vpn entre ipcop 1.3fix7 et 1.4a10

par **babalou** » 07 Fév 2004 16:33

Saluut tout le monde, Il m'arrive un soucis assez curieux et je viens donc demander de l'aide aux plus courageux d'entre vous... lol En fait j'ai monté 1 vpn entre 2 ipcop, l'un étant en version 1.3fix7 et l'autre en 1.4a10 les 2 arrivent à se pinguer sans problème, je suis donc passé à la création du vpn... pas de soucis là non plus, le vpn s'affiche comme étant ouvert des 2 cotés et l'interface ipsec0 est créée sur les 2 ipcop. donc jusqu'ici tout va bien...mais le problème (qui est tout de meme de taille) est que je n'arrive ni d'un coté ni de l'autre d'accèder au réseau distant... 192.168.1.0/24 pour le 1er et 172.16.41.0/24 pour le second. je ne pense pas que ce soit le problème de classe qui soit à remettre en cause mais peut etre qqun en sait il 1 peu + ?? Merci d'avance d'éclairer ma lanterne....ma bougie plutot....arf mon alumette jveu dire <IMG SRC="images/smiles/icon_lol.gif"> ++ MOI

par **babalou** » 08 Fév 2004 13:27

<IMG SRC="images/smiles/icon_up.gif"> personne pour m'aider?????????????

par **hyppo** » 08 Fév 2004 13:30

Salut, decris nous la maniere que tu utilises pour accceder au réseau distant, les OS que tu utilises, en clair ta config complete. Merci @+

par hb » 08 Fév 2004 13:32

que dit la log ?? (journaux IPEC) sur ipcop130 tu peux aussi faire un tail -55 /var/log/secure

par **babalou** » 08 Fév 2004 19:31

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-02-08 12:30, hyppo a écrit: Salut, decris nous la maniere que tu utilises pour accceder au réseau distant, les OS que tu utilises, en clair ta config complete. Merci @+ </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> L'OS que j'utilise?? ipcop des 2 cotés..1.3f7 et 1.4a10, les machines sont quant à elles sous windows 2000 xp et redhat, mais du moment que c'est du tcp ip je vois pas quel rapport ca peut avoir avec mon probleme <IMG SRC="images/smiles/icon_bawling.gif"> pour vérifier si les acces fonctionne je me logue tout simplement en ssh sur l'ipcop distant et je fais 1 test de ping vers mon réseau...et là ca ne fonctionne pas aussi bien de mon coté que de l'autre...problème de routage? en fait comme les ipcop jouent eux meme le role de routeur et ne sont donc pas situés derriere du NAT je n'ai pas remplacé le %defaultroute dans les paramètres vpn..fallait il que je le fasse??? Merci de m'aider...passke chui vraiment dans la $%#&! avec le patron ki me casse les $%#&! du matin o soir sur cette histoire de vpn <IMG SRC="images/smiles/icon_bawling.gif">

par hb » 08 Fév 2004 20:19

t'as pas repondu à ça <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> que dit la log ?? (journaux IPEC) sur ipcop130 tu peux aussi faire un tail -55 /var/log/secure </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> de plus peut tu nous donner tes confs: /etc/ipsec.conf /etc/ipsec.secrets

par **babalou** » 08 Fév 2004 21:05

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-02-08 19:19, hb a écrit: t'as pas repondu à ça <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> que dit la log ?? (journaux IPEC) sur ipcop130 tu peux aussi faire un tail -55 /var/log/secure </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> de plus peut tu nous donner tes confs: /etc/ipsec.conf /etc/ipsec.secrets </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> OKI HB, JE VOUS ENVOIE CA DEMAIN MATIN...KAN JSERAI O BOULOT... MERCI A++

par **pkaer** » 08 Fév 2004 21:26

Salut, Je ne pense pas que cela soit un problème.... Moi non plus de mes serveursIPCop je ne peux pas pinger un réseau distant. Par contre essayes donc d'un pc de ton réseau local (autre que ton Ipcop) de pinger un PC de ton réseau distant (là aussi autre que ton Ipcop distant). @+

par **pkaer** » 08 Fév 2004 21:26

Salut, Je ne pense pas que cela soit un problème.... Moi non plus de mes serveursIPCop je ne peux pas pinger un réseau distant. Par contre essayes donc d'un pc de ton réseau local (autre que ton Ipcop) de pinger un PC de ton réseau distant (là aussi autre que ton Ipcop distant). @+

par **babalou** » 09 Fév 2004 12:22

j'arrive à pinguer ni depuis les machines ni depuis mon ipcop voici mon ipsec.conf coté serveur: pour info ya 2 réseaux: 172.16.41.X d'un coté et 192.168.1.X de l'autre les ipcop sont reliés par ip fixes et se pingue entre eux... config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!172.16.0.0/255.255.0.0,%v4:!10.0.0.0/255.0.0.0,%v4:!192.168.1.0/255.255.255.0 conn %default keyingtries=0 disablearrivalcheck=no conn blabla left=XXXXXXXXXXXXXXXXXX leftnexthop=%defaultroute leftsubnet=172.16.0.0/255.255.0.0 right=206.47.x.y rightsubnet=192.168.1.0/255.255.255.0 rightnexthop=%defaultroute dpddelay=30 dpdtimeout=120 dpdaction=hold authby=secret auto=start et mon ipsec.secrets: @gauche fixe 206.47.x.y : PSK "XXXXXXXXXXXXXXXXXXXXXXXXX" la connection vpn s'établit bien des 2 cotés... mais meme en faisant 1 traceroute je voit ke les paquets s'arretent à l'ipcop local. le résultat de mon netstat -r me donne des tables de routages pourtant cohérentes, ca c'est de mon coté, c'est à dire coté serveur, à gauche @gauche correspond à l'@ip fixe de l'ipcop...que je peut pas mettre en clair pour des raisons de sécurité <IMG SRC="images/smiles/icon_lol.gif"> Destination Gateway Genmask Flags MSS Window irtt Iface @gauche * 255.255.255.255 UH 0 0 0 ppp0 @gauche * 255.255.255.255 UH 0 0 0 ipsec0 192.168.1.0 @gauche 255.255.255.0 UG 0 0 0 ipsec0 1.1.1.0 * 255.255.255.0 U 0 0 0 eth2 172.16.0.0 * 255.255.0.0 U 0 0 0 eth0 10.0.0.0 * 255.0.0.0 U 0 0 0 eth1 default @gauche 0.0.0.0 UG 0 0 0 ppp0 desolé si c 1 peu dégueu <IMG SRC="images/smiles/icon_wink.gif"> Merci de m'aider...et si ya besoin de + d'infos chui pret à donner....

par **babalou** » 09 Fév 2004 14:21

voila mes logs en + : 13:12:40 pluto[23456] "blabla" #1: initiating Main Mode 13:12:40 pluto[23456] "blabla" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2 13:12:40 pluto[23456] "blabla" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 13:12:41 pluto[23456] "blabla" #1: Main mode peer ID is ID_IPV4_ADDR: '206.47.x.y' 13:12:41 pluto[23456] "blabla" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 13:12:41 pluto[23456] "blabla" #1: ISAKMP SA established 13:12:41 pluto[23456] "blabla" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS 13:12:41 pluto[23456] "blabla" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2 13:12:41 pluto[23456] "blabla" #2: sent QI2, IPsec SA established 13:12:41 ipsec__plutorun: 104 "blabla" #1: STATE_MAIN_I1 initiate 13:12:41 ipsec__plutorun: 106 "blabla" #1: STATE_MAIN_I2 sent MI2, expecting MR2 13:12:41 ipsec__plutorun: 108 "blabla" #1: STATE_MAIN_I3 sent MI3, expecting MR3 13:12:41 ipsec__plutorun: 004 "blabla" #1: STATE_MAIN_I4 ISAKMP SA established 13:12:41 ipsec__plutorun: 122 "blabla" #2: STATE_QUICK_I1 initiate 13:12:41 ipsec__plutorun: 004 "blabla" #2: STATE_QUICK_I2 sent QI2, IPsec SA established 13:12:57 pluto[23456] "blabla" #1: ignoring Delete SA payload: IPSEC SA not found (maybe expired) 13:12:57 pluto[23456] "blabla" #1: received and ignored informational message <IMG SRC="images/smiles/icon_up.gif"> a l'aideee!!!

par hb » 15 Fév 2004 00:51

desole, de ne pas etre revenu plus tot... tu nous donnes la conf de l'ipcop140 là, et l'autre ? c'est surtout pour le "auto=start" tu ne doit âs l'avoir des 2 cotés !!! l'autre ipcop doit absolument avoir "auto=add" de plus dans ipcop.secrets les adresses doivent etre inversées sur le 2eme ipcop

vpn entre ipcop 1.3fix7 et 1.4a10

Qui est en ligne ?