VPN encore : pas d'initialisation du tunnel

par **fgth** » 29 Sep 2003 15:04

Bonjour à tous, je fais feu de tout bois : ne réussissant pas à mettre en route un VPN en une MNF et un poste W2000, après 3 jours de galères et n'obtenant pas de réponse, je décide d'essayer avec mon bon vieil IPCop d'origine. (une 1.3) Et là............ Pas mieux ! Je crois que je vais pleurer. J'ai réalisé les configs d'après <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowto#How_to_connect_a_Win2k_or_XP_box." target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowto#How_to_connect_a_Win2k_or_XP_box.</a> Tous les messages sont corrects au début : lancement d'ipsec sur IPCop, /var/log/secure dit Sep 29 14:29:52 ipcop pluto[4701]: added connection description "vpnTest" Sep 29 14:29:53 ipcop pluto[4701]: listening for IKE messages Sep 29 14:29:53 ipcop pluto[4701]: adding interface ipsec0/ppp0 193.xx.xx.xx Sep 29 14:29:53 ipcop pluto[4701]: loading secrets from "/etc/ipsec.secrets" Sur Win2k, ipsec.exe me donne bien les messages au lancement. Sauf que le /var/log/secure d'IPCop ne voit rien arriver ! Aucun message relatif à la négociation du tunnel, rien, que dalle !!! La dernière ligne reste" loading secrets from "/etc/ipsec.secrets". Je pingue de win vers green d'IPCop : 4 "négociation patati patata" et c'est tout... Le oakley.log : "pas de réponse de pair". Mais plus extraordinaire, le /var/log/secure voit arriver les paquets cette fois, et loggue des ".... no connection has been authorized" en veut-tu-en voilà ! Il voit les ping mais pas l'ouverture du tunnel???????? Est-ce que ça dit qqchose à qqun ???? Aie aie aie. La dépression me guette !

par **belugha** » 29 Sep 2003 15:06

Peux-tu ns faire une résumé de ta config ? Et poster tes ipsecs.conf et ipsec.secret. Merci

par **fgth** » 29 Sep 2003 15:38

Oooooh nom d'un chien ! Belugha je t'adore (et pas que pour ton avatar). En te recopiant l'ipsec.conf, je viens de m'apercevoir d'un "192.253.xx.xx" dans l'adresse red IPCop, au lieu de "193.253.xx.xx". Ca y est, ça maaaaaaarche ! Je reprend gout à la vie. Ceci dit, toujours pas de logs dans secure au moment ou je lance ipsec sur windows... Il ne commence à logguer que quand je lance un ping. As-tu la même chose ? Si oui, ça peut être intéressant de le signaler à la cantonnade, car ça ne correspond pas tout à fait au comportement décrit dans le"How_to_connect_a_Win2k_or_XP_box". Et, de plus, ça n'explique pas pourquoi la MNF a refusé de fonctionner... Je ne pense pas avoir fait la même erreur de frappe (non d'ailleurs j'en suis sûr, je n'avais pas la même adresse à ce moment et je viens de vérifier les logs que j'ai recopié là <a href="http://forums.ixus.net/viewtopic.php?t=6931&3" target="_blank">http://forums.ixus.net/viewtopic.php?t=6931&3</a> ). Je laisserai donc ce post-là ouvert. Merci encore, même si tu n'as pas souffert sur ce dépannage !

par **belugha** » 29 Sep 2003 15:42

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-29 15:38, fgth a écrit: Oooooh nom d'un chien ! Belugha je t'adore (et pas que pour ton avatar). En te recopiant l'ipsec.conf, je viens de m'apercevoir d'un "192.253.xx.xx" dans l'adresse red IPCop, au lieu de "193.253.xx.xx". Ca y est, ça maaaaaaarche ! Je reprend gout à la vie. Ceci dit, toujours pas de logs dans secure au moment ou je lance ipsec sur windows... Il ne commence à logguer que quand je lance un ping. As-tu la même chose ? Si oui, ça peut être intéressant de le signaler à la cantonnade, car ça ne correspond pas tout à fait au comportement décrit dans le"How_to_connect_a_Win2k_or_XP_box". Et, de plus, ça n'explique pas pourquoi la MNF a refusé de fonctionner... Je ne pense pas avoir fait la même erreur de frappe (non d'ailleurs j'en suis sûr, je n'avais pas la même adresse à ce moment et je viens de vérifier les logs que j'ai recopié là <a href="http://forums.ixus.net/viewtopic.php?t=6931&3" target="_blank">http://forums.ixus.net/viewtopic.php?t=6931&3</a> ). Je laisserai donc ce post-là ouvert. Merci encore, même si tu n'as pas souffert sur ce dépannage ! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> C'est vrai que je n'ai pas souffert et je suis ravie que ca marche pour toi, mais Dieu que mon avatar fait craqué même le cerveau <IMG SRC="images/smiles/icon_lol.gif">

par **fgth** » 29 Sep 2003 16:10

Ah, j'ai quand même une question ! Faut-il ouvrir un port particulier pour que mon poste win2000 voit le réseau green dans son voisinage réseau (genre un netbios-ceci ou un netbios-cela ?). Pour l'instant, il dit "la liste des serveurs de ce groupe de travail n'est pas disponible". Il ne voit aucun poste windows, alors qu'il arrive à les pinguer... Pourtant, je ne vois rien dans les logs du firewall. Même en tentant de connecter un lecteur directement sur 192.168.1.15Partage, il ne trouve pas la machine à l'autre bout ("chemin réseau introuvable"). Une idée ?

par **belugha** » 29 Sep 2003 16:12

ouaip il faut les ouvrir les netbios , ha Microsoft ... moi je ne les ai autoriser que pour mon réseau local.

par **fgth** » 29 Sep 2003 16:18

Te rappeles-tu les numéros de ports (je la joue fainéant, là) ?

par **belugha** » 29 Sep 2003 16:22

un peu en effet <IMG SRC="images/smiles/icon_mad.gif"> iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j DROP ss rancunes <IMG SRC="images/smiles/icon_bise.gif">

par **fgth** » 29 Sep 2003 16:27

Ouille. Après 3 jours de prise de tête, je ne percute plus très bien... Pourquoi "DROP" ?....

par **belugha** » 29 Sep 2003 16:29

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-29 16:27, fgth a écrit: Ouille. Après 3 jours de prise de tête, je ne percute plus très bien... Pourquoi "DROP" ?.... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> parceque je les ai bloqué temporairement actuellement. G juste fais un copier collerpour te donner les N° de ports. <IMG SRC="images/smiles/icon_smile.gif">

par **fgth** » 29 Sep 2003 16:30

Merci merci merci.

par **fgth** » 29 Sep 2003 16:48

Beuh ? ça marche pô... Je les ai mis en ACCEPT sur ipsec0 dans la chaîne CUSTOMFORWARD, mais c'est pas mieux côté win2000... qu'est-ce que je n'ai pas compris ?

par **fgth** » 29 Sep 2003 17:17

Non ? pas d'info là-dessus ? Personne ?

par **fgth** » 29 Sep 2003 17:28

En plus qqchose m'interpelle, dans le rc.firewall : # accept all traffic from ipsec interfaces /sbin/iptables -A INPUT -i ipsec+ -j ACCEPT /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT Pourquoi dans ce cas les netbios-machin seraient-ils rejetés, et nécessiterait-ils des règles particulières ? Mmmh ?

par **fgth** » 29 Sep 2003 17:55

Ce que je ne pige pas, c'est qu'après avoir ajouté un LOG sur les arrivées ipsec (les 2 lignes ci-dessus avec -j LOG), je vois les ping, ou telnet, que je peux lancer du poste win vers un pc sur green, mais aucun autre protocole n'a l'air d'arriver, et particulièrement aucun protocole Micromou... Cela voudrait-il dire que c'est mon poste qui ne sait pas faire sortir ces requêtes (qui commence souvent par un broadcast, d'ailleurs, du genre "qui s'appelle serveurwin2k ?") à travers le tunnel pour trouver des machines Windows de l'autre côté ? Je m'interroge. Comment pourrais-je vérifier ça ? Un ZoneAlarm, vous croyez ?

VPN encore : pas d'initialisation du tunnel

Qui est en ligne ?