Router un protocol sur un Efficient 5930 ?

par **Bartho78** » 30 Oct 2003 11:16

Bonjour à tous. Je cherche à faire un VPN entre deux sites equipés de routeurs Efficient Network 5930 et de firewall IPCOP derrière. Pb : j'ai besoin de router donc le protocol 50 vers les IPCOP, mais je ne trouve pas la commande correspondante dans la doc du routeur. Quelqu'un connait ? D'ailleurs, si quelqu'un connait ce type de matos, je n'arrive pas non plus à faire de VPN au niveau du routeur, que ce soit via l'interface web ou à la main d'après les exemples. J'ai toujours un message dans le log (pas très précis d'ailleurs) du type : 10/27/2003-23:12:37:PPP: IKE phase 1; peer not responding, retrying (check peer and proposal settings) La config est la suivante : Site1 : === IKE === IKE Peers: Versailles IP address is 80.11.8.2 Pre-shared secret: XXXXXXXX Mode: main IKE Proposals: Versailles Session authentication: Preshared Keys Encryption: 3-DES Message authentication: SHA-1 DH Group: Group 2 Lifetime: 86400 IKE IPSec Proposals: Versailles ESP encryption: DES-CBC ESP authentication: SHA-1 AH authentication: none IPComp: none Lifetime 1800 Lifedata 50000 IKE IPSec Policies: Versailles (enabled) Source address/mask: 192.168.1.253 / 255.255.255.0 Destination address/mask: 192.168.20.0 / 255.255.255.0 Protocol: all Source port: all Destination port: all Mode: Tunnel Mode PFS Group: none Translate IP addresses inside IPsec: OFF Any interface Peer: Versailles (80.11.8.2) Proposals: Versailles Site 2 : === IKE === IKE Peers: Villepreux IP address is 80.11.11.16 Pre-shared secret: XXXXXXXX Mode: main IKE Proposals: Villepreux Session authentication: Preshared Keys Encryption: 3-DES Message authentication: SHA-1 DH Group: Group 2 Lifetime: 86400 IKE IPSec Proposals: Villepreux ESP encryption: DES-CBC ESP authentication: SHA-1 AH authentication: none IPComp: none Lifetime 1800 Lifedata 50000 IKE IPSec Policies: Villepreux (enabled) Source address/mask: 192.168.20.253 / 255.255.255.0 Destination address/mask: 192.168.1.0 / 255.255.255.0 Protocol: all Source port: all Destination port: all Mode: Tunnel Mode PFS Group: none Translate IP addresses inside IPsec: OFF Any interface Peer: Villepreux (80.11.11.16) Proposals: Villepreux Merci d'avance de toute suggestion <IMG SRC="images/smiles/icon_smile.gif">

par **bobox** » 31 Oct 2003 14:38

Salut tiens voila des documentations qui peuvent t'interresser : <a href="http://kb.efficient.com/utility/getfile.asp?rid=4847" target="_blank">http://kb.efficient.com/utility/getfile.asp?rid=4847</a> c est une doc generaliste sur les series 5900 entre autres . Tu trouvera tous pour mettre en place un VPN entre deux sites en L2TP, PPTP et IPSEC avec des exemples Pour le routage du protocol 50 : alors la ??????????

par **Bartho78** » 31 Oct 2003 15:12

merci bobox malheureusement j'avais déjà regardé cette doc, ainsi que la plupart dispo sur ce site. mais malgré de nombreux essais, je n'y arrive pas <IMG SRC="images/smiles/icon_frown.gif"> toujours le même message d'erreur indiqué dans mon premier post. Soit c'est tellement gros que je ne voie pas l'erreur, mais je doute, car j'ai fini par le faire à la main suivant un exemple illustré dans cette doc ou une autre du même genre, et c'était pareil..... y'a pas de firmware en mise à jour de dispo. c'est pour ça que je voudrais finalement faire le vpn avec les ipcop qui sont derriere, mais là je bute sur le protocol 50 à router <IMG SRC="images/smiles/icon_frown.gif"> ouiiiiiiiiiinnnnnnnnn <IMG SRC="images/smiles/icon_cry.gif">

par **bobox** » 31 Oct 2003 15:27

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Site1 : IKE IPSec Policies: Versailles (enabled) Source address/mask: 192.168.1.253 / 255.255.255.0 Destination address/mask: 192.168.20.0 / 255.255.255.0 Protocol: all Source port: all Destination port: all Mode: Tunnel Mode PFS Group: none Translate IP addresses inside IPsec: OFF Any interface Peer: Versailles (80.11.8.2) Proposals: Versailles Site 2 : IKE IPSec Policies: Villepreux (enabled) Source address/mask: 192.168.20.253 / 255.255.255.0 Destination address/mask: 192.168.1.0 / 255.255.255.0 Protocol: all Source port: all Destination port: all Mode: Tunnel Mode PFS Group: none Translate IP addresses inside IPsec: OFF Any interface Peer: Villepreux (80.11.11.16) Proposals: Villepreux </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> quelque chose me choque sur tes adresses sources de ton site 1 et de ton site 2 par rapport au masque de l'adresse source et à la destination des sites ne serait ce pas source adress/ 192.168.20.0 / 255.255.255.0 pour le site 2 et 192.168.1.0 / 255.255.255.0 pour le site 1

par **Bartho78** » 31 Oct 2003 16:17

jr vais essayer ce soir (ie dès que plus personne bosse et utilise la connexion de ces routeurs).

par **Bartho78** » 01 Nov 2003 11:47

non, pareil toujours dans le log : 11/01/2003-09:44:16:PPP: Starting IKE policy Versailles 11/01/2003-09:44:20:PPP: IKE phase 1; peer not responding, retrying (check peer and proposal settings) 11/01/2003-09:44:28:PPP: IKE phase 1; peer not responding, retrying (check peer and proposal settings) 11/01/2003-09:44:44:PPP: IKE phase 1; peer not responding, retrying (check peer and proposal settings) <IMG SRC="images/smiles/icon_cussing.gif">

par **MisterT** » 01 Nov 2003 11:55

Une suggestion : ESP et AH sont les protocoles 50 et 51. Soit. Mais IKE (Internet Key Exchange), nécessaire à l'échange des informations pour créer les SA (Security Association) d'IPSec, est un protocole udp/500 si je ne me trompe pas (ou tcp/500, je ne sais plus...) Il faut donc "qu'il passe" pour pouvoir commencer la négociation. Or ton message me laisse penser qu'il est bloqué... non ?

par **Bartho78** » 03 Nov 2003 17:10

les règles sur le routeur du site 2 sont les suivantes : Begin IPFilters for internet # watching for dropped/rejected packets is OFF # Begin rules for input list remote ipfilter flush input internet remote ipfilter insert 0 input accept -c 0 -p udp -sp 500 -da 80.11.8.2 -dp 500 (IKE Global Filter) internet remote ipfilter insert 1 input accept -c 0 -p 51 -da 80.11.8.2 (IKE Global Filter) internet remote ipfilter insert 2 input accept -c 0 -p 50 -da 80.11.8.2 (IKE Global Filter) internet remote ipfilter insert 3 input drop -c 0 -sa 192.168.1.0:192.168.1.255 -da 192.168.20.0:192.168.20.255 (Villepreux_rx2) internet # End rules for input list # Begin rules for receive list remote ipfilter flush receive internet remote ipfilter insert 0 receive inipsec -c 0 -p 50 -sa 80.11.11.16 -da 80.11.8.2 -ipsec Villepreux_rx1 internet remote ipfilter insert 1 receive inipsec -c 0 -p 50 -sa 80.11.11.16 -da 80.11.8.2 -ipsec Villepreux_rx2 internet # End rules for receive list # Begin rules for transmit list remote ipfilter flush transmit internet remote ipfilter insert 0 transmit accept -c 0 -p udp -sa 80.11.8.2 -sp 500 -dp 500 (IKE Global Filter) internet remote ipfilter insert 1 transmit accept -c 0 -p 50 -sa 80.11.8.2 (IKE Global Filter) internet remote ipfilter insert 2 transmit accept -c 0 -p 51 -sa 80.11.8.2 (IKE Global Filter) internet remote ipfilter insert 3 transmit outipsec -c 0 -sa 192.168.20.0:192.168.20.255 -da 192.168.1.0:192.168.1.255 -ipsec Villepreux_tx internet # End rules for transmit list # Begin rules for output list remote ipfilter flush output internet remote ipfilter insert 0 output accept -c 0 -p udp -sa 80.11.8.2 -sp 500 -dp 500 (IKE Global Filter) internet remote ipfilter insert 1 output accept -c 0 -p 50 -sa 80.11.8.2 -da 80.11.11.16 (Villepreux_rx2) internet remote ipfilter insert 2 output drop -c 0 -sa 192.168.20.0:192.168.20.255 -da 192.168.1.0:192.168.1.255 (Villepreux_rx2) internet # End rules for output list End IPFilters for internet comme il a construit ces règles tout seul comme un grand, j'aurais tandance à penser que c'est ok. je passe chez mon client cet après-midi, je vais lui prendre le contrat avec le provider pour vérifier que l'udp 500 arrive bien sur les routeurs.

Router un protocol sur un Efficient 5930 ?

Qui est en ligne ?