VPN ipcop win2000 je craque...

par **jjayMerillon** » 14 Oct 2003 21:59

Bonjour J'ai suvit a la lettre la doc d'installe d'un VPN entre IPCop et Win2000 ainsi que le post de fgille : <a href="http://forums.ixus.net/viewtopic.php?t=3913" target="_blank">http://forums.ixus.net/viewtopic.php?t=3913</a> mais rien y fait ca marche pas. Lorsque je tente de faire des ping de win2000 vers ipcop j'ai le message suivant dans /var/log/secure : Oct 14 20:34:27 fortress pluto[3951]: packet from 82.67.212.66:32967: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 14 20:34:27 fortress pluto[3951]: packet from 82.67.212.66:32967: initial Main Mode message received on 80.14.108.47:500 but no connection has been authorized Oct 14 20:34:43 fortress pluto[3951]: packet from 82.67.212.66:32967: ignoring Delete SA payload: not encrypted Voici ma config : PC IPcop : ADSL 512 Wanadoo IP dynamique mise a jour sur monIPCop.dyndns.org /etc/ipsec.conf : config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search conn clientWIN left=monIPCop.dyndns.org compress=no leftsubnet=192.168.0.0/24 leftnexthop=%defaultroute type=tunnel authby=secret pfs=yes right=%any rightnexthop=%defaultroute auto=add /etc/ipsec.secret : monIPCop.dyndns.org %any : PSK "9797f2da308e9764d86bf6c8f7fa5dad" monIPCop.dyndns.org 0.0.0.0 : PSK "9797f2da308e9764d86bf6c8f7fa5dad" voici les log de /var/log/secure lorsque je lance ipsec : Oct 14 21:45:02 fortress ipsec__plutorun: Starting Pluto subsystem... Oct 14 21:45:02 fortress pluto[4719]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) Oct 14 21:45:02 fortress pluto[4719]: including X.509 patch (Version 0.9.15) Oct 14 21:45:02 fortress pluto[4719]: including NAT-Traversal patch (Version 0.5a) [disabled] Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) Oct 14 21:45:02 fortress pluto[4719]: Changing to directory '/etc/ipsec.d/cacerts' Oct 14 21:45:02 fortress pluto[4719]: Warning: empty directory Oct 14 21:45:02 fortress pluto[4719]: Changing to directory '/etc/ipsec.d/crls' Oct 14 21:45:02 fortress pluto[4719]: Warning: empty directory Oct 14 21:45:02 fortress pluto[4719]: could not open my default X.509 cert file '/etc/x509cert.der' Oct 14 21:45:02 fortress pluto[4719]: OpenPGP certificate file '/etc/pgpcert.pgp' not found Oct 14 21:45:04 fortress pluto[4719]: | from whack: got --esp=3des Oct 14 21:45:04 fortress pluto[4719]: | from whack: got --ike=3des Oct 14 21:45:04 fortress pluto[4719]: added connection description "clientWIN" Oct 14 21:45:04 fortress pluto[4719]: listening for IKE messages Oct 14 21:45:04 fortress pluto[4719]: adding interface ipsec0/ppp0 80.14.108.47 Oct 14 21:45:04 fortress pluto[4719]: loading secrets from "/etc/ipsec.secrets" ###################################################################### PC win2000 : Connecté a internet derriere une Passerelle sur Free ADSL degrpoué ipsec.conf : conn clientWIN left=monIPCop.dyndns.org leftsubnet=192.168.0.0/24 right=%any presharedkey=9797f2da308e9764d86bf6c8f7fa5dad network=auto auto=start pfs=yes Quand je lance ipsec sur win2000 j'ai : IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller Getting running Config ... Microsoft's Windows 2000 identified Setting up IPSec ... Deactivating old policy... Removing old policy... Connection clientWIN: MyTunnel : 192.168.166.128 MyNet : 192.168.166.128/255.255.255.255 PartnerTunnel: monIPCop.dyndns.org PartnerNet : 192.168.0.0/255.255.255.0 CA (ID) : Preshared Key ****************** PFS : y Auto : start Auth.Mode : MD5 Rekeying : 3600S/50000K Activating policy... ###################################################################### Ensuit lorsque je ping l'interface GREEN de IPCop (192.168.0.10) : C:Program FilesResource Kit>ping 192.168.0.10 Oct 14 20:34:27 fortress pluto[3951]: packet from 82.67.212.66:32967: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 14 20:34:27 fortress pluto[3951]: packet from 82.67.212.66:32967: initial Main Mode message received on 80.14.108.47:500 but no connection has been authorized Oct 14 20:34:43 fortress pluto[3951]: packet from 82.67.212.66:32967: ignoring Delete SA payload: not encrypted Je craque <IMG SRC="images/smiles/icon_frown.gif"> j'ai tout essayé J'ai synchronisé mes machines sur le meme serveur de temps J'ai modifié le fichier /home/httpd/cgi-bin/vpn.cgi/vpnconfig.dat Qu'ai je oublié ???

par **belugha** » 15 Oct 2003 08:22

Bonjour, Ta config m'a l'air parfaite. Juste 2 points à vérifier: * Arrive tu à pinguer le monIPCop.dyndns.org ? * 192.168.0.0/24 correspond-il bien à ton réseau LAN ? Ensuite en mode console sur Ipcop pour lancer la VPN, tu tapes: # ipsec setup --restart Tu controle dans le var/log/secure que ta VPN est démarré comme tu l'as déjà fait. Ensuite sur ton poste Win200, tu lance ipsec, et tu ping un poste de ton réseau LAN pas IPCOP (c'est la que vient l'erreur à mon avis) . Tu controle à nouveau les logs dans ipcop et tu nous annonce la couleur . <IMG SRC="images/smiles/icon_smile.gif">

par **jjayMerillon** » 15 Oct 2003 11:14

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> * Arrive tu à pinguer le monIPCop.dyndns.org ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oui je le ping. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> * 192.168.0.0/24 correspond-il bien à ton réseau LAN ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> 192.168.0.0/24 est le reso deriere mon IPCop l'interface Verte est 192.168.0.10 C'est bien ce reso que je dois renseigner ici ? Voici des infos complementaire sur mon archi win2000 : INTERNET | | V FREE ADSL Degroupé IP fixe FireWall netfilter - linux 2.4 | | V Serveur DHCP - NAT - linux 2.4 | | V Mon win 2000 sur lequel je veux etablir la connexion VPN (IP 192.168.166.128)

par **jjayMerillon** » 15 Oct 2003 16:29

J'ai lu sur : <a href="http://www.ixus.net/pdf/mini-howto-vpnnat.pdf" target="_blank">http://www.ixus.net/pdf/mini-howto-vpnnat.pdf</a> qu'il est impossible de faire du VPN avec IPCop au travers d'un NAT. Cela doit expliquer mon pbl <IMG SRC="images/smiles/icon_frown.gif"> 2 solutions: 1- Adapter la methode du mini-howto-vpnnat.pdf a mon cas. 2- Virer le nat Je vais commencer par la solution 2.

par **jjayMerillon** » 15 Oct 2003 21:28

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-15 08:22, belugha a écrit: Bonjour, Ta config m'a l'air parfaite. Juste 2 points à vérifier: * Arrive tu à pinguer le monIPCop.dyndns.org ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> OUI <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> * 192.168.0.0/24 correspond-il bien à ton réseau LAN ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> oui c'est bien ça <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Ensuite en mode console sur Ipcop pour lancer la VPN, tu tapes: # ipsec setup --restart Tu controle dans le var/log/secure que ta VPN est démarré comme tu l'as déjà fait. Ensuite sur ton poste Win200, tu lance ipsec, et tu ping un poste de ton réseau LAN pas IPCOP (c'est la que vient l'erreur à mon avis) . Tu controle à nouveau les logs dans ipcop et tu nous annonce la couleur . </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Pas mieux Voici les logs : Oct 15 21:16:11 fortress pluto[4577]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) Oct 15 21:16:11 fortress pluto[4577]: including X.509 patch (Version 0.9.15) Oct 15 21:16:11 fortress pluto[4577]: including NAT-Traversal patch (Version 0.5a) [disabled] Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) Oct 15 21:16:11 fortress pluto[4577]: Changing to directory '/etc/ipsec.d/cacerts' Oct 15 21:16:11 fortress pluto[4577]: Warning: empty directory Oct 15 21:16:11 fortress pluto[4577]: Changing to directory '/etc/ipsec.d/crls' Oct 15 21:16:11 fortress pluto[4577]: Warning: empty directory Oct 15 21:16:11 fortress pluto[4577]: could not open my default X.509 cert file '/etc/x509cert.der' Oct 15 21:16:11 fortress pluto[4577]: OpenPGP certificate file '/etc/pgpcert.pgp' not found Oct 15 21:16:13 fortress pluto[4577]: | from whack: got --esp=3des Oct 15 21:16:13 fortress pluto[4577]: | from whack: got --ike=3des Oct 15 21:16:13 fortress pluto[4577]: added connection description "clientWIN" Oct 15 21:16:13 fortress pluto[4577]: listening for IKE messages Oct 15 21:16:13 fortress pluto[4577]: adding interface ipsec0/ppp0 81.51.25.16 Oct 15 21:16:13 fortress pluto[4577]: loading secrets from "/etc/ipsec.secrets" Oct 15 21:22:22 fortress pluto[4577]: packet from 82.67.212.66:32820: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 15 21:22:22 fortress pluto[4577]: packet from 82.67.212.66:32820: initial Main Mode message received on 81.51.25.16:500 but no connection has been authorized Oct 15 21:22:23 fortress pluto[4577]: packet from 82.67.212.66:32820: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 15 21:22:23 fortress pluto[4577]: packet from 82.67.212.66:32820: initial Main Mode message received on 81.51.25.16:500 but no connection has been authorized Oct 15 21:22:25 fortress pluto[4577]: packet from 82.67.212.66:32820: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 15 21:22:25 fortress pluto[4577]: packet from 82.67.212.66:32820: initial Main Mode message received on 81.51.25.16:500 but no connection has been authorized Oct 15 21:22:29 fortress pluto[4577]: packet from 82.67.212.66:32820: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 15 21:22:29 fortress pluto[4577]: packet from 82.67.212.66:32820: initial Main Mode message received on 81.51.25.16:500 but no connection has been authorized Oct 15 21:22:37 fortress pluto[4577]: packet from 82.67.212.66:32820: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 15 21:22:37 fortress pluto[4577]: packet from 82.67.212.66:32820: initial Main Mode message received on 81.51.25.16:500 but no connection has been authorized Oct 15 21:22:53 fortress pluto[4577]: packet from 82.67.212.66:32820: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000002] Oct 15 21:22:53 fortress pluto[4577]: packet from 82.67.212.66:32820: initial Main Mode message received on 81.51.25.16:500 but no connection has been authorized

par **belugha** » 16 Oct 2003 08:33

C'est exact qu'il existe une incompatibilité entre Ipsec et Nat comme tu l'as evoqué precedemment . <IMG SRC="images/smiles/icon_wink.gif">

par **jjayMerillon** » 16 Oct 2003 10:38

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-16 08:33, belugha a écrit: C'est exact qu'il existe une incompatibilité entre Ipsec et Nat comme tu l'as evoqué precedemment . <IMG SRC="images/smiles/icon_wink.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> J'ai essayé de connecter mon PC win2000 directement au net (plus de NAT), et ça marche. Ca marche meme tres bien. <IMG SRC="images/smiles/icon_smile.gif"> Merci belugha de t'etre penché sur mon probleme.

par nl » 16 Mars 2004 14:55

Essaye d'activer le nat_traversal patch : dans ipsec.conf : config setup nat_traversal=yes

par **PolluxX** » 16 Mars 2004 15:03

J'ai eu un probleme similaire. Coter IPCop: conn bob left=gauche.no-ip.com compress=no leftsubnet=192.168.0.0/24 leftnexthop=%defaultroute right=droite.no-ip.com rightsubnet=droite.no-ip.com/32 rightnexthop=%defaultroute auto=start Coter W2K: conn bob left=gauche.no-ip.com compress=no leftsubnet=192.168.0.0/24 right=droite.no-ip.com auto=start network=auto presharedkey=************* pfs=yes Voila j'espere ke ca t'aidera.

par **popoch** » 17 Mars 2004 14:15

normalement des paquets ip cryptes ne pourront jamais traverser un serveur nat! car le serveur nat possede un editeur nat qui modifie les entetes ip des paquets en modifiant les adresses sources et destinations ainsi que les ports. et quand on utilise ipsec les entetes sont cryptes, donc as de nat ..... si on est obligee d avoir du nat, on est oblige de passe en pptp...

par nl » 17 Mars 2004 14:45

normalement des paquets ip cryptes ne pourront jamais traverser un serveur nat! >> Si tu active le vpn-passthrought sur ton nat, pas de problème. car le serveur nat possede un editeur nat qui modifie les entetes ip des paquets en modifiant les adresses sources et destinations ainsi que les ports. et quand on utilise ipsec les entetes sont cryptes, donc as de nat ..... >> Utilise le patch nat_traversal de freeswan, pour encapsuler dans l'entête UDP. Petite remarque tout de même : selon ton matériel, tu ne peux avoir qu'un modem en vpn-passthrougt.

par **popoch** » 17 Mars 2004 19:53

on en apprend tous les jours .... merci du conseil il ne reste plus qu a tester ...

VPN ipcop win2000 je craque...

Qui est en ligne ?