[vpn] Pas de reconnection uniquement d'un cote du tunnel...

[Trracer]

Bonjour, <BR> <BR>J'ai relie deux sites via vpn avec IpCop 0.1.1. Le premier site est en ip fixe (deconnection toutes les 24h), le second en ip variable (deconnection toutes les 36h). <BR> <BR>D'un cote comme de l'autre je ne me sert pas de l'ip fixe mais uniquement de host dynamique (dyns.cx). <BR> <BR>Toujours est-il que lors de la deconnection le cote ip fixe reconnecte bien le vpn, mais pas le cote ip variable ! Le seul moyen de relancer la connection est de lancer la connection vpn sur les deux machines en meme temps <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR>Les scripts ont ete modifies pour accepter les url et le %defaultroute en lieu et place d'adresse ip pure. Le script ppp-on a bien sur ete lui aussi modifie pour relancer la connection automatiquement. <BR> <BR> <BR>Quelqu'un a une idee <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR> <BR>Voila le log de la machine "ip variable" lors du changement d'ip : <BR> <BR>01:15:16 ipsec_setup Stopping FreeS/WAN IPsec... <BR>01:15:17 ipsec_setup: /usr/local/lib/ipsec/tncfg Socket ioctl failed on detach -- No such device. Is the virtual device valid? The ipsec module may not be linked into the kernel or loaded as a module. <BR>01:15:18 ipsec_setup ...FreeS/WAN IPsec stopped <BR>01:15:26 ipsec_setup Stopping FreeS/WAN IPsec... <BR>01:15:26 ipsec_setup stop ordered, but IPsec does not appear to be running! <BR>01:15:26 ipsec_setup doing cleanup anyway... <BR>01:15:26 ipsec_setup ...FreeS/WAN IPsec stopped <BR>01:15:26 ipsec_setup Starting FreeS/WAN IPsec 1.91... <BR>01:15:26 ipsec_setup KLIPS debug `none' <BR>01:15:27 ipsec_setup KLIPS ipsec0 on ppp0 217.136.0.221/255.255.255.255 pointopoint 217.136.0.1 <BR>01:15:27 ipsec_setup: WARNING ipsec0 has route filtering turned on, KLIPS may not work <BR>01:15:27 ipsec_setup (/proc/sys/net/ipv4/conf/ipsec0/rp_filter = `1', should be 0) <BR>01:15:27 ipsec_setup: WARNING ppp0 has route filtering turned on, KLIPS may not work <BR>01:15:27 ipsec_setup (/proc/sys/net/ipv4/conf/ppp0/rp_filter = `1', should be 0) <BR>01:15:27 ipsec_setup ...FreeS/WAN IPsec started <BR> <BR> <BR>Merci <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>PS : mis a part dyns.cx y'a quoi d'autre comme dns dynamique qui permet la redirection d'url (ip+port) ? Parce que apparemment dyns a pas l'air tres fiable <IMG SRC="images/smiles/icon_frown.gif">

[drlin]

ajoute un script dans ton crontab pour vérifier l'existence des liens, et s'ils ne le sont plus le script redémarreras alors la connection!

[Trracer]

Pourrais-tu preciser ta pensee s'il te plait ? parce que j'avoue ne pas trop suivre là... <BR> <BR>En fait il faudrait que chaque machine detecte la coupure du tunnel (le changement d'ip de son interlocuteur) et relance une connection vpn. Comme le fait pppd quand le connection est coupe. <BR>Je pense que je vais le faire directement en Perl en me basant simplement sur un ping d'une machine appartenant au reseau de l'autre cote du tunnel et qui relance l'ipsecctrl R en cas de non reponse... <BR> <BR>[Edit] Ouuppss, j'ai oublie que je ne pouvais pas pinguer une machine interne au reseau de l'autre cote du tunnel à partir du firewall... <IMG SRC="images/smiles/icon_bawling.gif"> <BR><BR><font size=-2></font>

[joebar]

Salut, <BR> <BR>Moi je te conseil de planifier dans le crontab, une deco et une reconnexion tous les matin à 7h par exemple sur le deux machines. Comme ca le vpn va démarrer en meme tps . <BR> <BR>De plus , je conseil de garder l'ip fixe sur un cote ds ta conf vpn, ne pas utiliser un nom dns alors que l'ip est fixe. Ca evite de faire des requetes dns alors que l'ip ne change pas. <BR> <BR>@+ <BR> <BR><IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Pour le ping depuis le ipcop, c'est normale, il faudrait si tu veux le faire en perl, faire un route pour voir si c'est monté.<BR><BR><font size=-2></font>

[Trracer]

Oui le deconnection/reconnection forcee a la meme heure sur les deux machines j'y avait deja pense <IMG SRC="images/smiles/icon_biggrin.gif"> Mais je ne trouve pas ça tres "propre" <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>En fait j'aimerais savoir si il y a une raison pour laquelle seulement un cote du tunnel ne se reconnecte pas, alors que l'autre semble le faire sans probleme ? Ca me parrait bizarre tout de meme... <BR> <BR>D'autant que freeswan n'indique pas d'erreur particuliere, donc je ne sais pas ce qui peut bien l'empecher de recreer la connection... <BR> <BR>Et pourquoi quand je lance les deux en meme temps, la reconnection s'effectue correctement des deux cotes ? Ca aussi c'est un truc que je comprend pas... <BR> <BR>Pour le coup de l'ip fixe, c'est vrai que cela eviterait des requetes dns inutiles... Je vais modifier ça. <BR>Et pour le ping, je suppose que c'est une regle ipchain a rajouter pour autoriser le firewall a envoyer des paquets sur l'interface ipsec0, mais je suis pas un pro d'ipchain (pas du tout) donc ça va attendre un petit peu <IMG SRC="images/smiles/icon_biggrin.gif">

[wann]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>En fait j'aimerais savoir si il y a une raison pour laquelle seulement un cote du tunnel ne se reconnecte pas, alors que l'autre semble le faire sans probleme ? Ca me parrait bizarre tout de meme... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Ben non, pas tant que ça en fait... <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>D'autant que freeswan n'indique pas d'erreur particuliere, donc je ne sais pas ce qui peut bien l'empecher de recreer la connection... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>fais un "tail /var/log/messages" et tu devrais voir quelque chose comme ça: <BR>ipsec_auto: fatal error in "maconnexionvpn": %defaultroute requested but not known <BR>le problème semble venir de là <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Et pourquoi quand je lance les deux en meme temps, la reconnection s'effectue correctement des deux cotes ? Ca aussi c'est un truc que je comprend pas... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>à mon avis, c'est que dans ce cas, le %defaultroute est bien interprété. <BR> <BR>j'ai pas encore tout compris, mais je crois que c'est de ce côté là qu'il faut chercher: un problème avec le %defaultroute quand l'@ip (et la gateway ? chez le FAI) change... <BR>

[Trracer]

Apparemment il interprete bien le %defaultroute. En tout cas j'ai pas d'erreur de ce type dans les log. <BR>L'adresse de gateway change (des deux cotes), donc pas moyen de mettre une ip en dur directement... <BR> <BR>Je verrais bien a la prochaine deconnection si ils se reconnectent ou pas (avec un peu de chance... <IMG SRC="images/smiles/icon_rolleyes.gif"> ).

[wann]

Alors ?