vpn ipcop - winXP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar cedseven » 11 Nov 2003 23:52

J'ai honte d'aborder ce sujet qui a fait l'objet d'abondantes discutions sur ce forum. Mais là je n'en peux vraiment plus ... ca fait une semaine que je teste cette config dans tous les sens et je ne trouve pas de solution ... <BR> <BR>Je vous explique mon problème en deux mots : <BR>J'établis un VPN entre un nomade win XP et mon serveur IPCOP, le VPN est établi, les premiers pings passent ... puis plus rien, impossible de pinger à nouveau. Et, bien entendu pas de logs douteux qui pourraient m'éclairer sur ce qui se passe. <BR> <BR>Pour éviter les désagréables RTF howto's, je précise que j'ai déjà lu une bonne centaine de posts sur ce forum ... et bien sûr, je me suis déjà inspiré du how to : <BR><!-- BBCode u2 Start --><A HREF="http://www.ixus.net/resume_documents.php?artid=92" TARGET="_blank">http://www.ixus.net/resume_documents.php?artid=92</A><!-- BBCode u2 End --> <BR>et de la doc officielle IPCOP (how to VPN). <BR> <BR>Avec le thread suivant j'ai bien cru que j'avais trouvé : <BR><!-- BBCode u2 Start --><A HREF="http://ixus.net/resume_messages.php?topic=4575" TARGET="_blank">http://ixus.net/resume_messages.php?topic=4575</A><!-- BBCode u2 End --> <BR> <BR>... mais malheureusement il n'en est rien ... <BR> <BR>Voici ma config : <BR> <BR>J'utilise IPCOP version 1.3.0 (patché) et Win XP pro <BR> <BR>sur win XP <BR><!-- BBCode Start --><B>ipsec.conf</B><!-- BBCode End --> <BR>conn clientwin <BR> left=moi.dyndns.org <BR> leftsubnet=192.168.1.0/24 <BR> right=%any <BR> presharedkey=pass <BR> network=auto <BR> auto=start <BR> pfs=yes <BR> <BR> <BR>sur IPCOP <BR> <BR><!-- BBCode Start --><B>1) ipsec.conf</B><!-- BBCode End --> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> <BR>conn clientwin <BR> left=moi.dyndns.org <BR> compress=no <BR> leftsubnet=192.168.1.0/24 <BR> leftnexthop=%defaultroute <BR> right=%any <BR> rightsubnet= <BR> rightnexthop=%defaultroute <BR> auto=add <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> <BR><!-- BBCode Start --><B>2) ipsec.secrets</B><!-- BBCode End --> <BR>moi.dyndns.org %any : PSK "pass" <BR>moi.dyndns.org 0.0.0.0 : PSK "pass" <BR> <BR> <BR>voici ce que me donne ipsec.exe sous XP : <BR> <BR>IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller <BR>Getting running Config ... <BR>Microsoft's Windows XP identified <BR>Setting up IPSec ... <BR> <BR> Deactivating old policy... <BR> Removing old policy... <BR> <BR>Connection clientwin: <BR> MyTunnel : 217.136.7.137 <BR> MyNet : 217.136.7.137/255.255.255.255 <BR> PartnerTunnel: moi.dyndns.org <BR> PartnerNet : 192.168.1.0/255.255.255.0 <BR> CA (ID) : Preshared Key ****************** <BR> PFS : y <BR> Auto : start <BR> Auth.Mode : MD5 <BR> Rekeying : 3600S/50000K <BR> Activating policy... <BR> <BR>C:>ping 192.168.1.1 <BR> <BR>Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de données : <BR> <BR>Négociation de la sécurité IP. <BR>Négociation de la sécurité IP. <BR>Réponse de 192.168.1.1 : octets=32 temps=35 ms TTL=63 <BR>Réponse de 192.168.1.1 : octets=32 temps=37 ms TTL=63 <BR> <BR>Statistiques Ping pour 192.168.1.1: <BR> Paquets : envoyés = 4, reçus = 2, perdus = 2 (perte 50%), <BR>Durée approximative des boucles en millisecondes : <BR> Minimum = 35ms, Maximum = 37ms, Moyenne = 36ms <BR> <BR>C:>ping 192.168.1.1 <BR> <BR>Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de données : <BR> <BR>Délai d'attente de la demande dépassé. <BR>Délai d'attente de la demande dépassé. <BR>Délai d'attente de la demande dépassé. <BR> <BR>Statistiques Ping pour 192.168.1.1: <BR> Paquets : envoyés = 3, reçus = 0, perdus = 3 (perte 100%), <BR>Ctrl+C <BR> <BR>(ca c'est que j'expliquais en haut !) <BR> <BR> <BR>Voici le contenu du log <BR><!-- BBCode Start --><B>/var/log/secure</B><!-- BBCode End --> <BR>Nov 11 17:17:38 ipcop pluto[4205]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) <BR>Nov 11 17:17:38 ipcop pluto[4205]: including X.509 patch (Version 0.9.15) <BR>Nov 11 17:17:38 ipcop pluto[4205]: including NAT-Traversal patch (Version 0.5a) [disabled] <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) <BR>Nov 11 17:17:38 ipcop pluto[4205]: Changing to directory '/etc/ipsec.d/cacerts' <BR>Nov 11 17:17:38 ipcop pluto[4205]: Warning: empty directory <BR>Nov 11 17:17:38 ipcop pluto[4205]: Changing to directory '/etc/ipsec.d/crls' <BR>Nov 11 17:17:38 ipcop pluto[4205]: Warning: empty directory <BR>Nov 11 17:17:38 ipcop pluto[4205]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>Nov 11 17:17:38 ipcop pluto[4205]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>Nov 11 17:17:40 ipcop pluto[4205]: | from whack: got --esp=3des <BR>Nov 11 17:17:40 ipcop pluto[4205]: | from whack: got --ike=3des <BR>Nov 11 17:17:40 ipcop pluto[4205]: added connection description "clientwin" <BR>Nov 11 17:17:40 ipcop pluto[4205]: listening for IKE messages <BR>Nov 11 17:17:40 ipcop pluto[4205]: adding interface ipsec0/ppp0 81.240.5.183 <BR>Nov 11 17:17:40 ipcop pluto[4205]: loading secrets from "/etc/ipsec.secrets" <BR>Nov 11 17:18:05 ipcop pluto[4205]: packet from 217.136.7.137:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003] <BR>Nov 11 17:18:05 ipcop pluto[4205]: "clientwin"[1] 217.136.7.137 #1: responding to Main Mode from unknown peer 217.136.7.137 <BR>Nov 11 17:18:05 ipcop pluto[4205]: "clientwin"[1] 217.136.7.137 #1: Peer ID is ID_IPV4_ADDR: '217.136.7.137' <BR>Nov 11 17:18:05 ipcop pluto[4205]: "clientwin"[1] 217.136.7.137 #1: sent MR3, ISAKMP SA established <BR>Nov 11 17:18:06 ipcop pluto[4205]: "clientwin"[1] 217.136.7.137 #2: responding to Quick Mode <BR>Nov 11 17:18:06 ipcop pluto[4205]: "clientwin"[1] 217.136.7.137 #2: IPsec SA established <BR> <BR> <BR>à priori tout se passe bien ... à priori seulement, car y doit y avoir un truc qui m'échappe. <BR> <BR> <BR>Tout plein de gens ont l'air d'arriver à faire cette chose qui me semble encore inaccessible et je frustre à fond. <BR> <BR>J'espère que vous me comprendrez et que quelqu'un ici pourra me venir en aide ... <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>
ceci est un mensonge ...
Avatar de l’utilisateur
cedseven
Matelot
Matelot
 
Messages: 4
Inscrit le: 10 Nov 2003 01:00

Messagepar Mouarf-fr » 12 Nov 2003 00:51

Salut, <BR> <BR>Quel client ipsec utilises tu sur ton XP ? <BR> <BR>Demain je vais faire ce meme test chez qqn <IMG SRC="images/smiles/icon_smile.gif"> <BR>Je pourrais tester avec le meme client que toi et comparer les resultats. <BR> <BR>Raphaël
Avatar de l’utilisateur
Mouarf-fr
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 11 Nov 2003 01:00

Messagepar cedseven » 12 Nov 2003 10:45

J'utilise le programme de Marcu Mueller (ipsec.exe version 2.2.0) qui est indiqué sur le site d'IPCOP : <BR><!-- BBCode u2 Start --><A HREF="http://www.ipcop.org/1.2.0/en/vpn/html/win2k-winxp-connection.html" TARGET="_blank">http://www.ipcop.org/1.2.0/en/vpn/html/win2k-winxp-connection.html</A><!-- BBCode u2 End --> <BR>qui utilise freeswan. <BR> <BR>je serais curieux d'avoir les détails de cette opération : tiens moi au courant stp ... <BR>
ceci est un mensonge ...
Avatar de l’utilisateur
cedseven
Matelot
Matelot
 
Messages: 4
Inscrit le: 10 Nov 2003 01:00

Messagepar cedseven » 14 Nov 2003 11:37

Ok j'ai trouvé ... <BR> <BR>comme toujours c'était une betise : <BR> <BR>sur mon PC win XP, le partage de connexion était activé càd NAT ... et le NAT traversal d'IPCOP n'est pas encore au point ... <BR> <BR> <BR>donc voilà une chose à vérifier pour le VPN entre IPCOP et win 2000 / XP
ceci est un mensonge ...
Avatar de l’utilisateur
cedseven
Matelot
Matelot
 
Messages: 4
Inscrit le: 10 Nov 2003 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron