VPN : MNF + routeur roadwarrior W2k

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar Guepi » 18 Sep 2003 16:16

Bonjour. <BR> <BR>Je dois monter un VPN entre des ordinateurs portables connectés à l'Internet via des modems ( pour l'instant RTC ), et notre entreprise. <BR> <BR>La configuration ressemble pour l'instant à ça : <BR> <BR>Win2k_portable + modem ==(Internet)===Modem ADSL---routeur---switch---MNF <BR> <BR>Je sais que la configuration n'est pas bonne pour l'instant, mais tant que le VPN n'est pas fonctionnel, je ne peux me permettre de changer ça. <BR> <BR>J'ai accès à la configuration du routeur (merci Wanadoo), ce qui fait que j'ai pu définir un NAT sur le port 500 (IPSec). Les autres ports ouverts sont : 22 ( SSH ), 25 ( SMTP) redirigé vers un serveur Notes, 80(HTTP) redirigé vers un serveur Notes ( et un port pour eMule). <BR> <BR>Ma MNF fonctionne... correctement ( et elle est mise à jour en plus ). <BR>je dispose d'un adresse IP publique ( IP fixe ). <BR>Le routeur a pour adresse 10.0.0.238 <BR>le serveur a pour adresses : 10.0.0.210 ( eth1 "normallement" connecté au routeur ) <BR>et 10.0.0.4 ( eth0 relié au réseau). <BR>le réseau entreprise est de la forme 10.0.0.0/255.255.255.0 ( défini par un serveur DHCP autre que la MNF ) <BR> <BR>une carte eth2 est prévue pour faire une DMZ. <BR> <BR>Cependant, le meilleur résultat que je réussi à obtenir sur le portable, c'est : Négociation de la sécurité IP. <BR>Sur le serveur j'ai maintenant : <BR>packet from 62.147.xxx.yyy:500: ignoring Vendor ID payload <BR>packet from 62.147.xxx.yyy:500: initial Main Mode message received on 10.0.0.210:500 but no connection has been authorized <BR> <BR> <BR>J'ai lu les documents suivant : la doc d'Eric Faure ( vpn-1.02.pdf ), le doc officielle de Mandrake, une partie de la doc FreeS/WAN ( où j'ai compris que Left = Local et Right = Remote, soit left = poste local, et right = poste distant ), etc. <BR> <BR>Le firewall est "ouvert" complètement ( vous comprenez pourquoi je ne change pas la configuration réseau ... ). <BR> <BR><!-- BBCode Start --><B>Maintenant, je vais passer aux questions : </B><!-- BBCode End --> <BR><!-- BBCode Start --><I>Routeur :</I><!-- BBCode End --> Est-ce que le routeur est correctement configuré ? N'y a t'il pas de port à ouvrir en plus pour L2TP ( bien que je pense que L2TP est encapsulé dans IPSec ) ? <BR><!-- BBCode Start --><I>Sur le portable W2k :</I><!-- BBCode End --> Je dispose d'une connexion modem. A la création d'une connexion VPN, il ouvre automatiquement la connexion modem... Mais qu'en est-il de IPSec ? J'ai testé en démarrant la connexion modem à la main, puis IPSec, et en testant un ping sur un machine du réseau.( Résultat = Négociation de la sécurité IP ). <BR>J'ai lu que les clés DSN posaient problème à Windows : le code pays doit être en minuscule et il ne doit pas y avoir de @ dans la clé DSN... J'ai donc modifié la clé dans le ipsec.conf du portable, mais pas celle des certificats. Dois-je refaire les certificats ? <BR> <BR>Donnez moi des pistes s'il vous plaît ! Je me perds dans la configuration, et je me dit que je vais bientôt tout reconfigurer ( MNF remise à plat ! )... <IMG SRC="images/smiles/icon_cussing.gif"> <BR>Des idées s'il vous plaît ... <IMG SRC="images/smiles/icon_find.gif"> <IMG SRC="images/smiles/icon_help.gif"><BR><BR><font size=-2></font>
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar louis » 19 Sep 2003 09:50

Bonjour, <BR> <BR>Pour mieux analyser où cela coince donnes-nous : <BR> <BR>- tes logs : coté client et coté MNF ? <BR>- la sortie console lors du lancement de IPSEC.EXE sur ton client <BR>- IPSEC.CONF coté client et coté serveur <BR>- vérifie bien tes certificats (regénère si tu as un doute) <BR> <BR> <BR>
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar Guepi » 19 Sep 2003 14:58

<!-- BBCode Start --><B>Les logs : </B><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><I>côté MNF : </I><!-- BBCode End --> <BR>Maintenant, c'est principalement ça... <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Sep 18 <BR> <BR> 15:18:32 Pluto packet from 62.147.xxx.yyy:500: initial Main Mode message received on 10.0.0.210:500 but no connection has been authorized <BR> <BR>Sep 18 <BR> <BR> 15:18:33 Pluto packet from 62.147.xxx.yyy:500: ignoring Vendor ID payload </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>avant, ça donnait : <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Sep 16 14:50:15 fwsp Pluto[4310]: packet from 62.147.139.31:500: ignoring Vendor <BR> ID payload <BR>Sep 16 14:50:15 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #79: <BR> responding to Main Mode from unknown peer 62.147.139.31 <BR>Sep 16 14:50:15 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #79: <BR> policy does not allow OAKLEY_RSA_SIG authentication. Attribute OAKLEY_AUTHENTI <BR>CATION_METHOD <BR>Sep 16 14:50:17 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #80: <BR> OAKLEY_DES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ALGORITHM <BR>Sep 16 14:50:17 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31 #80: <BR> no acceptable Oakley Transform <BR>Sep 16 14:50:17 fwsp Pluto[4310]: "sp-dell-p-02.savoirpro.fr" 62.147.139.31: del <BR>eting connection "sp-dell-p-02.savoirpro.fr" instance with peer 62.147.139.31 <BR>Sep 16 14:50:18 fwsp Pluto[4310]: packet from 62.147.139.31:500: ignoring Vendor <BR> ID payload <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>---------------------------------- <BR><!-- BBCode Start --><I>du côté client : </I><!-- BBCode End --> <BR>( je rappelle que les logs sont à activer - en changeant une clé du registre, si je me souviens bien-, et qu'ils se trouvent dans C:WINNTDebugOakley.log ) <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> 9-19: 14:49:44:1dc SecMaxToken 12000 <BR> 9-19: 14:49:44:1dc FormatMessage from system <BR> 9-19: 14:49:44:1dc Impossible d'obtenir les informations d'identification du serveur Kerberos pour le service ISAKMP/Oakley. L'authentification Kerberos ne fonctionnera pas. La raison la plus probable de ce problème est l'absence d'appartenance de domaine. Ceci est normal si votre ordinateur est membre d'un groupe de travail. <BR> <BR> <BR> 9-19: 14:49:47:1dc Get DH Prov type failed 234 <BR> 9-19: 14:49:47:1dc MaxDHLength 512 <BR> 9-19: 14:49:47:1dc Get DH Prov type failed 234 <BR> 9-19: 14:49:47:1dc MaxDHLength 512 <BR> 9-19: 14:49:47:1dc DH Provider 3 <BR> 9-19: 14:49:47:1dc Reapertimer a9978 <BR> 9-19: 14:49:47:1dc Before processing <BR> 9-19: 14:49:47:160 Acquire thread waiting <BR> 9-19: 14:49:47:1dc After processing <BR> 9-19: 14:49:47:1dc Oakley Init done <BR> 9-19: 14:49:47:1dc Oakley group 2 from UI <BR> 9-19: 14:49:47:1dc Isakmp policy (4 total): fb8c12ee-4212-4134-84059e4b76db9e42 PFS=0 <BR> 9-19: 14:49:47:1dc #0: C.Id = 3, H.ID= 2, A.ID = 0, Group = 2 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc #1: C.Id = 3, H.ID= 1, A.ID = 0, Group = 2 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc #2: C.Id = 1, H.ID= 2, A.ID = 0, Group = 1 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc #3: C.Id = 1, H.ID= 1, A.ID = 0, Group = 1 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc flush guid(isakmp): fb8c12ee-4212-4134-84059e4b76db9e42 <BR> 9-19: 14:49:47:1dc isadb_schedule_kill_oldPolicy_sas: fb8c12ee-4212-4134-84059e4b76db9e42 1 <BR> 9-19: 14:49:47:1dc Added Timeout b7440 <BR> 9-19: 14:49:47:1dc flush(isakmp): fb8c12ee-4212-4134-84059e4b76db9e42 <BR> 9-19: 14:49:47:1dc Oakley group 2 from UI <BR> 9-19: 14:49:47:1dc Isakmp policy (4 total): 4b3a9959-e327-4191-8e59d8b9a07a5914 PFS=1 <BR> 9-19: 14:49:47:1dc #0: C.Id = 3, H.ID= 2, A.ID = 0, Group = 2 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc #1: C.Id = 3, H.ID= 1, A.ID = 0, Group = 2 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc #2: C.Id = 1, H.ID= 2, A.ID = 0, Group = 1 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc #3: C.Id = 1, H.ID= 1, A.ID = 0, Group = 1 LT=28800 QMs=0 <BR> 9-19: 14:49:47:1dc flush guid(isakmp): 4b3a9959-e327-4191-8e59d8b9a07a5914 <BR> 9-19: 14:49:47:1dc isadb_schedule_kill_oldPolicy_sas: 4b3a9959-e327-4191-8e59d8b9a07a5914 1 <BR> 9-19: 14:49:47:1dc Added Timeout bada0 <BR> 9-19: 14:49:47:1dc Adding policy guid(ipsec): aea5eb81-f0d8-437e-b912cf6dd5ae513a <BR> 9-19: 14:49:47:1dc Authentication Method[0] from UI 5 <BR> 9-19: 14:49:47:1dc Auth[0]: 5 Authinfosize: 0 <BR> 9-19: 14:49:47:1dc Flags from UI 0 <BR> 9-19: 14:49:47:1dc Ipsec policy (6 total): aea5eb81-f0d8-437e-b912cf6dd5ae513a PFS=10158044 <BR> 9-19: 14:49:47:1dc #0: Encrypt C.Id = 3, C.KeyLen = 64, I.ID = 2, <BR> 9-19: 14:49:47:1dc #1: Encrypt C.Id = 3, C.KeyLen = 64, I.ID = 1, <BR> 9-19: 14:49:47:1dc #2: Encrypt C.Id = 1, C.KeyLen = 64, I.ID = 2, <BR> 9-19: 14:49:47:1dc #3: Encrypt C.Id = 1, C.KeyLen = 64, I.ID = 1, <BR> 9-19: 14:49:47:1dc #4: Auth C.Id = 2, C.KeyLen = 64, I.ID = 0, <BR> 9-19: 14:49:47:1dc #5: Auth C.Id = 1, C.KeyLen = 64, I.ID = 0, <BR> 9-19: 14:49:47:1dc flush guid(ipsec): aea5eb81-f0d8-437e-b912cf6dd5ae513a <BR> 9-19: 14:49:47:1dc Adding policy guid(ipsec): e4b26905-83dd-4958-85078512927c0d92 <BR> 9-19: 14:49:47:1dc Authentication Method[0] from UI 3 <BR> 9-19: 14:49:47:1dc Auth[0]: 3 Authinfosize: 129 <BR> 9-19: 14:49:47:1dc Flags from UI 2 <BR> 9-19: 14:49:47:1dc Ipsec policy (1 total): e4b26905-83dd-4958-85078512927c0d92 PFS=10158044 <BR> 9-19: 14:49:47:1dc #0: Encrypt C.Id = 3, C.KeyLen = 0, I.ID = 1, <BR> 9-19: 14:49:47:1dc flush guid(ipsec): e4b26905-83dd-4958-85078512927c0d92 <BR> 9-19: 14:49:47:1dc Adding policy guid(ipsec): ddbaac8f-c15b-4b47-a016868d3a7df990 <BR> 9-19: 14:49:47:1dc Authentication Method[0] from UI 3 <BR> 9-19: 14:49:47:1dc Auth[0]: 3 Authinfosize: 83 <BR> 9-19: 14:49:47:1dc Flags from UI 2 <BR> 9-19: 14:49:47:1dc Ipsec policy (1 total): ddbaac8f-c15b-4b47-a016868d3a7df990 PFS=10158044 <BR> 9-19: 14:49:47:1dc #0: Encrypt C.Id = 3, C.KeyLen = 0, I.ID = 1, <BR> 9-19: 14:49:47:1dc flush guid(ipsec): ddbaac8f-c15b-4b47-a016868d3a7df990 <BR> 9-19: 14:49:47:104 entered kill_old_policy_sas <BR> 9-19: 14:49:47:104 entered kill_old_policy_sas <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>===================================================== <BR><!-- BBCode Start --><B>les fichiers config IPSec.conf</B><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><I> Côté MNF :</I><!-- BBCode End --> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> #-------------------------------------------------------------------------- <BR># DO NOT MODIFY THIS FILE! It is updated automatically <BR># by the naat/backend. Modify the templates/etc/freeswan/ipsec.conf instead <BR>#------------------------------------------------------------------------- <BR># <BR># Copyright (C) 2002 Mandrakesoft <BR># Author Florin Grad <BR># <BR>####################################################################### <BR>## /etc/ipsec.conf - FreeS/WAN IPsec configuration file <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=none <BR> plutoload=%search <BR> plutostart=%search <BR> uniqueids=yes <BR> <BR>conn %default <BR> pfs=yes <BR> keyingtries=1 <BR> compress=yes <BR> disablearrivalcheck=no <BR> left=aaa.bbb.ccc.ddd <BR> leftcert=savoirpro.com.crt <BR> leftrsasigkey=%cert <BR> leftsubnet=10.0.0.0/24 <BR> leftnexthop=10.0.0.238 <BR> <BR>conn savoirpro.com-vpn <BR> authby=rsasig <BR> auto=add <BR> right=0.0.0.0 <BR> rightcert=savoirpro.com.crt <BR> rightrsasigkey=%cert <BR> rightsubnet=0.0.0.0/0 <BR> rightnexthop=10.0.0.238 <BR> <BR>conn sp-dell-p-02.savoirpro.fr <BR> left=10.0.0.210 <BR> leftnexthop=10.0.0.238 <BR> leftsubnet=10.0.0.0/24 <BR> right=%any <BR> network=auto <BR> auto=add <BR> pfs=yes <BR> compress=yes <BR># LAST LINE -- EOF <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR><!-- BBCode Start --><I> Côté Client : </I><!-- BBCode End --> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> conn %default <BR> dial=free <BR> <BR>conn sp-dell-p-02.savoirpro.fr <BR> left=%any <BR> right=aaa.bbb.ccc.ddd <BR> rightsubnet=10.0.0.0/24 <BR> rightca="C=FR, S=France, L=Paris, O=SavoirPro, CN=fwsp, E=adresse-mail@domaine.com" <BR> network=auto <BR> auto=add <BR> pfs=yes <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar Guepi » 19 Sep 2003 15:03

et l'extrait de ce que produit le lancement du ficheir IPSec : <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> C:VPN>ipsec <BR>IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller <BR>Getting running Config ... <BR>Microsoft's Windows 2000 identified <BR>Setting up IPSec ... <BR> <BR> Deactivating old policy... <BR> Removing old policy... <BR> <BR>Connection sp-dell-p-02.savoirpro.fr: <BR> MyTunnel : 62.147.138.111 <BR> MyNet : 62.147.138.111/255.255.255.255 <BR> PartnerTunnel: aaa.bbb.ccc.ddd <BR> PartnerNet : 10.0.0.0/255.255.255.0 <BR> CA (ID) : C=FR, S=France, L=Paris, O=SavoirPro, CN=fwsp, E=a... <BR> PFS : y <BR> Auto : add <BR> Auth.Mode : MD5 <BR> Rekeying : 3600S/50000K <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>( je préçise que aaa.bbb.ccc.ddd est en réalité une adresse IP fixe ! <IMG SRC="images/smiles/icon_wink.gif"> )
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar louis » 19 Sep 2003 15:47

Re. <BR> <BR>Le service ipsec tourne-t-il sur la MNF : service ipsec status <BR>Le tunel est-il monté : ipsec look - il ne doit pas l'être mais cela doit donner : <BR> <BR>fw_mnf ven sep 19 15:52:58 CEST 2003 <BR>ipsec0->eth1 mtu=1435(1500)->1500 <BR>0.0.0.0 10.0.0.210 0.0.0.0 UG 40 0 0 eth1 <BR>10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 eth1 <BR>10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 ipsec0 <BR>Destination Gateway Genmask Flags MSS Window irtt Iface <BR> <BR>Lors du ping du client vers un poste derrière la mnf, il y a t-il négociation ? des erreurs ? <BR> <BR>Si tu monte manuellement le tunel (après avoir modifier ipsec.conf pour donner l'adresse ip du roadwarrior) par : ipsec auto --up <roadwarrior> <BR>Quel est le résultat ? <BR>
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar louis » 19 Sep 2003 15:49

J'ai oublié : <BR> <BR>C:WINNTDebugOakley.log, après la négociation lors du ping (roadwarrior -> client derière mnf)
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar Guepi » 19 Sep 2003 16:19

je rajouterais ce problème là, qui va certainement orienter le débat : <BR> <BR>lors du lancement de la connexion VPN créée sur le portable, j'ai ce message : <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Erreur 792 : La tentative de connexion L2TP a échoué car le délai de la négociation a été dépassé.</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je dois définir les paramètres de Shorewall pour nater les trames L2TP vers mon serveur de domaine ? <IMG SRC="images/smiles/icon_find.gif"> <IMG SRC="images/smiles/icon_help.gif"> <BR>============================================ <BR> <BR>Sur le client, la connexion VPN n'abouti jamais. <BR>-------------- <BR>Louis, pour tes questions : <BR> <BR>le service ipsec tourne sur la MNF : <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>IPsec running <BR>pluto pid 14340 <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>le résultat de ipsec look: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>[root@localhost admin]# ipsec look <BR>localhost ven sep 19 16:26:12 CEST 2003 <BR>ipsec0->eth0 mtu=16260(1500)->1500 <BR>0.0.0.0 10.0.0.238 0.0.0.0 UG 40 0 0 eth0 <BR>10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 eth0 <BR>10.0.0.0 0.0.0.0 255.255.255.0 U 40 0 0 ipsec0 <BR>Destination Gateway Genmask Flags MSS Window irtt Iface <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>lorsque je tente de pinger un poste du réseau entreprise depuis le client, comme je n'ai pas de VPN d'ouvert, ça me donne <!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> délai d'attente de la demande dépassé</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --><BR><BR><font size=-2></font>
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar Guepi » 19 Sep 2003 17:55

ça ping !!! <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>Je me suis rendu compte que je devais envoyer les informations sur la mauvaise interface ( eth1 au lieu de eth0 ). <BR> <BR>De plus ma machine a changé d'adresse IP entre temps. Ce qui fait que je pinguais une adresse qui n'est plus affectée.
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar Guepi » 22 Sep 2003 12:27

Bonjour. <BR> <BR>Voilà, j'aimerais faire l'identification d'un poste sur un serveur de domaine. Cependant, je ne sais pas quel port forwarder au serveur de domaine. <BR> <BR>De plus, dans ma config ci-dessus, j'arrive à pinguer certaines machines, mais pas toutes... Une idée du pourquoi ?
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar louis » 22 Sep 2003 16:11

Bonjour, <BR> <BR>Concernant le ping sur certaine machine de ton réseau : <BR> <BR>J'ai eu ce problème car sur ces machines, une route statique permanente était configurée !!!
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar Guepi » 22 Sep 2003 17:04

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-22 16:11, louis a écrit: <BR>Bonjour, <BR> <BR>Concernant le ping sur certaine machine de ton réseau : <BR> <BR>J'ai eu ce problème car sur ces machines, une route statique permanente était configurée !!! <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>tu peux détailler un peu plus l'idée de la route statique, s'il te plaît ?
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar louis » 22 Sep 2003 17:53

Re. <BR> <BR>Ces machines permettent de faire de la télémaintenance vers d'autres sites (via un modem sur le reseau). Pour cela, une route statique est ajoutée pour rerouter le flux de données vers ce modem si une des adresses de ces sites est demandée. <BR> <BR>Tout cela grace à la commande dos "route -p add ... ". Pour connaitre si des routes permanentent existent sur tes machines, lance sous dos "route print", les itinéraires persistants se trouvent à la fin. <BR>
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar Guepi » 22 Sep 2003 18:20

je n'ai pas de route persistante, mais je pense que mon opérateur internet oui ... <BR> <BR>ping 10.0.0.81 <BR>ça réponds chez Free ... <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar Guepi » 04 Nov 2003 13:22

<IMG SRC="images/smiles/icon_up.gif"> <BR> <BR>Je suis toujours bloqué au même point : je n'établis pas de connexion entre le roadwarrior sous windows 2000 et le MNF. <BR> <BR> <IMG SRC="images/smiles/icon_frown.gif"> <BR><BR><font size=-2></font>
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar 6r » 28 Nov 2003 16:00

bonjour a tous <BR> <BR>encore et toujours des soucis avec la bete <BR> <BR>donc j'ai lu ce topic qui me concerne a 100% <BR> <BR>j'ai les meme message d'erreur dans le log du serveur vpn (ignoring vendor ID payload et initial main mode message received on 192.168.1.127:500 but no connection has been authorized) <BR> <BR>j'ai pensé au regle du fw (shorewall) et apparement elles sont bonnes (defini comme dans la doc) les tunnels itoo <BR> <BR>et parfois j'ai aussi un ; ignoring delete SA payload <BR>ou un received and ignored informational message <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>tout ca sur le port 500 et qui vient de ma machine client vpn <BR> <BR> <BR>j'ai regardé un peu ce que ca devrait donnar selon ce que louis a consseillé et j'ai exactement ce qui a ete donné <BR> <BR>sauf que en lancant un ipsec auto --up cy_trayaud il me dit : no connection named "cy_trayaud" <IMG SRC="images/smiles/icon_eek.gif">
Avatar de l’utilisateur
6r
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 25 Nov 2003 01:00

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron