VPN sur MNF : Aaaaargh je craque !

[fgth]

Bon je vais être clair : AU SECOOOOURS. <BR>Je viens de passer 2 jours à tenter un VPN entre une MNF et un client Win2000 RTC, et je craque. <BR>J'ai épluché tous les posts, je me suis conformé à la doc de louis en version 02, rien à faire, je ne trouve pas. <BR>La config : <BR> <BR>Win2000 RTC (Tiscali) -> internet -> ADSL / modem ST ethernet -> eth2 sur MNF <BR>Je suis en phase de test, j'utilise un ADSL Wanadoo avec adresse dynamique pour l'instant, tant qu'elle ne change pas je prend l'adresse qu'ils m'ont attribué comme si c'était une statique. <BR> <BR>sur la MNF, eth0 (lan) en 192.168.1.254, eth1 (DMZ), eth2 sans adresse pour attaquer le speedtouch en direct. <BR>Internet fonctionne, j'y accède depuis le réseau local. <BR>J'ai paramétré le VPN, le tunnel, la règle par défaut et l'exception. J'ai créé les clés, mis à jour l'ipsec.conf : <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> keyingtries=1 <BR> compress=yes <BR> disablearrivalcheck=no <BR> authby=rsasig <BR> leftrsasigkey=%cert <BR> rightrsasigkey=%cert <BR> <BR>conn systeaport-net <BR> leftsubnet=192.168.1.0/24 <BR> also=systeaport <BR> <BR>conn systeaport <BR> left=%defaultroute <BR> right=%any <BR> rightsubnet=0/0 <BR> leftcert=<nom de ma machine MNF>.pem <BR> auto=add <BR> pfs=yes <BR> <BR>Sur le client VPN, win2000, connexion modem sur Tiscali, internet fonctionne. <BR>J'ai installé ipsecpol et ipsec.exe, mis à jour l'ipsec.conf : <BR> <BR>conn %default <BR> <BR> dial=Tiscali <BR> <BR> <BR> <BR>conn systeaport <BR> <BR> left=%any <BR> <BR> right=<adresse <BR>Wanadoo 81.xx.xx.xx> <BR> rightca="C=FR, S=France, L=<ville>, O=<société>, CN=<nom machine MNF>" <BR> <BR> network=auto <BR> <BR> auto=start <BR> <BR> pfs=yes <BR> <BR> <BR> <BR>conn systeaport-net <BR> <BR> left=%any <BR> <BR> right=<adresse Wanadoo 81.xx.xx.xx> <BR> rightsubnet=192.168.1.0/24 <BR> <BR> rightca="C=FR, S=France, L=<ville>, O=<société>, CN=<nom machine MNF>" <BR> <BR> network=auto <BR> <BR> auto=start <BR> <BR> pfs=yes <BR> <BR> <BR>Je connecte tout ça en lançant ipsec sur win2000. Je tente un ping vers une adresse du 192.168.1.xx, je n'ai que 4 fois "Négociation de sécurité IP", et 4 paquets perdus... <BR> <BR>Ce que je ne pige pas, c'est que je n'ai aucun message dans /var/log/message : pas de paquet rejeté ayant l'adresse du client, rien... <BR> <BR>Sur le client, dans le oakley.log, ce qui me gêne le plus c'est ça : <BR> <BR> 9-27: 11:39:10:4ec Received no valid CRPs. Using all configured <BR> 9-27: 11:39:10:4ec failed to get chain -2146885628 <BR> 9-27: 11:39:10:4ec ProcessFailure: sa:002394A0 centry:00000000 status:cbad0326 <BR> <BR>et ça : <BR> <BR> 9-27: 11:39:10:4ec Mode d'échange de clés (Mode principal) <BR> 9-27: 11:39:10:4ec Adresse IP source213.36.89.101 <BR>Masque d'adresse IP source 255.255.255.255 <BR>Adresse IP de destination 81.xx.xx.xx <BR>Masque d'adresse IP de destination 255.255.255.255 <BR>Protocole 0 <BR>Port source 0 <BR>Port de destination 0 <BR> 9-27: 11:39:10:4ec Moi <BR> 9-27: 11:39:10:4ec IKE n'a pas trouvé de certificat ordinateur valide <BR> 9-27: 11:39:10:4ec ProcessFailure: sa:002394A0 centry:00000000 status:cbad0326 <BR> <BR>Quelqu'un at-il une idée ? Au secours, les gars les filles, il faut que je mette ça en route rapidement maintenant, je dois faire des tests en réèl la semaine prochaine ! Et je n'aimerai