Mise en place VPN Ipcop 1.3 à devenir fou !!!

[lfraison]

Voila mon pb, <BR> <BR>J'essaye désespérément de mettre en place un puis deux vpn entre 2 agences et un site central. <BR> <BR>La config est la suivante : <BR> <BR>Site A <BR>Ipcop 1.3 fixe 5 <BR>Ip fixe <BR>Réseau 10.6.2.XXX/24 <BR> <BR>Site B <BR>Ipcop 1.3 fixe 5 <BR>IP fixe <BR>Réseau 192.168.1.XXX/28 <BR> <BR>Site C <BR>Routeur Dlink 804V <BR>IP fixe <BR>Réseau 10.6.3.XXX/24 <BR> <BR>Après la lecture du howto et de bon nombre de post sur ce forum j'ai finalement configuré mes deux vpn ipcop avec les mêmes fichiers ipsec.conf et ipsec.secrets : <BR> <BR>pour ipsec.conf : <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn loic <BR> left=213.41.XXX.93 <BR> compress=no <BR> leftsubnet=192.168.1.0/24 <BR> leftnexthop=%defaultroute <BR> right=213.41.XXX.182 <BR> rightsubnet=10.6.2.0/24 <BR> rightnexthop=%defaultroute <BR> auto=start <BR> <BR>pour ipsec.secrets : <BR> <BR>213.41.XXX.93 213.41.XXX.182 : PSK "XXXXXXXXXXXX" <BR> <BR>Voici ce que donne un cat /var/log/secure du Site A : <BR> <BR>Nov 19 13:50:38 ipcop ipsec__plutorun: Starting Pluto subsystem... <BR>Nov 19 13:50:38 ipcop pluto[857]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) <BR>Nov 19 13:50:38 ipcop pluto[857]: including X.509 patch (Version 0.9.15) <BR>Nov 19 13:50:38 ipcop pluto[857]: including NAT-Traversal patch (Version 0.5a) [disabled] <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) <BR>Nov 19 13:50:38 ipcop pluto[857]: Changing to directory '/etc/ipsec.d/cacerts' <BR>Nov 19 13:50:38 ipcop pluto[857]: Warning: empty directory <BR>Nov 19 13:50:38 ipcop pluto[857]: Changing to directory '/etc/ipsec.d/crls' <BR>Nov 19 13:50:38 ipcop pluto[857]: Warning: empty directory <BR>Nov 19 13:50:38 ipcop pluto[857]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>Nov 19 13:50:38 ipcop pluto[857]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>Nov 19 13:50:40 ipcop pluto[857]: | from whack: got --esp=3des <BR>Nov 19 13:50:40 ipcop pluto[857]: | from whack: got --ike=3des <BR>Nov 19 13:50:40 ipcop pluto[857]: added connection description "loic" <BR>Nov 19 13:50:40 ipcop pluto[857]: listening for IKE messages <BR>Nov 19 13:50:40 ipcop pluto[857]: adding interface ipsec0/ppp0 213.41.XXX.182 <BR>Nov 19 13:50:40 ipcop pluto[857]: loading secrets from "/etc/ipsec.secrets" <BR>Nov 19 13:50:40 ipcop pluto[857]: "loic" #1: initiating Main Mode <BR>Nov 19 13:50:40 ipcop pluto[857]: "loic" #1: ERROR: asynchronous network error report on ppp0 for message to 213.41.129.93 port 500, complainant 213.41.XXX.93: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] <BR>Nov 19 13:50:43 ipcop pluto[857]: "loic" #2: responding to Main Mode <BR>Nov 19 13:50:43 ipcop pluto[857]: "loic" #2: Peer ID is ID_IPV4_ADDR: '213.41.129.93' <BR>Nov 19 13:50:43 ipcop pluto[857]: "loic" #2: sent MR3, ISAKMP SA established <BR>Nov 19 13:50:44 ipcop pluto[857]: "loic" #3: responding to Quick Mode <BR>Nov 19 13:50:44 ipcop pluto[857]: "loic" #3: IPsec SA established <BR>Nov 19 13:50:51 ipcop pluto[857]: "loic" #1: Peer ID is ID_IPV4_ADDR: '213.41.129.93' <BR>Nov 19 13:50:51 ipcop pluto[857]: "loic" #1: ISAKMP SA established <BR>Nov 19 13:50:51 ipcop pluto[857]: "loic" #4: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK <BR>Nov 19 13:50:51 ipcop pluto[857]: "loic" #4: sent QI2, IPsec SA established <BR> <BR>Voici ce que donne un cat /var/log/secure du Site B : <BR> <BR>Nov 19 13:50:41 achille ipsec__plutorun: Starting Pluto subsystem... <BR>Nov 19 13:50:41 achille pluto[2612]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99_kb2c) <BR>Nov 19 13:50:41 achille pluto[2612]: including X.509 patch (Version 0.9.15) <BR>Nov 19 13:50:41 achille pluto[2612]: including NAT-Traversal patch (Version 0.5a) [disabled] <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_enc: Activating OAKLEY_AES_CBC: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_enc: Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_enc: Activating OAKLEY_CAST_CBC: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_enc: Activating OAKLEY_SERPENT_CBC: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_hash: Activating OAKLEY_SHA2_256: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_hash: Activating OAKLEY_SHA2_512: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_enc: Activating OAKLEY_TWOFISH_CBC: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: ike_alg_register_enc: Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0) <BR>Nov 19 13:50:41 achille pluto[2612]: Changing to directory '/etc/ipsec.d/cacerts' <BR>Nov 19 13:50:42 achille pluto[2612]: Warning: empty directory <BR>Nov 19 13:50:42 achille pluto[2612]: Changing to directory '/etc/ipsec.d/crls' <BR>Nov 19 13:50:42 achille pluto[2612]: Warning: empty directory <BR>Nov 19 13:50:42 achille pluto[2612]: could not open my default X.509 cert file '/etc/x509cert.der' <BR>Nov 19 13:50:42 achille pluto[2612]: OpenPGP certificate file '/etc/pgpcert.pgp' not found <BR>Nov 19 13:50:42 achille pluto[2612]: | from whack: got --esp=3des <BR>Nov 19 13:50:42 achille pluto[2612]: | from whack: got --ike=3des <BR>Nov 19 13:50:42 achille pluto[2612]: added connection description "loic" <BR>Nov 19 13:50:42 achille pluto[2612]: listening for IKE messages <BR>Nov 19 13:50:42 achille pluto[2612]: adding interface ipsec0/ppp0 213.41.XXX.93 <BR>Nov 19 13:50:42 achille pluto[2612]: loading secrets from "/etc/ipsec.secrets" <BR>Nov 19 13:50:42 achille pluto[2612]: "loic" #1: initiating Main Mode <BR>Nov 19 13:50:43 achille pluto[2612]: "loic" #1: Peer ID is ID_IPV4_ADDR: '213.41.XXX.182' <BR>Nov 19 13:50:43 achille pluto[2612]: "loic" #1: ISAKMP SA established <BR>Nov 19 13:50:43 achille pluto[2612]: "loic" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK <BR>Nov 19 13:50:43 achille pluto[2612]: "loic" #2: sent QI2, IPsec SA established <BR>Nov 19 13:50:49 achille pluto[2612]: "loic" #3: responding to Main Mode <BR>Nov 19 13:50:50 achille pluto[2612]: "loic" #3: Peer ID is ID_IPV4_ADDR: '213.41.158.182' <BR>Nov 19 13:50:50 achille pluto[2612]: "loic" #3: sent MR3, ISAKMP SA established <BR>Nov 19 13:50:50 achille pluto[2612]: "loic" #4: responding to Quick Mode <BR>Nov 19 13:50:51 achille pluto[2612]: "loic" #4: IPsec SA established <BR> <BR>Aucun ping ne passe !!! J'ai essayé de rajouter ces lignes dans le rc.firewall : <BR> <BR> # VPN <BR>iptables -I INPUT -i ipsec0 -j ACCEPT <BR>iptables -I OUPUT -o ipsec0 -j ACCEPT <BR> <BR>Mais rien n'y fait !!! <BR> <BR>J'ai aussi essayé d'ouvrir le port 500 TCP et UDP de chaque côté : RIEN.. <BR> <BR>Merci de me sortir de là car cela fait une semaine que je tourne en rond !!! <BR> <BR>LF <IMG SRC="images/smiles/icon_bawling.gif">

[belugha]

Bonjour, <BR> <BR>Tout d'abord tu établi un VPN entre quoi et quoi ? <BR> <BR>Ensuite, tu effectue des pings a partir de quel poste ? <BR> <BR> <BR>apparemment tes VPNs sont bien montés: <BR>Vérifie par la commande: <BR># /usr/local/sbin/ipsec eroute | fgrep "@" | cut -f2 -d"@" <BR> <BR>Et tu verras apparaitre ton ip. <BR> <BR>Tiens nous au courant. <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">

[lfraison]

Mon but est de connecter le site B et le site C sur le site A qui comporte un domaine nt 4 et parfois le site B sur le site C afin de procéder à des maintenances à distance. <BR> <BR>En faisant /usr/local/sbin/ipsec eroute | fgrep "@" | cut -f2 -d"@" sur la console Ipcop du site A j'obtiens l'IP fixe du site B. <BR> <BR> En faisant /usr/local/sbin/ipsec eroute | fgrep "@" | cut -f2 -d"@" sur la console Ipcop du site B j'obtiens l'IP fixe du site A. <BR> <BR>Merci de ton aide. <BR> <BR>LF <IMG SRC="images/smiles/icon_find.gif">

[belugha]

Donc ta VPN est bien monté <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Maintenant tu faits un ping d'un poste derriere Ipcop sur un autre poste du site distant derriere Ipcop. <BR> <BR>Clair non ce que je dis <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>Fatiguée moi aujourd'hui

[lfraison]

J'ai fais des ping depuis les consoles ipcop du site A et du site B. J'ai aussi essayé à partir des postes windaube du réseau green du site A , du réseau green du site B et même des serveurs freebsd du réseau orange du site B : Rien à faire <IMG SRC="images/smiles/icon_cussing.gif">

[belugha]

Du site A tu te mets sur un poste PC et tu pingue un poste du site b. <BR> <BR>

[lfraison]

J'ai enfin du nouveau : <BR> <BR>Le serveur NT 4 du site A répond à mes pings depuis un poste du lan green du site B !!! Mais ni les postes, ni l'ip locale du IPCop du site A ne réponds. <BR> <BR>Maintenenant je vais essayer de configurer l'accès au serveur NT et depuis le site C. <BR> <BR>Pour le serveur NT dois-je modifier le rc.firewall di IpCop di site A ou simplement par le GUI pour activer les ports netbios 135 TCP/UDP, 137 TCP/UDP, 138 TCP/UDP et 139 TCP/UDP ? <BR> <BR>Merci de ton aide ! <BR> <BR>LF

[belugha]

Il faut mettre des regles iptables dans le rc.firewall afin d'autoriser les posts Netbios. <BR> <BR>Sinon il est normal de ne pas pouvoir pinguer un Ipcop. <BR>Par contre tu as quoi comme poste derriere Ipcop du site A ? <BR> <BR>

[lfraison]

Le site A est composé de postes win nt 4 connectés sur un domaine hébergé par un serveur win nt 4. (Nul n'est parfait en ce monde). Ce qui est bizarre c'est que les ip sont fixent et non fixées par un serveur DHCP !!! <BR> <BR>Afin de m'éviter de chercher encore longtemps pourais-tu me donner la syntaxe des commandes à ajouter à mon rc.firewall pour le transport netbios... <BR> <BR>Enfin, dois-je conserver les règles : <BR># VPN <BR>iptables -I INPUT -i ipsec0 -j ACCEPT <BR>iptables -I OUPUT -o ipsec0 -j ACCEPT <BR> <BR>dans chacun de mes ipsec.conf des deux ipcop ? <BR> <BR>Encore merci de ton aide. <BR> <BR>LF <IMG SRC="images/smiles/icon_up.gif">