VPN nomade quand tu nous tiens

par **mi_moun** » 13 Nov 2003 16:21

Apres de longues nuits blanches à chercher dans les how to & co ! J’ai décidé de faire appel à un ami… Je m’explique. J’aimerai faire un VPN pour que les commerciaux puissent se connecter à mon intranet depuis l’extérieur, et oui c’est bien du VPN Nomade dont je veux parler. Alors, premier réflexe, analyse du matos : Des supers cartes GPRS Sfr. Je décroche mon téléphone pour appeler la cellule spécialisée SFR Data ! ( ça en jette non ? ) Il me donne comme info, pour faire ça il faut un routeur type cisco 3000 ou un checkpoint SP1, le reste nous on sait pas faire ! Autre précision de ce monsieur, sfr à bloquer les ports pptp, ldtp et enfin l2tf. Alors voila mon problème, j’ai une installe avec un IPCOP 1.3, avec une DMZ, un routeur la marque RTM (marque plus connus sous le nom de ROUTEUR DE $%#&! !) qui supporte le forward de port et le NAT. J’aimerai ne pas à avoir à changer toute mon installe. Alors que faire … j’ai bien regarder tout les How to & co mais rien qui marche ! Alors pour les plus courageux qui ont lu ce port : voici ma config. @ -Routeur - Red 192.168.1.8/24 -- IPCOP -- Green 192.168.20.8/24 -- réseau local petite presision sur le fonctionnement du GPRS: PC portable ---- serveur DHCP SFR --- Routeur SFR ---- @ je ne dispose donc pas d'adresse public, donc NAT ! Plus une dmz mais qui ne rentre pas dans le sujet présent pour le moment. J’ai essayé de faire mon VPN comme décrit dans un exemple de MNF pour faire un VPN avec une connexion GPRS mais ca ne donne rien, il doit y avoir un truc bien spéciale à faire sur Ipcop je pense ou sur mon client nomade (XP) Alors si quelqu’un à deja reussi à faire un VPN de se type, je suis preneur des fichiers de config ! ou sinon, me dire vers quel type de VPN je doit me tourner. <IMG SRC="images/smiles/icon_bise.gif"> please <IMG SRC="images/smiles/icon_help.gif"> me !

par **belugha** » 13 Nov 2003 17:44

Je ne pense pas que le GPRS soit un obstacle. Inspire toi de <a href="http://vanhees.homeip.net/index.php?module=ContentExpress&func=display&ceid=10" target="_blank">http://vanhees.homeip.net/index.php?module=ContentExpress&func=display&ceid=10</a> Et post nous le resultat <IMG SRC="images/smiles/icon_wink.gif"> Bon courage