vraiment pas avoir à me rabattre sur un win2000 parce que je n'y arrive pas avec la MNF !!! J'en mourrerai. <BR> <BR> <BR>Au cas où, voilà le log complet : <BR> <BR>9-27: 11:39:09:3b8 Posting acquire: op=816BAF88 src=213.36.89.101.0 dst=192.168.1.11.0 proto = 0, SrcMask=255.255.255.255, DstMask=255.255.255.0, Tunnel 1, TunnelEndpt=81.xx.xx.xx Inbound TunnelEndpt=213.36.89.101 <BR> <BR> 9-27: 11:39:09:3b8 Acquire thread waiting <BR> <BR> 9-27: 11:39:09:4ec find(ipsec): d240512d-3fcb-47be-8ff9c771baf4395f <BR> <BR> 9-27: 11:39:09:4ec outstanding_kernel_req returned 0 <BR> <BR> 9-27: 11:39:09:4ec Created new SA 2394a0 <BR> <BR> 9-27: 11:39:09:4ec Acquire: src = 213.36.89.101.0000, dst = 81.xx.xx.xx.62465, proto = 00, context = 816BAF88, ProxySrc = 213.36.89.101.0000, ProxyDst = 192.168.1.0.0000 SrcMask = 0.0.0.0 DstMask = 255.255.255.0 <BR> <BR> 9-27: 11:39:09:4ec constructing ISAKMP Header <BR> <BR> 9-27: 11:39:09:4ec constructing SA (ISAKMP) <BR> <BR> 9-27: 11:39:09:4ec find(isakmp): d240512d-3fcb-47be-8ff9c771baf4395f <BR> <BR> 9-27: 11:39:09:4ec Setting group desc <BR> <BR> 9-27: 11:39:09:4ec Setting group desc <BR> <BR> 9-27: 11:39:09:4ec Setting group desc <BR> <BR> 9-27: 11:39:09:4ec Setting group desc <BR> <BR> 9-27: 11:39:09:4ec Constructing Vendor <BR> <BR> 9-27: 11:39:09:4ec Throw: State mask=1 <BR> <BR> 9-27: 11:39:09:4ec Added Timeout 9cd00 <BR> <BR> 9-27: 11:39:09:4ec Setting Retransmit: sa 2394a0 handle 9cd00 context 23b0d8 <BR> <BR> 9-27: 11:39:09:4ec <BR> <BR> 9-27: 11:39:09:4ec Sending: SA = 0x002394A0 to 81.xx.xx.xx <BR> <BR> 9-27: 11:39:09:4ec ISAKMP Header: (V1.0), len = 216 <BR> <BR> 9-27: 11:39:09:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:09:4ec R-COOKIE 0000000000000000 <BR> <BR> 9-27: 11:39:09:4ec exchange: Oakley Main Mode <BR> <BR> 9-27: 11:39:09:4ec flags: 0 <BR> <BR> 9-27: 11:39:09:4ec next payload: SA <BR> <BR> 9-27: 11:39:09:4ec message ID: 00000000 <BR> <BR> 9-27: 11:39:09:4ec <BR> <BR> 9-27: 11:39:09:4ec Resume: (get) SA = 0x002394a0 from 81.xx.xx.xx <BR> 9-27: 11:39:09:4ec ISAKMP Header: (V1.0), len = 84 <BR> <BR> 9-27: 11:39:09:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:09:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:09:4ec exchange: Oakley Main Mode <BR> <BR> 9-27: 11:39:09:4ec flags: 0 <BR> <BR> 9-27: 11:39:09:4ec next payload: SA <BR> <BR> 9-27: 11:39:09:4ec message ID: 00000000 <BR> <BR> 9-27: 11:39:09:4ec Stopping RetransTimer sa:002394A0 centry:00000000 handle:0009CD00 <BR> <BR> 9-27: 11:39:09:4ec processing payload SA <BR> <BR> 9-27: 11:39:09:4ec Received Phase 1 Transform 1 <BR> <BR> 9-27: 11:39:09:4ec Encryption Alg Triple DES CBC(5) <BR> <BR> 9-27: 11:39:09:4ec Hash Alg SHA(2) <BR> <BR> 9-27: 11:39:09:4ec Oakley Group 2 <BR> <BR> 9-27: 11:39:09:4ec Auth Method Signature RSA avec les certificats(3) <BR> <BR> 9-27: 11:39:09:4ec Life type in Seconds <BR> <BR> 9-27: 11:39:09:4ec Life duration of 28800 <BR> <BR> 9-27: 11:39:09:4ec Phase 1 SA accepted: transform=1 <BR> <BR> 9-27: 11:39:09:4ec SA - Oakley proposal accepted <BR> <BR> 9-27: 11:39:09:4ec In state OAK_MM_SA_SETUP <BR> <BR> 9-27: 11:39:09:4ec constructing ISAKMP Header <BR> <BR> 9-27: 11:39:09:4ec constructing KE <BR> <BR> 9-27: 11:39:09:4ec constructing NONCE (ISAKMP) <BR> <BR> 9-27: 11:39:09:4ec Throw: State mask=7 <BR> <BR> 9-27: 11:39:09:4ec <BR> <BR> 9-27: 11:39:09:4ec Sending: SA = 0x002394A0 to 81.xx.xx.xx <BR> 9-27: 11:39:09:4ec ISAKMP Header: (V1.0), len = 184 <BR> <BR> 9-27: 11:39:09:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:09:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:09:4ec exchange: Oakley Main Mode <BR> <BR> 9-27: 11:39:09:4ec flags: 0 <BR> <BR> 9-27: 11:39:09:4ec next payload: KE <BR> <BR> 9-27: 11:39:09:4ec message ID: 00000000 <BR> <BR> 9-27: 11:39:10:4ec <BR> <BR> 9-27: 11:39:10:4ec Resume: (get) SA = 0x002394a0 from 81.xx.xx.xx <BR> <BR> 9-27: 11:39:10:4ec ISAKMP Header: (V1.0), len = 188 <BR> <BR> 9-27: 11:39:10:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:10:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:10:4ec exchange: Oakley Main Mode <BR> <BR> 9-27: 11:39:10:4ec flags: 0 <BR> <BR> 9-27: 11:39:10:4ec next payload: KE <BR> <BR> 9-27: 11:39:10:4ec message ID: 00000000 <BR> <BR> 9-27: 11:39:10:4ec Stopping RetransTimer sa:002394A0 centry:00000000 handle:0009CD00 <BR> <BR> 9-27: 11:39:10:4ec processing payload KE <BR> <BR> 9-27: 11:39:10:4ec Generated 128 byte Shared Secret <BR> <BR> 9-27: 11:39:10:4ec KE processed; DH shared secret computed <BR> <BR> 9-27: 11:39:10:4ec processing payload NONCE <BR> <BR> 9-27: 11:39:10:4ec processing payload CR <BR> <BR> 9-27: 11:39:10:4ec Processing Cert request <BR> <BR> 9-27: 11:39:10:4ec In state OAK_MM_Key_EXCH <BR> <BR> 9-27: 11:39:10:4ec skeyid generated; crypto enabled (initiator) <BR> <BR> 9-27: 11:39:10:4ec constructing ISAKMP Header <BR> <BR> 9-27: 11:39:10:4ec constructing ID <BR> <BR> 9-27: 11:39:10:4ec Received no valid CRPs. Using all configured <BR> <BR> 9-27: 11:39:10:4ec failed to get chain -2146885628 <BR> <BR> 9-27: 11:39:10:4ec ProcessFailure: sa:002394A0 centry:00000000 status:cbad0326 <BR> <BR> 9-27: 11:39:10:4ec isadb_set_status sa:002394A0 centry:00000000 status cbad0326 <BR> <BR> 9-27: 11:39:10:4ec Mode d'échange de clés (Mode principal) <BR> <BR> <BR> <BR> <BR> 9-27: 11:39:10:4ec Adresse IP source213.36.89.101 <BR> <BR> <BR>Masque d'adresse IP source 255.255.255.255 <BR> <BR> <BR>Adresse IP de destination 81.xx.xx.xx <BR>Masque d'adresse IP de destination 255.255.255.255 <BR> <BR> <BR>Protocole 0 <BR> <BR> <BR>Port source 0 <BR> <BR> <BR>Port de destination 0 <BR> <BR> <BR> <BR> <BR> 9-27: 11:39:10:4ec Moi <BR> <BR> <BR> <BR> <BR> 9-27: 11:39:10:4ec IKE n'a pas trouvé de certificat ordinateur valide <BR> <BR> <BR> <BR> <BR> 9-27: 11:39:10:4ec ProcessFailure: sa:002394A0 centry:00000000 status:cbad0326 <BR> <BR> 9-27: 11:39:10:4ec constructing ISAKMP Header <BR> <BR> 9-27: 11:39:10:4ec constructing HASH (null) <BR> <BR> 9-27: 11:39:10:4ec constructing NOTIFY 28 <BR> <BR> 9-27: 11:39:10:4ec constructing HASH (ND) <BR> <BR> 9-27: 11:39:10:4ec Construct ND hash message len = 28 pcklen=80 hashlen=20 <BR> <BR> 9-27: 11:39:10:4ec Construct ND Hash mess ID 53b12fb3 <BR> <BR> 9-27: 11:39:10:4ec ND Hash skeyid_a e12ce535236a93c1bb402da80ffd7662 <BR> <BR> 9-27: 11:39:10:4ec 9f94fc63 <BR> <BR> 9-27: 11:39:10:4ec ND Hash message 0000001c000000010110001c23a02bd4 <BR> <BR> 9-27: 11:39:10:4ec 5b0c1eb1a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:10:4ec Throw: State mask=200110f <BR> <BR> 9-27: 11:39:10:4ec Doing tripleDES <BR> <BR> 9-27: 11:39:10:4ec <BR> <BR> 9-27: 11:39:10:4ec Sending: SA = 0x002394A0 to 81.xx.xx.xx <BR> 9-27: 11:39:10:4ec ISAKMP Header: (V1.0), len = 84 <BR> <BR> 9-27: 11:39:10:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:10:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:10:4ec exchange: ISAKMP Informational Exchange <BR> <BR> 9-27: 11:39:10:4ec flags: 1 ( encrypted ) <BR> <BR> 9-27: 11:39:10:4ec next payload: HASH <BR> <BR> 9-27: 11:39:10:4ec message ID: 53b12fb3 <BR> <BR> 9-27: 11:39:20:4ec <BR> <BR> 9-27: 11:39:20:4ec Resume: (get) SA = 0x002394a0 from 81.xx.xx.xx <BR> 9-27: 11:39:20:4ec ISAKMP Header: (V1.0), len = 188 <BR> <BR> 9-27: 11:39:20:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:20:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:20:4ec exchange: Oakley Main Mode <BR> <BR> 9-27: 11:39:20:4ec flags: 0 <BR> <BR> 9-27: 11:39:20:4ec next payload: KE <BR> <BR> 9-27: 11:39:20:4ec message ID: 00000000 <BR> <BR> 9-27: 11:39:20:4ec received an unencrypted packet when crypto active <BR> <BR> 9-27: 11:39:20:4ec GetPacket failed cbad0324 <BR> <BR> 9-27: 11:39:40:4ec <BR> <BR> 9-27: 11:39:40:4ec Resume: (get) SA = 0x002394a0 from 81.xx.xx.xx <BR> <BR> 9-27: 11:39:40:4ec ISAKMP Header: (V1.0), len = 188 <BR> <BR> 9-27: 11:39:40:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:39:40:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:39:40:4ec exchange: Oakley Main Mode <BR> <BR> 9-27: 11:39:40:4ec flags: 0 <BR> <BR> 9-27: 11:39:40:4ec next payload: KE <BR> <BR> 9-27: 11:39:40:4ec message ID: 00000000 <BR> <BR> 9-27: 11:39:40:4ec received an unencrypted packet when crypto active <BR> <BR> 9-27: 11:39:40:4ec GetPacket failed cbad0324 <BR> <BR> 9-27: 11:41:14:4ec SA Dead. sa:002394A0 status:cbad0328 <BR> <BR> 9-27: 11:41:14:4ec constructing ISAKMP Header <BR> <BR> 9-27: 11:41:14:4ec constructing HASH (null) <BR> <BR> 9-27: 11:41:14:4ec constructing DELETE <BR> <BR> 9-27: 11:41:14:4ec constructing HASH (ND) <BR> <BR> 9-27: 11:41:14:4ec Construct ND hash message len = 28 pcklen=80 hashlen=20 <BR> <BR> 9-27: 11:41:14:4ec Construct ND Hash mess ID 7bd81096 <BR> <BR> 9-27: 11:41:14:4ec ND Hash skeyid_a e12ce535236a93c1bb402da80ffd7662 <BR> <BR> 9-27: 11:41:14:4ec 9f94fc63 <BR> <BR> 9-27: 11:41:14:4ec ND Hash message 0000001c000000010110000123a02bd4 <BR> <BR> 9-27: 11:41:14:4ec 5b0c1eb1a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:41:14:4ec Throw: State mask=110f <BR> <BR> 9-27: 11:41:14:4ec Doing tripleDES <BR> <BR> 9-27: 11:41:14:4ec <BR> <BR> 9-27: 11:41:14:4ec Sending: SA = 0x002394A0 to 81.xx.xx.xx <BR> 9-27: 11:41:14:4ec ISAKMP Header: (V1.0), len = 84 <BR> <BR> 9-27: 11:41:14:4ec I-COOKIE 23a02bd45b0c1eb1 <BR> <BR> 9-27: 11:41:14:4ec R-COOKIE a74ee8c9fb6506f5 <BR> <BR> 9-27: 11:41:14:4ec exchange: ISAKMP Informational Exchange <BR> <BR> 9-27: 11:41:14:4ec flags: 1 ( encrypted ) <BR> <BR> 9-27: 11:41:14:4ec next payload: HASH <BR> <BR> 9-27: 11:41:14:4ec message ID: 7bd81096 <BR> <BR> 9-27: 11:41:14:4ec Deleting SA 002394A0 <BR> <BR> 9-27: 11:41:14:4ec Cancelling Timeout 9cd00 <BR> <BR> 9-27: 11:43:40:54c Interface change event <BR> <BR> 9-27: 11:43:40:54c Added Timeout 9cd00 <BR> <BR> 9-27: 11:43:40:4ec Deregister wait d51c8 <BR> <BR> 9-27: 11:43:40:4ec removing socket to 655924d5 <BR> <BR> 9-27: 11:43:53:54c Interface change event <BR> <BR> 9-27: 11:43:53:54c RegisterSocket: Socket 1200, Event 1184 <BR> <BR> <BR> <BR> 9-27: 11:43:53:54c Register wait d51c8 <BR> <BR> 9-27: 11:43:53:54c Adding socket: 1200 addr: 192.168.1.20 <BR> <BR> 9-27: 11:43:53:54c Referenced Socket 1401a8c0 <BR> <BR>

