encore un pb VPN nomade

par **Renaud** » 05 Nov 2003 19:40

bonjour tout le monde, pffff décidément je galère avec le VPN nomade si ça continue je vais aller acheter un truc tout fait ça va être vite réglé :s Je précise que j'ai cherché sur le forum ET sur google avant de poster mais que je n'ai rien trouvé qui m'a permis de régler mon souci. Je veux simplement que mon portable puisse se connecter à mon LAN ou y'a mon IPCOP. J'ai suivi pas à pas la doc IPCopVPNHowtoFR Revision r1.8 ipcop 1.3 avec modem ethernet et ip fixe coté client c'est un win XP SP2, avec les tools winxp support et le package vpn ebootis.de Voici la tête de ma conf coté IPCOP : -- ipsec.conf : config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=1 conn renaudxp compress=no left=@IPFIXE-RED leftsubnet=@.RZO.GREEN/24 leftnexthop=%defaultroute type=tunnel authby=secret pfs=yes right=%any rightsubnet=@IPLAN-PORTABLE/24 (j'ai essayé /32 c pareil) rightnexthop=%defaultroute auto=add -- ipsec.secret : @IPFIXE-RED 0.0.0.0 : PSK "test" @IPFIXE-RED %any : PSK "test" Et Coté WinXP : ipsec.conf : conn LANVPN left=IPFIXE-RED leftsubnet=@.RZO.GREEN/24 right=%any presharedkey=test network=auto auto=start pfs=yes Je lance ipsec sur ipcop par l'interface Web Je connecte mon portable en rtc Je lance ipsec sur le portable je pingue l'interface green ipcop : Négociation de la sécurité IP ... même au bout de 10 minutes c'est pareil. >>> Voici les traces de ces tentatives de ping sur l'ipcop : Nov 7 18:12:45 aircop ipsec__plutorun: Starting Pluto subsystem... Nov 7 18:12:45 aircop pluto[2072]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99.<IMG SRC="images/smiles/icon_cool.gif"> Nov 7 18:12:45 aircop pluto[2072]: including X.509 patch with traffic selectors (Version 0.9.32) Nov 7 18:12:45 aircop pluto[2072]: including NAT-Traversal patch (Version 0.6) [disabled] Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) Nov 7 18:12:45 aircop pluto[2072]: Changing to directory '/etc/ipsec.d/cacerts' Nov 7 18:12:45 aircop pluto[2072]: Warning: empty directory Nov 7 18:12:45 aircop pluto[2072]: Changing to directory '/etc/ipsec.d/crls' Nov 7 18:12:45 aircop pluto[2072]: Warning: empty directory Nov 7 18:12:45 aircop pluto[2072]: OpenPGP certificate file '/etc/pgpcert.pgp' not found Nov 7 18:12:45 aircop pluto[2072]: | from whack: got --esp=3des Nov 7 18:12:45 aircop pluto[2072]: | from whack: got --ike=3des Nov 7 18:12:45 aircop pluto[2072]: added connection description "renaudxp" Nov 7 18:12:45 aircop pluto[2072]: listening for IKE messages Nov 7 18:12:45 aircop pluto[2072]: adding interface ipsec0/ppp0 @.IP.RED.FIXE Nov 7 18:12:45 aircop pluto[2072]: loading secrets from "/etc/ipsec.secrets" jusque là tout va bien c'est normal c'est le lancement de freeswan, mais alors après je comprends pas : Nov 7 18:13:13 aircop pluto[2072]: packet from @.IPDYN.WAN.PORTABLE:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003] Nov 7 18:13:13 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: responding to Main Mode from unknown peer @.IPDYN.WAN.PORTABLE Nov 7 18:13:13 aircop pluto[2072]: packet from @.IPDYN.WAN.PORTABLE:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003] Nov 7 18:13:13 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #2: responding to Main Mode from unknown peer @.IPDYN.WAN.PORTABLE Nov 7 18:13:15 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #2: ignoring informational payload, type INVALID_COOKIE Nov 7 18:13:15 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #2: received and ignored informational message Nov 7 18:13:15 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: discarding duplicate packet; already STATE_MAIN_R2 Nov 7 18:13:15 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: Main mode peer ID is ID_IPV4_ADDR: '@.IPDYN.WAN.PORTABLE' Nov 7 18:13:15 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: sent MR3, ISAKMP SA established Nov 7 18:13:16 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: retransmitting in response to duplicate packet; already STATE_MAIN_R3 Nov 7 18:13:17 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: cannot respond to IPsec SA request because no connection is known for @.RZO.GREEN/24===@.IP.RED.FIXE...@.IPDYN.WAN.PORTABLE Nov 7 18:13:17 aircop pluto[2072]: "renaudxp"[1] @.IPDYN.WAN.PORTABLE #1: sending encrypted notification INVALID_ID_INFORMATION to @.IPDYN.WAN.PORTABLE:500 j'ai remplacé l'adresse dynamique fournie par l'opérateur rtc sur le portable par @.IPDYN.WAN.PORTABLE, et mon adresse IP Fixe coté ipcop par ===@.IP.RED.FIXE svp aidez moi j'en peux plus <IMG SRC="images/smiles/icon_help.gif">

par **belugha** » 06 Nov 2003 09:30

Bon coté Ipcop ton ipsec.conf doit ressembler à: conn VPN left= ip_red_fixe compress=no leftsubnet=10.1.0.0/24 leftnexthop=%defaultroute right=%any rightsubnet= 10.1.0.0/16 rightnexthop=%defaultroute auto=start ton ipsec.secrets: -- ipsec.secret : @IPFIXE-RED %any : PSK "test" Coté XP: conn VPN left=ip_red_fixe leftsubnet=10.1.0.0/24 right=%any presharedkey=test network=auto auto=start pfs=yes Ensuite pour demarrer le vpn sur ipcop, tu te mets en mode console et tu tapes: # ipsec setup --restart Sur XP: en mode commande, tu lance ipsec. <IMG SRC="images/smiles/icon_wink.gif">

par **El Poulpe** » 06 Nov 2003 10:02

sinon, sans faire de la pub, j'ai trouvé un client vpn pour windows( logiciel français ) pas tres cher avec pas mal d'option (virtual ip, ....): <A HREF="http://www.thegreenbow.fr" TARGET="_blank">greenbow vpn</A> bien pratique. (ps, version d'essai complete limité a 30 jours ) voili voilou ...

par **Renaud** » 06 Nov 2003 10:53

belugha dans le ipsec.conf de ipcop tu mets : 10.1.0.0/24 en left subnet 10.1.0.0/16 en right subnet si je mets 192.168.10.0/24 en left subnet et 192.168.20.0/24 en right subnet ça pose pas de pb normalement non ?

par **Renaud** » 06 Nov 2003 11:01

bon j'ai mis tout comme t'as dit belugha avec mes rightsubnet et leftsubnet, mais voilà toujours les traces que j'ai : Nov 8 09:56:06 aircop pluto[6420]: packet from 62.147.117.15:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003] Nov 8 09:56:06 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: responding to Main Mode from unknown peer 62.147.117.15 Nov 8 09:56:08 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: Main mode peer ID is ID_IPV4_ADDR: '62.147.117.15' Nov 8 09:56:08 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: sent MR3, ISAKMP SA established Nov 8 09:56:08 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: cannot respond to IPsec SA request because no connection is known for 192.168.1.0/24===62.212.97.223...62.147.117.15 Nov 8 09:56:08 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: sending encrypted notification INVALID_ID_INFORMATION to 62.147.117.15:500 Nov 8 09:56:09 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xe2666519 (perhaps this is a duplicated packet) Nov 8 09:56:09 aircop pluto[6420]: "renaudxp"[1] 62.147.117.15 #1: sending encrypted notification INVALID_MESSAGE_ID to 62.147.117.15:500

par **cakay** » 07 Nov 2003 13:36

y'a pas une histoire où il faut des guillemets pour un et pas pour l'autre ?

par **carbone** » 12 Nov 2003 12:42

<IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> Toujours pas de solutions? j'ai moi aussi ce problème avec un vpn XP: le log secure me dis ignoring Vendor ID payload et les ping ne passent pas, ...

par **Renaud** » 12 Nov 2003 15:07

héhé bienvenue au club, je me sens moins seul du coup <IMG SRC="images/smiles/icon_wink.gif">

par **jerz** » 09 Juin 2005 17:15

Salut,

Comment avez vous solutionne votre probleme ?

pour ma part j'ai le meme message d'erreur a savoir

Code: Tout sélectionner: Jun 9 17:12:36 ipcop pluto[552]: "maxime"[7] x.x.x.x:15100 #13: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x952cf1b7 (perhaps this is a duplicated packet) Jun 9 17:12:36 ipcop pluto[552]: "maxime"[7] x.x.x.x:15100 #13: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:15100

je bosse avec ipcop en ssh uniquement, vpn avec green bow avec echange de cle

merci bien

par **Mister-Magoo** » 10 Juin 2005 07:15

Juste une chose complètement idiote et débile ....

Dans le pare-feu -> Accés externes, vous avez bien validé les ports 500 UDP et 4500 UDP comme ayant accés à IPCop ???????

Le 500 sert pour le cas où le client est connecté en direct, le 4500 via du NAT (un routeur à la maison par exemple).
De plus, pour tester, fais une liaison avec clé partagée. Tu pourra utiliser des certificats quand ta liaison fonctionnera. Par ailleurs, j'ai eu des problèmes avec Green Bow, aussi, tu peux utiliser TauVPN (le lien traine dans le forum, je l'ai pas sous la main), il fonctionne parfaitement sous XP dans tous les cas de figure.

Enfin, moi je dis ça pour aider :roll:

par **kinkey** » 10 Juin 2005 08:21

Perso avec la version 1.3 j'ai jamais réussi à faire marché le vpn en client nomade. Au contraire en 1.4.x ça marche térriblement bien.

par **jerz** » 10 Juin 2005 09:20

kinkey a écrit:Perso avec la version 1.3 j'ai jamais réussi à faire marché le vpn en client nomade. Au contraire en 1.4.x ça marche térriblement bien.

J'essaye bien pour l'instant avec echange de cle uniquement. Le port 500 et 4500 (UDP) sont bien ouverts. DE tt facon je vois bien les paquets rejetes par iptables de ipcop, lorsque j'essaye le vpn rien n'est rejete.

Kinkey, peux tu mettre ton ipsec.conf en ligne ou d'autres fichiers servant a la config du vpnipsec sous ipcop ?

merci bien !

par **jerz** » 13 Juin 2005 09:43

Probleme resolu grace a la tres bonne hotline thegreenbow.

Coté ipcop il fallait preciser ceci dans /etc/ipsec.conf :

Si le tunnel ne s'établit pas pouvez-vous replacer la même ligne par
rightsubnet=192.168.0.55/32

Or j'avais ceci :

Si le tunnel ne s'établit pas pouvez-vous replacer la même ligne par
rightsubnet=192.168.0.0/24

192.168.0.55 etant l'adress ip de la station qui cherche a ouvrir le vpn avec thegreenbow.

voilou !

encore un pb VPN nomade

Qui est en ligne ?