galeres avec vpn mnf et CP

par **beuzz** » 02 Déc 2003 19:50

Bonjour à tous .. <IMG SRC="images/smiles/icon_wink.gif"> Malgre vos différents docs qui m'ont été bien utile je ne m'en sors tjs pas avec mon vpn sur ma mnf avec un client XP Pour commencer sur la mnf, au démarrage d'ipsce j'ai : déc 2 18:26:33 vpn ipsec_setup: WARNING: eth1 has route filtering turned on, KLIPS may not work déc 2 18:26:33 vpn ipsec_setup: (/proc/sys/net/ipv4/conf/eth1/rp_filter = `1', should be 0) déc 2 18:26:33 vpn ipsec_setup: ...FreeS/WAN IPsec started Cela peut il être à l'origine de mon problème ?? J'ai pourtant autorisé le traffic vpn à passer ! ,( .. Mes zones sont : 1 lan eth0 detect 2 wan eth1 detect 3 dmz eth2 detect 4 vpn ipsec0 detect Coté XP .. l'initialisation d'ipsec est Ok pi j'ai 180 lignes de logs incompréhensibles (j'ai mis le mode2) puis j'ai : 12-02: 18:37:03:845:554 Adresse IP sourceXX.XX.XXX.XX(ipfixe du client : semble ok) Masque d'adresse IP source 255.255.255.255 (pas bon c 0 à la fin ..) Adresse IP de destination XX.XX.XX.XXX(ip fixe de la mnf : ok) Masque d'adresse IP de destination 255.255.255.255 (pas bon c 240 pour subnet public et 0 pour le subnet local) Protocole 0 Port source 0 Port de destination 0 Adresse locale IKE Adresse homologue IKE 12-02: 18:37:03:845:554 12-02: 18:37:03:845:554 Moi 12-02: 18:37:03:845:554 SA IKE supprimée avant que l'établissement ait été terminé 12-02: 18:37:03:845:554 0x0 0x0 12-02: 18:37:03:845:554 isadb_set_status InitiateEvent 00000474: Setting Status 35f0 12-02: 18:37:03:845:554 Clearing sa 000EEA08 InitiateEvent 00000474 12-02: 18:37:03:845:554 constructing ISAKMP Header 12-02: 18:37:03:845:554 constructing DELETE. MM 000EEA08 12-02: 18:37:03:845:554 12-02: 18:37:03:845:554 Sending: SA = 0x000EEA08 to XX.XX.XX.XX (IPPUBLIC MNF):Type 1 12-02: 18:37:03:845:554 ISAKMP Header: (V1.0), len = 56 12-02: 18:37:03:845:554 I-COOKIE 4516ed0bee3eede6 12-02: 18:37:03:845:554 R-COOKIE 0000000000000000 12-02: 18:37:03:845:554 exchange: ISAKMP Informational Exchange 12-02: 18:37:03:845:554 flags: 0 12-02: 18:37:03:845:554 next payload: DELETE 12-02: 18:37:03:845:554 message ID: d96c0aab 12-02: 18:37:03:861:2c0 CloseNegHandle 00000474 12-02: 18:37:03:861:554 WSASendTo error 10061 12-02: 18:37:03:861:2c0 SE cookie 4516ed0bee3eede6 12-02: 18:37:03:877:a24 isadb_schedule_kill_oldPolicy_sas: f8b19a3a-e31b-4d76-bb055219b34721ef 4 12-02: 18:37:03:877:f0c isadb_schedule_kill_oldPolicy_sas: 7ce927f3-944d-43a4-9cc3c4ceb4b20ce1 3 12-02: 18:37:03:877:2c0 isadb_schedule_kill_oldPolicy_sas: a44a9e03-0876-48e3-8b24bf5ed78a6d07 2 12-02: 18:37:03:877:554 entered kill_old_policy_sas 12-02: 18:37:03:877:554 entered kill_old_policy_sas 12-02: 18:37:03:877:bc8 entered kill_old_policy_sas 12-02: 18:37:03:892:a24 isadb_schedule_kill_oldPolicy_sas: 075bc9e4-c009-4d53-a1364a012f6fb19a 1 12-02: 18:37:03:892:bc8 entered kill_old_policy_sas si vous comprenez qqchose je veux bien votre avis éclairé ! .. Ma conf IPSEC coté XP : conn %default dial=Free ADSL conn fix right=%any left=XX.XX.XX.XX (IPPUBLIQUE MNF) leftsubnet=192.168.1.0/24 (SUBNET LAN) rightca="C=FR, S=France, L=Paris, ..." network=auto auto=start pfs=yes coté MNF : config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=1 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert conn fix left=%defaultroute leftsubnet=192.168.1.0/24 right=%any leftcert=monvpn.pem auto=add pfs=yes Qu'en pensez vous paske moi <IMG SRC="images/smiles/icon_cussing.gif"> i need <IMG SRC="images/smiles/icon_help.gif">

par **beuzz** » 02 Déc 2003 22:40

g tout repris mes fichiers de conf à 0 ... g relu tous les différents docs ... l'ipsec de mon XP semble tourner C:VPN>ipsec IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller Getting running Config ... Microsoft's Windows XP identified Setting up IPSec ... Deactivating old policy... Removing old policy... Connection fix: MyTunnel : xx.xx.xx.xx MyNet : xx.xx.xx.xx/255.255.255.255 PartnerTunnel: aa.bb.cc.dd PartnerNet : 192.168.1.0/255.255.255.0 CA (ID) : C=FR, S=France, L=Paris, O=ENLIVE, OU=NOC, CN=VPN ... PFS : y Auto : start Auth.Mode : MD5 Rekeying : 3600S/50000K Activating policy... Sur la MNF : [root@localhost admin]# service ipsec status IPsec running pluto pid 13583 si on approffondit : [root@localhost admin]# ipsec verify Checking your system to see if IPsec got installed and started correctly Version check and ipsec on-path [OK] Checking for KLIPS support in kernel [OK] Checking for RSA private key (/etc/freeswan/ipsec.secrets) [OK] Checking that pluto is running [OK] DNS checks. Looking for forward key for localhost [OK] Does the machine have at least one non-private address [FAILED] <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> Est ce normal .?? IPsec look semble OK .. Et j'ai quand même une erreur 800 sur le pc sous XP ! ,;('** <IMG SRC="images/smiles/icon_cussing.gif"> de mnf <IMG SRC="images/smiles/icon_mad.gif">

par **beuzz** » 02 Déc 2003 22:55

je li et je reli .. je réfléchi ... je cherche .. et je trouve rien .. ! ,( .. quand je ping une ip de mon réseau local distant j'ai bien la négo qui se met en place !! .. coté mnf je me vois arriver .. la route c'est bien ajoutée .. la passerelle est la même que la route 'default' mais toujours rien .. ! .. cela peut il venir de ma conf réseau ?? ou de mon routage

N estination Passerelle Genmask Indic Metric Ref Use Iface IPFIXECLIENT ROUTEUR DISTANT 255.255.255.255 UGH 0 0 0 ipsec0 PASSDISTANT * 255.255.255.240 U 0 0 0 eth1 PASSDISTANT * 255.255.255.240 U 0 0 0 ipsec0 10.0.0.0 * 255.255.255.0 U 0 0 0 eth2 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default ROUTEUR DISTANT 0.0.0.0 UG 0 0 0 eth1 <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

par **sebastien133** » 03 Déc 2003 14:40

tail - f /var/log/message Il faut absolument trouver le message d'erreur avant de déterminer de quoi il s'agit. Est-ce que ton firewall est bien paramètré? As-tu ouvert un tunnel sous shorewall, et ce tunnel est-il bon? (ca m'est déja arrivé une fois de me tromper en ouvrant mon tunnel...) As-tu fait ipsec auto --status? ipsec look ? sebastien133.

par **beuzz** » 03 Déc 2003 15:07

je ne suis pas sur que mon firewall soit bien configuré ?? comment je vérifie le tunel shorewall ??

par **beuzz** » 03 Déc 2003 16:17

voila les résultats de la commande status : [root@vpn freeswan]# ipsec auto --status 000 interface ipsec0/eth1 XX.XX.XX.XX (IP PUB MNF) 000 000 "fix-net": 192.168.1.0/24===XX.XX.XX.XX[C=FR, ST=France, L=Paris, ...]---YY.YY.YY.YY (passerelle de la MNF) ...ZZ.ZZ.ZZ.ZZ (IP PUB CLIENT) 000 "fix-net": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1 000 "fix-net": policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS; interface: eth1; unrouted 000 "fix-net": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0 000 "fix": XX.XX.XX.XX[C=FR, ST=France, L=Paris,...]---YY.YY.YY.YY...ZZ.ZZ.ZZ.ZZ 000 "fix": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1 000 "fix": policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS; interface: eth1; unrouted 000 "fix": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

par **sebastien133** » 03 Déc 2003 16:26

Dans /var/log/messages, tu peux voir si ton firewall filtre ou non les trames reçues. (tail - f /var/log/messages) Sinon, il suffit juste d'ouvrir un tunnel avec l'interface graphique de MNF. La documentation est claire. sebastien133.

par **beuzz** » 03 Déc 2003 18:17

j'ai bien crée un tunnel comme marqué dans la doc par contre y'a un truc bizzarre mais peut être normal : j'ai mis 0.0.0.0 : Type Zone IP de la passerelle Gateway Zone(optionnal) 1 ipsec vpn 0.0.0.0/0 vpn

par **beuzz** » 03 Déc 2003 18:25

j'ai lors du tail -f /var/log messages Dec 3 17:24:35 vpn kernel: Shorewall:wan2all:DROP:IN=eth1 OUT= .... ça devrait pas être vpn2lan ?? !

par **sebastien133** » 03 Déc 2003 18:47

L'erreur est dans le tunnel... Tu as mis vpn to vpn alors que c'est WAN to vpn... <IMG SRC="images/smiles/icon_biggrin.gif"> Il ne regarde pas sur la carte réseau WAN pour le VPN. Sebastien133.

par **beuzz** » 03 Déc 2003 19:59

effectivement ... j'ai mis : Type Zone IP de la passerelle Gateway Zone(optionnal) 1 ipsec wan 0.0.0.0/0 vpn comme dans la doc .. g redémarré ipsec il démarre nikel tt comme dans la doc <IMG SRC="images/smiles/icon_wink.gif"> g redémarré shorewall et c'est toujours pareil :!! ,( ,(

par **beuzz** » 03 Déc 2003 20:39

lors d'un ipsec auto --status g 000 "fix": policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS; interface: eth1; unrout ed ça vous paraît normal ?? !

par **beuzz** » 03 Déc 2003 20:40

[root@localhost root]# ipsec verify Checking your system to see if IPsec got installed and started correctly Version check and ipsec on-path [OK] Checking for KLIPS support in kernel [OK] Checking for RSA private key (/etc/freeswan/ipsec.secrets) [OK] Checking that pluto is running [OK] DNS checks. Looking for forward key for localhost [OK] Does the machine have at least one non-private address [FAILED] elle a fumé cette <IMG SRC="images/smiles/icon_cussing.gif"> de mnf elle a bien une ip publique !!

par **beuzz** » 03 Déc 2003 20:43

o fait j'y pense État du serveur DHCP off État du serveur ProxyWeb off État du serveur cache DNS off État du serveur SDI Prelude off État du serveur SDI Snort off c important de les activer pour le vpn ??

par **beuzz** » 03 Déc 2003 21:25

g toujours wan2all .. ! c 'est pas o niveau de mon XP qu'il peut y avoir un pb ?? :! le port 500 ne semble pas ouvert lorsque je fais un nmap sur mon ip , ( le port 500 est bien celui par défaut sur XP pour les connections VPN ?? Dans les docs, et je le comprends la partie XP est plutôt light .. y'a t il un process particulier sur le XP pour activer le tunnel et/ou se connecter ! ?? est ce que je peux param ce port qqpart ?? Merci à tous !

galeres avec vpn mnf et CP

Qui est en ligne ?