[natlus]

<IMG SRC="images/smiles/icon_rolleyes.gif"> en reponse a fgth , d' apres les messages le point de sortie du tunnel n'est pas bien precise ( adresse ip comencant par 81 au lieu de 192.168.1...) <BR> <BR> <BR> de plus si eth2 n'est pas precise ,c' est bien ton modem qui gere l' adresse ip, je pose la kestion <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif">

[fgth]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-27 20:39, natlus a écrit: <BR> en reponse a fgth , d' apres les messages le point de sortie du tunnel n'est pas bien precise ( adresse ip comencant par 81 au lieu de 192.168.1...) <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Ok, mais j'ai rempli les fichiers de conf scrupuleusement comme dans la doc de louis.... Alors ? Si qqun a connecté 1 poste distant par RTC (ou ADSL, à mon avis ça ne change pas grand chose), peut-il poster ses fichiers de conf que je compare (et que j'essaie de comprendre un peu mieux, surtout) <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> de plus si eth2 n'est pas precise ,c' est bien ton modem qui gere l' adresse ip, je pose la kestion <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Plus ou moins, l'adresse est attribuée par Wanadoo à la connexion. Mais même en supposant que j'ai une IP fixe, ça ne changerait rien au fait que pour attaquer le modem ethernet, je doive laisser eth2 sans adresse, non ? <BR>( -> <!-- BBCode auto-link start --><a href="http://ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&topic=3447&forum=23" target="_blank">http://ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&topic=3447&forum=23</a><!-- BBCode auto-link end --> ) <BR> <BR>Alors que fais-je ? <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Je réitère : si qqun a réussi ça, peut-il poster ses fichiers de conf (ipsec.conf côté MNF et côté client win, ipsec.secrets (ah oui, tiens, j'ai toujours ce prob de "error loading RSA private file" si je met le fichier <nom_mùachine_autorité_de_certification>.key dans ipsec.secrets... ça ne marche qu'avec ca.key), bref, tout ce qui peut coincer chez moi. <BR> <BR>Meeeeeeerci d'avance. ça m'enlèverai un GROSSE épine du pied. Genre séquoïa. <IMG SRC="images/smiles/icon_help.gif">

[Guepi]

je suis dans le même cas que toi ... <BR> <BR>Mais je cherche !

[louis]

Bonjour, <BR> <BR>Si tu n'a aucune ligne dans ton log mnf, le tunel n'est pas établi. <BR>Si dans le log Windows, tu as 'IKE n'a pas trouvé de certificat ordinateur valide', ton problème vient de ton certificat coté Windows. <BR> <BR> <BR>Concernant ta demande de fichier 'conf', dans ma doc, les exemples données sont ceux de ma configuration et ils marchent correctement.

[fgth]

Ouaip, c'est bien le message. Le problème, c'est que j'ai vérifié 250 fois l'ipsec.conf côté windows, j'ai essayé des dizaines de configs, d'après les posts trouvés ici et les docs sur internet, et j'ai toujours le même message !!!! <BR>Je viens d'essayer avec un IPcop. Après 2 ou 3 prob de paramétrage résolus côté linux, ça marche, mais en PSK (presharedkey). Ca vient surement des certifs RSA, mais je ne comprend pas ou ça coince.

[Guepi]

ton problème est que tes certficats n'ont pas été ajouté à ta machine ... ou du moins pas correcterment ! <BR> <BR>Si tu l'as fait, efface les certificats, et resuit la procédure de louis, point par point !

[fgth]

Bon je vais réessayer avec les certifs. <BR>Dis donc louis, en parlant de ta doc, as-tu mis en ligne une version avec les modifs (CA.sh dans misc, les noms newxxx.pem inversés, etc...) depuis la vpn1-02 ? Et surtout, as-tu testé la partie avec partage de connexion? ça m'intéresse aussi pour ce que je suis en train de monter. Le problème viendra-t-il de la translation d'adresse opéré par le partage de connexion ? <BR> <BR>Tiens, je pose la question : que se passe-t-il si mon portable, à partir duquel j'arrive à ouvrir un tunnel vers mon réseau via RTC, est connecté à un réseau avec routeur/NAT ? <BR>En gros : <BR> <BR>portable --- RTC --- Tiscali --- internet ---- ADSL ---- ST Ethernet ---- eth2 MNF eth0 ----- lan 192.168.1.xx : <BR>ça, ça marche. Je branche le portable tel quel (DHCP) en ethernet sur un réseau d'entreprise : <BR> <BR>portable 192.168.0.20 ---- 192.168.0.1 routeur/NAT 193.xx.xx.xx --- internet --- ADSL ---....etc... idem côté MNF : <BR>que se passe-t-il ici lorsque je tape "ipsec" sur le portable ? Est-ce possible sans ajouter une MNF ou autre devant ou derrière le routeur pour discuter avec la MNF de mon réseau local ? Quelles modifs sont nécessaires ? <BR> <BR>Peut-être que ça a déjà été traité, mais je ne vous cache pas qu'avec la montagne de docs que je me suis avalé depuis quelques jours, j'ai un peu de mal à synthétiser.

[Guepi]

je pense qu'il faut créé cette possibilité dans ton ipsec.conf ... <BR> <BR> <BR>conn portable-modem <BR>(...) <BR> <BR>conn portable-routeur <BR>(...) <BR> <BR>enfin, je me trompe peut-être ... <IMG SRC="images/smiles/icon_confused.gif">

[fgth]

C'est une idée, mais je ne vois pas trop comment la mettre en pratique. Entre temps j'ai trouvé un réseau sur lequel connecter mon portable, et j'ai fait des tests, voilà ce que j'ai dans mes logs : <BR> <BR>Sep 30 17:04:31 ipcop pluto[18548]: "vpnPoitiers"[1] 193.251.25.129 #1: responding to Main Mode from unknown peer 193.251.25.129 <BR>Sep 30 17:04:32 ipcop pluto[18548]: "vpnPoitiers"[1] 193.251.25.129 #1: Peer ID is ID_IPV4_ADDR: '192.168.8.4' <BR>Sep 30 17:04:32 ipcop pluto[18548]: "vpnPoitiers"[2] 193.251.25.129 #1: deleting connection "vpnPoitiers" instance with peer 193.251.25.129 <BR>Sep 30 17:04:32 ipcop pluto[18548]: "vpnPoitiers"[2] 193.251.25.129 #1: sent MR3, ISAKMP SA established <BR>Sep 30 17:04:32 ipcop pluto[18548]: "vpnPoitiers"[2] 193.251.25.129 #1: cannot respond to IPsec SA request because no connection is known for 192.168.1.0/24===81.53.243.200...193.251.25.129[192.168.8.4]===192.168.8.4/32 <BR>Sep 30 17:04:32 ipcop pluto[18548]: "vpnPoitiers"[2] 193.251.25.129 #1: sending encrypted notification INVALID_ID_INFORMATION to 193.251.25.129:500 <BR>Sep 30 17:04:33 ipcop pluto[18548]: "vpnPoitiers"[2] 193.251.25.129 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b7cc898 (perhaps this is a duplicated packet) <BR>Sep 30 17:04:33 ipcop pluto[18548]: "vpnPoitiers"[2] 193.251.25.129 #1: sending encrypted notification INVALID_MESSAGE_ID to 193.251.25.129:500 <BR> <BR>Le "because no connection is known..." est assez éloquent : il a une adresse de trop dans son chemin, celle du routeur. <BR>Alors ? Une idée, qqun ?

[Guepi]

dans ton fichier de conf, tu dois enlever le leftnexthop ou le rightnexthop ... <BR> <BR>

[louis]

Je vais faire un test ce soir sur une connexion d'un poste windows faisant du nat (suivant la config donnée par François M.). <BR> <BR>Pour une config d'un poste windows nomade (sans nat) vers un réseau mnf (avec nat), ça marche - c'est l'exemple donné dans la doc. <BR> <BR>Concernant la demande : "Dis donc louis, en parlant de ta doc, as-tu mis en ligne une version avec les modifs (CA.sh dans misc, les noms newxxx.pem inversés, etc...) depuis la vpn1-02 ? ", je vais revoir la doc et mettre en ligne une nouvelle version avec le résultat de mes tests. <BR>

[louis]

J'ai testé une liaison VPN entre des postes Windows connectés en réseau (dont un partage sa connexion et établi le tunel vpn) et un réseau sous MNF. Tout cela en me basant sur l'ajout de François à ma doc et bien ça marche pas !

[fgth]

Ah j'ai raté qqchose. Ou puis-je trouvé l'ajout de François, histoire de tester la chose aussi de mon côté ?

[louis]

<!-- BBCode auto-link start --><a href="http://faure.free.fr/Download/pdf/mnf_vpn.pdf" target="_blank">http://faure.free.fr/Download/pdf/mnf_vpn.pdf</a><!-- BBCode auto-link end -->