par **mi_moun** » 14 Nov 2003 10:29

bon alors, ca avance, voici la trace d'un ping depuis le nomade: Nov 14 08:21:31 ipcop pluto[6079]: | Nov 14 08:21:31 ipcop pluto[6079]: | *received 56 bytes from 213.223.191.36:682 on eth2 Nov 14 08:21:31 ipcop pluto[6079]: | a2 df 2c 66 91 5f 91 55 00 00 00 00 00 00 00 00 Nov 14 08:21:31 ipcop pluto[6079]: | 0c 10 05 00 fb 70 7b 32 00 00 00 38 00 00 00 1c Nov 14 08:21:31 ipcop pluto[6079]: | 00 00 00 01 01 10 00 01 a2 df 2c 66 91 5f 91 55 Nov 14 08:21:31 ipcop pluto[6079]: | 00 00 00 00 00 00 00 00 Nov 14 08:21:31 ipcop pluto[6079]: | **parse ISAKMP Message: Nov 14 08:21:31 ipcop pluto[6079]: | initiator cookie: Nov 14 08:21:31 ipcop pluto[6079]: | a2 df 2c 66 91 5f 91 55 Nov 14 08:21:31 ipcop pluto[6079]: | responder cookie: Nov 14 08:21:31 ipcop pluto[6079]: | 00 00 00 00 00 00 00 00 Nov 14 08:21:31 ipcop pluto[6079]: | next payload type: ISAKMP_NEXT_D Nov 14 08:21:31 ipcop pluto[6079]: | ISAKMP version: ISAKMP Version 1.0 Nov 14 08:21:31 ipcop pluto[6079]: | exchange type: ISAKMP_XCHG_INFO Nov 14 08:21:31 ipcop pluto[6079]: | flags: none Nov 14 08:21:31 ipcop pluto[6079]: | message ID: fb 70 7b 32 Nov 14 08:21:31 ipcop pluto[6079]: | length: 56 Nov 14 08:21:31 ipcop pluto[6079]: | ICOOKIE: a2 df 2c 66 91 5f 91 55 Nov 14 08:21:31 ipcop pluto[6079]: | RCOOKIE: 00 00 00 00 00 00 00 00 Nov 14 08:21:31 ipcop pluto[6079]: | peer: d5 df bf 24 Nov 14 08:21:31 ipcop pluto[6079]: | state hash entry 16 Nov 14 08:21:31 ipcop pluto[6079]: | state object not found Nov 14 08:21:31 ipcop pluto[6079]: | ***parse ISAKMP Delete Payload: Nov 14 08:21:31 ipcop pluto[6079]: | next payload type: ISAKMP_NEXT_NONE Nov 14 08:21:31 ipcop pluto[6079]: | length: 28 Nov 14 08:21:31 ipcop pluto[6079]: | DOI: ISAKMP_DOI_IPSEC Nov 14 08:21:31 ipcop pluto[6079]: | protocol ID: 1 Nov 14 08:21:31 ipcop pluto[6079]: | SPI size: 16 Nov 14 08:21:31 ipcop pluto[6079]: | number of SPIs: 1 Nov 14 08:21:31 ipcop pluto[6079]: packet from 213.223.191.36:682: ignoring Delete SA payload: not encrypted Nov 14 08:21:31 ipcop pluto[6079]: | del: a2 df 2c 66 91 5f 91 55 00 00 00 00 00 00 00 00 Nov 14 08:21:31 ipcop pluto[6079]: | next event EVENT_SHUNT_SCAN in 34 seconds Nov 14 08:22:05 ipcop pluto[6079]: | Nov 14 08:22:05 ipcop pluto[6079]: | *time to handle event Nov 14 08:22:05 ipcop pluto[6079]: | event after this is EVENT_REINIT_SECRET in 2760 seconds Nov 14 08:22:05 ipcop pluto[6079]: | inserting event EVENT_SHUNT_SCAN, timeout in 120 seconds Nov 14 08:22:05 ipcop pluto[6079]: | next event EVENT_SHUNT_SCAN in 120 seconds alors pourquoi il y a des pakects ignorés ? ca viens d'où ? ...

par **belugha** » 14 Nov 2003 10:33

Peux-tu nous donner tes fichiers confs, coté Ipcop et nomade ? Ensuite, regarde tes logs dans /var/log/secure <IMG SRC="images/smiles/icon_wink.gif">

par **mi_moun** » 14 Nov 2003 11:14

le fichier /var/log/secure est juste au dessus ipsec.conf XP: -------------------------------------- conn portable left=213.223.202.3 leftsubnet=192.168.20.0/24 right=%any presharedkey=pass network=auto auto=start pfs=yes ------fin ipsec.conf XP ------------- ipsec.conf ipcop: -------------------------------------- config setup interfaces=%defaultroute klipsdebug=none plutodebug=all plutoload=%search plutostart=%search conn portable left=213.223.202.3 compress=no leftsubnet=192.168.20.0/24 leftnexthop=%defaultroute type=tunnel authby=secret pfs=yes right=%any rightnexthop=%defaultroute auto=add ------fin ipsec.conf IPCOP ------------- ipsec.conf secret: ------------------------------------- 213.223.202.3 %any : PSK "pass" ------fin ipsec.secret IPCOP -------------

par **brighton42** » 14 Nov 2003 17:27

Bonjour, ta solution m'intéresse. Peux tu me dire comment s'appelle l'offre SFR que tu utilises pour pouvoir faire du VPN avec GPRS? Merci

par **mi_moun** » 17 Nov 2003 09:20

pour l'offre SFr je parle de la VMCC (Vodafone mobile connect card) avec un forfait GPRS sur un abo entreprise. Si tu veux des renseignement sur l'offre SFR renseigne toi au pres de ton espace SFR le plus proche !( un peut de pub ne fait jamais de mal !) Bon d'apres les differentes recherches diverses depuis une semaine, mon probleme vient de mon routeur. En effet je l'utilise en tant que passerelle NAT et non en Bridge, je pense que le probleme vient de la, car Ipsec ne support pas le NAT si je me trompe, sauf encapsulé dans de l'UDP sur le protocol 50 il me semble. Donc il faut que j'active le mode Bridge, et que Ipcop s'occupe de gerer le reste. Je vais tester ca aujourd'hui je pense, si mes collégues supportent de ne pas avoir le net pendant 1 heure <IMG SRC="images/smiles/icon_mad.gif"> ! ca va etre dur ! Je tiens informé de mes resultats avenir. <IMG SRC="images/smiles/icon_up.gif">

par **mi_moun** » 18 Nov 2003 19:13

bon alors, on avance, enfin je pense ... Alors j'ai passé mon routeur en bridge mais le probleme ... je n'avais pu de connexion internet! ma ligne etait coupé ! Merci FT ! Bon sinon, je viens de recuperer ma ligne et j'arrive à me connecter avec mon routeur en mode routeur mais quand je passe en bridge, je n'arrive pas a configurer IPCop ( pour rappel 1.3.0 fix 5) Alors pour la config, quand je suis dans le routeur, j'ai le choix entre: RFC1483 ou PPTP to PPPOA Relaying. Alors j'ai essaier de le metre en more PPTP tp PPPOA puis dans Ipcop de passer mon RED en PPTP. bon, ca ne marche po .... <IMG SRC="images/smiles/icon_frown.gif"> Alors si qq'un à reussi à utiliser un routeur Jupiter en mode bridge avec IpCop je serai contant d'avoir la config

par **Gesp** » 18 Nov 2003 20:03

D'abord tu dois savoir par quel protocole tu es connecté au net actuellement au niveau de ton modem/routeur pour pouvoir transposer au niveau d'IPCop. Dans le cas général, c'est PPPoA et ou PPPoE, ( rarement PPTP qui était la solution uniquement des premiers clients ADSL). Et PPPoE est le cas le plus courant pour les modems en ethernet. En général, les clients en PPTP peuvent passer en PPPoE, il suffit de le demander à FT. Si tu passes ton routeur en bridge, tu ne peux faire que du PPPoE ou PPTP. Peut-être es-tu le monsieur Jourdain de la RFC1483/2684? PPPoE RFC2516 est un des modes de la RFC1483/2684 donc j'essayerais en RFC1483 dans le routeur et PPPoE sur ethernet dans IPCop. Sinon au dessus de RFC1483 il est possible d'utiliser une IP fixe ou DHCP.

par **mi_moun** » 19 Nov 2003 08:33

merci de cette reponse, alors petite precision, ma connexion est en PPPOA et non en PPTP ( FAI: Cegetel ). Je vais tester avec la RFC1483 et PPPOE, avec un peut de chance ... Reste aussi à determeiner le mode d'encapsulation: VC MUX ou LLC / SNAP ? Je vais tester avec les deux de toute facon ! Merci encore pour ce commentaire. <IMG SRC="images/smiles/icon_bise.gif">

par **calamarz** » 08 Déc 2003 18:43

Bonjour, nous voudrions faire le même test dans ma société, le test au final a-t-il fonctionné ???? Merci

par **rage** » 17 Déc 2003 18:08

Salut, Dans l'offre SFR, la VMCC est proposé avec un forfait GPRS 5,20,60 ou 300 mo. Avec la possibilité de demander gratuitement un point d'accès privé, mais ce qui est interessant c'est qu'on peut demander une adresse ip publique pour celui qui en justifie le besoin lors de l'abonnement. Et hop lors de la connection vous avez une adresse publique comme avec nos bon vieux modems....

par **calamarz** » 19 Déc 2003 18:38

Ok donc apres avec un dyndns.org ou autres on peut etablir un tunnel VPN, quelqun a deja reussit a faire fonctionner ce syteme (GPRS VPN) var la semaine prochaine SFR me passe un carte GPRS alors je voudrais bien faire le test, merci <IMG SRC="images/smiles/icon_bise.gif">

VPN nomade quand tu nous tiens

Qui est en ligne ?