sep 16 23:50:53 firewall pluto[29140]: | ***parse ISAKMP Vendor ID Payload: <BR>Sep 16 23:50:54 firewall pluto[29140]: | next payload type: ISAKMP_NEXT_NONE <BR>Sep 16 23:50:54 firewall pluto[29140]: | length: 24 <BR>Sep 16 23:50:54 firewall pluto[29140]: packet from 213.103.4.57:500: ignoring Vendor ID payload <BR>Sep 16 23:50:54 firewall pluto[29140]: | VID: 1e 2b 51 69 05 99 1c 7d 7c 96 fc bf b5 87 e4 61 <BR>Sep 16 23:50:54 firewall pluto[29140]: | 00 00 00 03 <BR>Sep 16 23:50:54 firewall pluto[29140]: packet from 213.103.4.57:500: initial Main Mode message received on 192.168.0.1:500 but <BR>no connection has been authorized <BR> <BR>ce qui me derange c est <BR> <BR>Sep 16 23:50:54 firewall pluto[29140]: packet from 213.103.4.57:500: ignoring Vendor ID payload <BR> <BR>et <BR> <BR>Sep 16 23:50:54 firewall pluto[29140]: packet from 213.103.4.57:500: initial Main Mode message received on 192.168.0.1:500 but <BR>no connection has been authorized <BR> <BR>du cote de la log win2K Oakley on a qq chose du type <BR> <BR>"l autre partie n a pas repondu" <BR> <BR>le probleme semble donc etre du coté d Ipcop.
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar shubnigourat » 17 Sep 2003 14:36

En analysant a nouveau mes logs /var/log/secure <BR>il semble que je me sois approché tres pret du but lors de ma derniere tentative cette nuit : <BR> <BR> <BR>Sep 17 01:26:49 firewall pluto[31621]: | <BR>Sep 17 01:26:49 firewall pluto[31621]: | *received 84 bytes from 213.103.4.57:500 on eth2 <BR>Sep 17 01:26:49 firewall pluto[31621]: | d0 bb b1 ca 43 1b cf 32 f8 8c db 22 08 64 83 75 <BR>Sep 17 01:26:49 firewall pluto[31621]: | 08 10 05 01 ff 25 79 db 00 00 00 54 59 0f be 27 <BR>Sep 17 01:26:49 firewall pluto[31621]: | 4a 6d 15 19 f7 c7 a9 51 a2 91 18 51 66 08 45 d6 <BR>Sep 17 01:26:49 firewall pluto[31621]: | 0d 42 f1 ce 76 13 be d4 7a 36 66 27 3a a6 1c 54 <BR>Sep 17 01:26:49 firewall pluto[31621]: | 11 86 60 4c 5c 54 08 15 1f a4 84 69 8b b1 26 4f <BR>Sep 17 01:26:49 firewall pluto[31621]: | 9f 97 77 01 <BR>Sep 17 01:26:49 firewall pluto[31621]: | **parse ISAKMP Message: <BR>Sep 17 01:26:49 firewall pluto[31621]: | initiator cookie: <BR>Sep 17 01:26:49 firewall pluto[31621]: | d0 bb b1 ca 43 1b cf 32 <BR>Sep 17 01:26:49 firewall pluto[31621]: | responder cookie: <BR>Sep 17 01:26:49 firewall pluto[31621]: | f8 8c db 22 08 64 83 75 <BR>Sep 17 01:26:49 firewall pluto[31621]: | next payload type: ISAKMP_NEXT_HASH <BR>Sep 17 01:26:49 firewall pluto[31621]: | ISAKMP version: ISAKMP Version 1.0 <BR>Sep 17 01:26:49 firewall pluto[31621]: | exchange type: ISAKMP_XCHG_INFO <BR>Sep 17 01:26:49 firewall pluto[31621]: | flags: ISAKMP_FLAG_ENCRYPTION <BR>Sep 17 01:26:49 firewall pluto[31621]: | message ID: ff 25 79 db <BR>Sep 17 01:26:49 firewall pluto[31621]: | length: 84 <BR>Sep 17 01:26:49 firewall pluto[31621]: | ICOOKIE: d0 bb b1 ca 43 1b cf 32 <BR>Sep 17 01:26:49 firewall pluto[31621]: | RCOOKIE: f8 8c db 22 08 64 83 75 <BR>Sep 17 01:26:49 firewall pluto[31621]: | peer: d5 67 04 39 <BR>Sep 17 01:26:49 firewall pluto[31621]: | state hash entry 13 <BR>Sep 17 01:26:49 firewall pluto[31621]: | state object not found <BR>Sep 17 01:26:50 firewall pluto[31621]: packet from 213.103.4.57:500: Informational Exchange is for an unknown (expired?) SA <BR>Sep 17 01:26:50 firewall pluto[31621]: | next event EVENT_SHUNT_SCAN in 97 seconds <BR> <BR> <BR>Il semble y avoir un pb avec les certificats si j en crois cette erreur <BR> <BR>Sep 17 01:26:50 firewall pluto[31621]: packet from 213.103.4.57:500: Informational Exchange is for an unknown (expired?) SA <BR> <BR>213.103.4.57 etait l Ip variable du PC winxp cette nuit. <BR> <BR>Quelqu un s y connait il en certificat x509 ? <BR> <BR>j ai suivit cette doc : <BR><!-- BBCode auto-link start --><a href="http://www.decaservices.com/docs/securite/vpn/freeswan.html" target="_blank">http://www.decaservices.com/docs/securite/vpn/freeswan.html</a><!-- BBCode auto-link end --> <BR> <BR>Malgres la qualité de ce tuto, il y a des chose qui m ont echappé. <BR>la creation des certif pour la machine win2k par exemple <BR>
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar belugha » 18 Sep 2003 08:25

Bonjour, <BR> <BR>Ipcop ne gére pas le certificat X509, si tu veux l'utiliséer il faut la MNF. <BR>Par contre tu peux te servir d'Ipcop par des VPN Ipsec mais qui seront gérer par la clé PSK. <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar shubnigourat » 18 Sep 2003 11:36

Ipcop pas compatible x509 ?? <BR>Il me semblait qu il y avait un patch FreeSWAN pour le support des certificats x509 et que ce patch etait deja appliqué sous Ipcop. <BR> <BR>J'attends plus d info la dessus car ca compromet bp de chose pour mon projet. Toute mon architecture repose sur des Ipcop (deja en prod). <BR> <BR>PSK ne traverse pas le NAT donc c est exclu dans mon cas <BR> <BR>Le How-to-VPN derriere un routeur NAT explique bien la procedure : <BR>Il faut remplacer l authentification PSK par RSA <BR> <BR>Entre 2 ipcop le VPN marche impecable a travers un NAT si le port UDP 500 et le protocole 50 sont forwardé depuis les routeurs vers les interfaces RED des Ipcops. <BR> <BR>Mon probleme c est que dans une conf <BR> <BR>ipsec--routeurNAT--Internet--modemADSL--Win2k <BR> <BR>il n est visiblement pas possible de configurer RSA sous win2K sans passer par le certificat <BR> <BR>les certificats sont indispensables pour conserver une bonne interoperabilité entre OS(linux/unix/windows) et les applications. <BR> <BR> <BR>
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar belugha » 18 Sep 2003 11:49

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-18 11:36, shubnigourat a écrit: <BR>Ipcop pas compatible x509 ?? <BR>Il me semblait qu il y avait un patch FreeSWAN pour le support des certificats x509 et que ce patch etait deja appliqué sous Ipcop. <BR> <BR>J'attends plus d info la dessus car ca compromet bp de chose pour mon projet. Toute mon architecture repose sur des Ipcop (deja en prod). <BR> <BR>PSK ne traverse pas le NAT donc c est exclu dans mon cas <BR> <BR>Le How-to-VPN derriere un routeur NAT explique bien la procedure : <BR>Il faut remplacer l authentification PSK par RSA <BR> <BR>Entre 2 ipcop le VPN marche impecable a travers un NAT si le port UDP 500 et le protocole 50 sont forwardé depuis les routeurs vers les interfaces RED des Ipcops. <BR> <BR>Mon probleme c est que dans une conf <BR> <BR>ipsec--routeurNAT--Internet--modemADSL--Win2k <BR> <BR>il n est visiblement pas possible de configurer RSA sous win2K sans passer par le certificat <BR> <BR>les certificats sont indispensables pour conserver une bonne interoperabilité entre OS(linux/unix/windows) et les applications. <BR> <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Ben si tu le dis <IMG SRC="images/smiles/icon_razz.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar shubnigourat » 18 Sep 2003 12:03

Désolé je reviens a la charge mais il est vraiment important que je tire cette affaire au clair. <BR> <BR>Ipcop et certificat x509 ca marche ou pas ? <BR> <BR>J ai généré des certificats selon ce How-to <BR> <BR><!-- BBCode auto-link start --><a href="http://www.decaservices.com/docs/securite/vpn/freeswan.html" target="_blank">http://www.decaservices.com/docs/securite/vpn/freeswan.html</a><!-- BBCode auto-link end --> <BR> <BR>sur mon ipcop, les certificats sont bien chargés. Enfin les logs en donnent l impression. je ne suis plus sur de rien. <BR> <BR>Il y a meme une indication concernant la version du patch x509. <BR> <BR>Sep 18 11:48:49 firewall ipsec__plutorun: Starting Pluto subsystem... <BR>Sep 18 11:48:49 firewall pluto[25486]: Starting Pluto (FreeS/WAN Version 1.99) <BR>Sep 18 11:48:49 firewall pluto[25486]: including X.509 patch (Version 0.9.15) <BR>Sep 18 11:48:49 firewall pluto[25486]: | opening /dev/urandom <BR>Sep 18 11:48:49 firewall pluto[25486]: | inserting event EVENT_REINIT_SECRET, timeout in 3600 seconds <BR> <BR> <BR>et plus loin : <BR> <BR>Sep 18 11:48:50 firewall pluto[25486]: Changing to directory '/etc/ipsec.d/cacerts' <BR>Sep 18 11:48:50 firewall pluto[25486]: loaded cacert file 'cacert.pem' (1281 bytes) <BR>Sep 18 11:48:50 firewall pluto[25486]: | file content is not binary ASN.1 <BR>Sep 18 11:48:50 firewall pluto[25486]: | -----BEGIN CERTIFICATE----- <BR>Sep 18 11:48:50 firewall pluto[25486]: | -----END CERTIFICATE----- <BR>Sep 18 11:48:50 firewall pluto[25486]: | file coded in PEM format <BR> <BR>.... <BR> <BR>Sep 18 11:48:57 firewall pluto[25486]: Changing to directory '/etc/ipsec.d/crls' <BR>Sep 18 11:48:57 firewall pluto[25486]: loaded crl file 'crl.pem' (516 bytes) <BR>Sep 18 11:48:57 firewall pluto[25486]: | file content is not binary ASN.1 <BR>Sep 18 11:48:57 firewall pluto[25486]: | -----BEGIN X509 CRL----- <BR>Sep 18 11:48:57 firewall pluto[25486]: | -----END X509 CRL----- <BR>Sep 18 11:48:57 firewall pluto[25486]: | file coded in PEM format <BR> <BR>.... <BR> <BR>Sep 18 11:48:59 firewall pluto[25486]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>Sep 18 11:48:59 firewall pluto[25486]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>Sep 18 11:48:59 firewall pluto[25486]: | next event EVENT_SHUNT_SCAN in 111 seconds <BR>Sep 18 11:48:59 firewall pluto[25486]: | <BR>Sep 18 11:48:59 firewall pluto[25486]: | *received whack message <BR>Sep 18 11:48:59 firewall pluto[25486]: loaded host cert file '/etc/ipsec.d/firewall.pem' (3635 bytes) <BR>Sep 18 11:48:59 firewall pluto[25486]: | file content is not binary ASN.1 <BR>Sep 18 11:48:59 firewall pluto[25486]: | -----BEGIN CERTIFICATE----- <BR>Sep 18 11:48:59 firewall pluto[25486]: | -----END CERTIFICATE----- <BR>Sep 18 11:48:59 firewall pluto[25486]: | file coded in PEM format <BR> <BR>..... <BR> <BR>Sep 18 11:49:08 firewall pluto[25486]: loaded host cert file '/etc/ipsec.d/client.pem' (3578 bytes) <BR>Sep 18 11:49:08 firewall pluto[25486]: | file content is not binary ASN.1 <BR>Sep 18 11:49:08 firewall pluto[25486]: | -----BEGIN CERTIFICATE----- <BR>Sep 18 11:49:08 firewall pluto[25486]: | -----END CERTIFICATE----- <BR>Sep 18 11:49:08 firewall pluto[25486]: | file coded in PEM format <BR> <BR> <BR>Bref le certificat Root, et les certifs ipcop (firewall.pem) et client WinXp (client.pem) sont bien chargés.
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar shubnigourat » 19 Sep 2003 10:22

Bonjour, <BR> <BR>J ai renouvellé les tests cette nuit mais malheureusement sans plus. <BR> <BR>#ipsec verify <BR>#ipsec auto --rereadall <BR>#ipsec auto --listall <BR> <BR>-->Aucun souci <BR> <BR>pas de pb de syntaxe ou de configuration sur la passerelle ipcop. <BR>Les certificats sont bien listées par ipsec auto --listall. <BR>Au demarrage de ipsec. pas de pb dans les log /var/adm/messages et /var/adm/secure <BR> <BR>Je pense que la config de la passerelle Ipcop n est pas en cause. <BR>Cette passerelle fonctionne tres bien en VPN vers un autre Ipcop par exemple. <BR>Meme chose si on procede vers un PC avec une authentification PSK (hors NAT). <BR> <BR>Le probleme c est clairement l utilisation des certificats : <BR>- soit la creation n est pas bien faite. Mais dans ce cas les certificats ne seraient ils pas rejetés par ipcop et le winXP ? <BR>- soit un pb dans le fonctionnement des certificats sous Windows (que je connais mal) <BR> <BR>Qq trucs dont je voudrais etre sur : <BR> <BR> le nom donné au fichier certificat (ex : "client".pem) ainsi que le CN configuré lors de la creation du certificat (dans CA.sh -newreq) doivent correspondre exactement au hostname de la machine ? <BR> <BR>Ex : Mon client s appelle "testbed" <BR>alors dans la creation du certif je configure CN=testbed <BR>ensuite je renomme newreq.pem en testbed.pem <BR> <BR>pour le CN, si il n y a pas de nom de domaine (FQDN) seulement le hostname, faut il enregistrer le hostname de l autre partie dans le fichier host ? <BR> <BR>ex: enregister sur le serveur <BR>213.103.xx.xx client <BR> <BR>et enregistrer sur le client <BR>81.80.xx.xx server <BR>
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar shubnigourat » 30 Sep 2003 15:19

Je rentre de congé. <BR> <BR>Alors personne n'utilise l'authentification par certificat pour le VPN entre Ipcop et des clients windows ?
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité