VPN entre Win XP et MNF

par **netspirit** » 26 Nov 2003 23:29

Bon je sais que ces problèmes de VPN ont été maintes fois remis sur le tapis et je jure que j'ai bien lu tous les posts et autres documentations pour le faire dans les régles de l'art d'Ixus.net ! Donc j'ai une MNF qui tourne parfaitement, j'ai créé les régles du firewall pour le VPN. J'ai créé les certificats (deux fois déjà au cas où) et ils me semblent corrects, je n'ai pas d'anomalie à ce niveau. J'ai récupéré le fichier .p12 pour le Win XP sur lequel j'ai tout installé selon la procèdure. Voici ce que j'obtiens dans les logs oakley sur le poste Win XP (connection RTC par FREE) lorsque je lance un ping -t vers une adresse privée du LAN de ma MNF : [Je n'ai mis que les lignes suspectes ou carrément pas bonnes] 11-26: 21:06:40:29:e3c Receive: (get) SA = 0x000cdc18 from [IP public de MNF] 11-26: 21:06:40:29:e3c ISAKMP Header: (V1.0), len = 188 11-26: 21:06:40:29:e3c I-COOKIE ba739b3e736459fb 11-26: 21:06:40:29:e3c R-COOKIE d4bde674000a1c3f 11-26: 21:06:40:29:e3c exchange: Oakley Main Mode 11-26: 21:06:40:29:e3c flags: 0 11-26: 21:06:40:29:e3c next payload: KE 11-26: 21:06:40:29:e3c message ID: 00000000 11-26: 21:06:40:29:e3c processing payload KE 11-26: 21:06:40:39:e3c processing payload NONCE 11-26: 21:06:40:39:e3c processing payload CRP 11-26: 21:06:40:39:e3c constructing ISAKMP Header 11-26: 21:06:40:39:e3c constructing ID 11-26: 21:06:40:119:e3c Received no valid CRPs. Using all configured (EST-CE OK ?) 11-26: 21:06:40:119:e3c Looking for IPSec only cert 11-26: 21:06:40:209:e3c Cert Trustes. 0 100 11-26: 21:06:40:209:e3c CertFindExtenstion failed with 0 Un peu plus loin : 11-26: 21:06:49:583:e3c Receive: (get) SA = 0x00000000 from [IP public de MNF] 11-26: 21:06:49:583:e3c ISAKMP Header: (V1.0), len = 84 11-26: 21:06:49:583:e3c I-COOKIE ba739b3e736459fb 11-26: 21:06:49:583:e3c R-COOKIE f149e1050fa59748 11-26: 21:06:49:583:e3c exchange: Oakley Main Mode 11-26: 21:06:49:583:e3c flags: 0 11-26: 21:06:49:583:e3c next payload: SA 11-26: 21:06:49:583:e3c message ID: 00000000 11-26: 21:06:49:583:e3c Responder received header with responder cookie non-zero 11-26: 21:06:49:583:e3c Responding with new SA 0 11-26: 21:06:49:583:e3c HandleFirstPacketResponder failed 3616 (ET CA ???) 11-26: 21:06:49:583:e3c constructing ISAKMP Header 11-26: 21:06:49:583:e3c constructing NOTIFY 4 11-26: 21:06:49:583:e3c ProcessFailure: sa:005BF968 centry:00000000 status:3616 11-26: 21:06:49:583:e3c Notify already constructed. Ignoring. Sa 005BF968 Un peu plus loin : 11-26: 21:06:49:653:e3c Receive: (get) SA = 0x000cdc18 from [IP public de MNF] 11-26: 21:06:49:653:e3c ISAKMP Header: (V1.0), len = 188 11-26: 21:06:49:653:e3c I-COOKIE ba739b3e736459fb 11-26: 21:06:49:653:e3c R-COOKIE d4bde674000a1c3f 11-26: 21:06:49:653:e3c exchange: Oakley Main Mode 11-26: 21:06:49:653:e3c flags: 0 11-26: 21:06:49:653:e3c next payload: KE 11-26: 21:06:49:653:e3c message ID: 00000000 11-26: 21:06:49:653:e3c received an unencrypted packet when crypto active (???) 11-26: 21:06:49:653:e3c GetPacket failed 35ec 11-26: 21:06:55:321:77c retransmit: sa = 000CDC18 centry 00000000 , count = 4 Et enfin : 11-26: 21:07:03:242:6d0 SA IKE supprimée par le pair avant que l'établissement ait été terminé 11-26: 21:07:03:242:6d0 0x0 0x0 11-26: 21:07:03:242:6d0 AFter send_deletes 11-26: 21:07:03:242:778 ReceiveThread exiting 11-26: 21:07:03:242:6d0 Begin Wait. isadb_clean_socket 0 11-26: 21:07:03:242:6d0 End Wait. isadb_clean_socket 11-26: 21:07:03:242:6d0 Begin Wait. isadb_kill_old 0 11-26: 21:07:03:242:6d0 End Wait. isadb_kill_old 11-26: 21:07:03:242:6d0 Begin Wait. ActiveRpcCalls 1 11-26: 21:07:03:242:6d0 End Wait. ActiveRpcCalls 11-26: 21:07:03:242:6d0 Begin Wait. Outstanding Items 0 11-26: 21:07:03:242:6d0 End Wait. Outstanding Items Sur le firewall, si je regarde les logs de freeSwan (commande ipsec barf), tout semble ok sauf une ligne qui indique que le certificat attendu ne correspond pas !!! Alors que le certificat est correct et je l'ai comparé depuis la console MMC sous Windows XP. Lorsque je lance ipsec sur le poste Win XP je n'ai aucune erreur non plus. Est-ce que ces logs parlent à quelqu'un car moi là je sature... <IMG SRC="images/smiles/icon_frown.gif"> Je serai demain sur le site pour de nouveaux essais en espérant que la nuit porte conseil <IMG SRC="images/smiles/icon_wink.gif"> @+ et merci à ceux qui prendront un peu de temps pour m'aiguiller.

par **netspirit** » 27 Nov 2003 16:58

Bon j'ai trouvé une partie du problème. L'erreur de connexion que j'avais été due à la taille des paquets qui s'échangent pendant la phase 1 de la négociation. Avec des clés cryptées à 2048 bits et des liaisons xDSL on peut se retrouver avec des fragmentations de paquets trop importantes pour que cette phase 1 se passe comme il le faut (voir support freeswan qui en parle très bien sur <a href="http://www.freeswan.org)." target="_blank">http://www.freeswan.org).</a> En réduisant à 1024 voir 512 bits ça peut passer. Dans mon cas ça marche à 1024. Maintenant j'ai un autre souci. La négociation se fait bien mais mon shorewall refuse mes paquets provenant de l'extérieur sur le protocole ESP (les paquets du tunnel) ??? J'ai bien mis en place les règles comme indiquées dans la doc de Eric Faure. Qui a une idée sur ce coup ? _________________ Nous ne savons pas le vrai si nous ne savons la cause - PLATON

par **netspirit** » 27 Nov 2003 21:04

Je vois que mes soucis n'inspirent pas grand monde... <IMG SRC="images/smiles/icon_frown.gif"> Bon l'erreur provenait de ... moi ! Je n'avais pas bien vu que j'avais mis ma zone VPN vers ma zone VPN dans le réglage du tunnel au lieu de wan vers vpn... (fichier /etc/shorewall/tunnels) Bon là j'en suis au VPN avec translation d'adresses depuis un réseau distant. On va voir si la doc révisée par François tient la route. @+

VPN entre Win XP et MNF

Qui est en ligne ?