IPCOP et VPN Nomade

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar rantom » 11 Fév 2004 19:47

Est -il possible à l'heure actuel de faire du VPN nomade XP <BR>avec Ipcop. Pas du bidouillage mais de la prod. <BR> <BR>
Avatar de l’utilisateur
rantom
Matelot
Matelot
 
Messages: 5
Inscrit le: 19 Oct 2003 00:00

Messagepar maddam » 12 Fév 2004 09:59

Moi aussi j'essaye de faire un vpn entre un IPcop 1.3 (patch 1a7) et XP. <BR>La doc la plus complète a ce sujet que j'ai pu trouvé est celle-ci : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ipcop.org/1.2.0/en/vpn/html/win2k-winxp-connection.html" target="_blank">http://www.ipcop.org/1.2.0/en/vpn/html/win2k-winxp-connection.html</a><!-- BBCode auto-link end --> <BR> <BR>mais lors de la connection j'ai toujours le meme problème : <BR>Qd je ping le green derriere IPCOP depuis XP j'ai le message Negociation de la securité IP ou un truc ds le genre a la place... <BR> <BR>Essaye cette méthode peut-etre qu'elle fonctionnera ds ton cas.... ? <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
maddam
Major
Major
 
Messages: 72
Inscrit le: 24 Jan 2004 01:00

Messagepar sbarbier » 12 Fév 2004 10:50

messieurs, si vous avez le message négociation de la sécurité ip, c'est que vous faites de l'ipsec. <BR> <BR>Il faut ouvrir les ports correspondant soit le 500 et 1701 UDP
Avatar de l’utilisateur
sbarbier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 27 Oct 2003 01:00
Localisation: Boulogne-Billancourt

Messagepar Elfeclair » 12 Fév 2004 11:09

Le VPN que nous cherchons à mettre en place est entre un client IPSEC (ipsec.exe de vpn.ebootis.de) et FreeSwann de IPCop 1.3. <BR> <BR>Le VPN de IPCop à IPCop marche super bien et ne nécessite pas d'ouverture manuelle de ports. C'est IPCop qui les ouvre tout seul comme un grand. <BR> <BR>Je m'interoge donc sur la nécessité d'ouvrir manuellement les ports IPSEC sur IPCop. Il devrait les ouvrir tout seul lui aussi, si la définition du VPN est bien faite, non ? <BR> <BR>J'ai essayé pas mal de configuration (ipsec.conf) hier et ça ne marche pas. <BR> <BR>Je vais continuer à chercher, mais si ceux chez qui ça marche pouvaient nous aider ... <BR> <BR>Merci.
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar maddam » 12 Fév 2004 14:10

en ouvrant les ports udp 500 et 1701 c'est le meme problème... <BR> <BR>c'est dommage que l'on puisse pas trouver un document regroupant toutes les méthodes pour faire de Ipcop un centre VPN, j'entend par la une méthode IPCOP-IPCOP, XP2000-IPCOP, etc... <BR>Actuellement je fait fonctionner un VPN IPCOP-IPCOP (qui déconnecte assez souvent d'ailleur...) , et je n'arrive pas a connecter de XP "nomade" sur un serveur IPCOP en VPN... <BR>Qd j'aurai reussi , grace a votre aide, je regrouperai tous les docs que j'ai.... <BR>...je pense que cela pourra interresser pas mal de monde... <BR> <BR> <BR>Sinon il n'y a un poste récent qui parle de la meme chose.... <BR>
Avatar de l’utilisateur
maddam
Major
Major
 
Messages: 72
Inscrit le: 24 Jan 2004 01:00

Messagepar soprom » 13 Fév 2004 05:22

J'avais le même problème et la solution a été de mettre une adresse IP complète au lieu du subnet: <BR> <BR>Côté client : <BR>conn HEADOFFICE <BR> left=mon_domaine.com <BR> leftsubnet=192.168.250.0/24 <BR> leftprotoport=17/0 <BR> right=%any <BR>===>> rightsubnet=192.168.0.201/32 <BR> presharedkey=secret_sans_guillemets <BR> network=auto <BR> auto=start <BR> pfs=yes <BR> <BR>Côté IPcop: <BR>conn roadwarrior <BR> right=mon_domaine.com <BR> rightsubnet=192.168.250.0/24 <BR> rightnexthop=%defaultroute <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> compress=no <BR> auto=add <BR> left=%any <BR>===>> leftsubnet=192.168.0.201/32 <BR> leftnexthop=%defaultroute <BR> <BR>Bien humblement... <BR>Sophie
Sophie de Montréal
IPCOP 1.4, SME7
Xoops, EGroupware, Joomla
-----------------------------------------------------
Le Québec aux québécois !
Avatar de l’utilisateur
soprom
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 02 Sep 2003 00:00
Localisation: Montréal, Québec

Messagepar belugha » 13 Fév 2004 09:19

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-11 18:47, rantom a écrit: <BR>Est -il possible à l'heure actuel de faire du VPN nomade XP <BR>avec Ipcop. Pas du bidouillage mais de la prod. <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Oui c'est tout à fait possible <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Elfeclair » 13 Fév 2004 10:56

Merci pour ta réponse, ça me permet de ne pas désespérer ... <BR> <BR>Mais comment fais-tu ? <BR> <BR>J'ai l'impression d'avoir écumé toutes les Faqs, l'intégralité de ce forum, la mailing list [IPCop-user], les ressources diverses sur le net, et je ne parviens toujours pas à faire fonctionner ce VPN nomade. <BR>De plus toutes les méthodes que j'ai trouvé différent légerement : il n'y a pas de consensus ... <BR> <BR>Ton VPN nomade fonctionne t'il sous Win XP avec le ipsec.exe de ebootis.de ? <BR> <BR>Merci !
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar Elfeclair » 13 Fév 2004 11:49

Soprom, <BR> <BR>Quelle est la signification de : <BR> leftprotoport=17/0 <BR>dans ton fichier de config ? <BR> <BR>De plus lorsque tu indique une adresse IP du genre : <BR> ===>> rightsubnet=192.168.0.201/32 <BR> ===>> leftsubnet=192.168.0.201/32 <BR>cela implique de connaître à l'avance l'IP du portable nomade, ce qui réduit la portée <BR>du nomade :=)
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar belugha » 13 Fév 2004 12:14

Le rightsubnet et le leftsubnet concerne les Ips du LAN donc tu peux par avance les connaitre si celle-ci ne sont pas en DHCP . <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Elfeclair » 13 Fév 2004 12:32

Oui, mais dans tous les cas auquel je pense, lorsque j'aurais besoin de VPN, mon poste nomade sera en DHCP et/ou avec un adressage IP variable selon les sites : <BR> <BR> - en clientèle branché sur leur réseau <BR> - en vacances connecté par mon télephone en GPRS <BR> - etc. ... <BR> <BR>Les seuls cas que je peux maitriser à peu près sont en clientèle fidèle. Là, je connais l'adressage IP et je peux me définir une adresse DHCP "fixe". <BR> <BR>Dans ce cas, il faut que je définisse autant d'entrées dans ipsec.conf que de sites à partir desquels je veux me connecter enVPN ? <BR>
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar musael » 13 Fév 2004 12:42

bon bah moi je suis dans le meme cas que Elfeclair j'ai toujours le message suivant negociation ip et je" n'arrive toujours pas a resoudre le prb et comme il dis ce n'est pas possible de mettre leftsubnet ou rightsubnet puisque leur adresses seront toujours modifier alors si vous avait une idee je suis preneur. <BR> <BR>merci d'avance
Avatar de l’utilisateur
musael
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 20 Jan 2004 01:00

Messagepar belugha » 13 Fév 2004 13:12

J'ai déjà traité le sujet plusieurs fois sur le forum mais je vais tout de même contribuer à vous aider <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR><!-- BBCode Start --><B> Prenons un cas simple pour commencer: </B><!-- BBCode End --> <BR> <BR>Site A: <BR>Ipcop 1.3 + 6 fixes (je prends ce qui fonctionne chez moi) avec pour ip LAN 10.1.0.50 <BR>LAN: 10.1.0.0/16 <BR>Ip fixe: 217.128.10.5 <BR> <BR>Site B: <BR>Windows XPavec ip dynamique et ip LAN: 10.1.0.55 <BR> <BR>Config sur Ipcop <BR> <BR>Pour le fichier ipsec.conf: <BR>conn VPNESSAI <BR> left=217.128.10.5 <BR> compress=no <BR> leftsubnet=10.1.0.0/16 <BR> leftnexthop=%defaultroute <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> right=%any <BR> rightnexthop=%defaultroute <BR> auto=add <BR> <BR>le fichier ipsec.secrets <BR>217.128.10.5 %any : PSK "monmotdepasse" <BR> <BR>Ensuite sur le XP: <BR>Le fichier ipsec.conf <BR>conn VPNESSAI <BR> left=217.128.10.5 <BR> compress=no <BR> leftsubnet=10.1.0.0/16 <BR> leftnexthop=%defaultroute <BR> right=%any <BR> rightnexthop=%defaultroute <BR> auto=start <BR> presharedkey=monmotdepasse <BR> network=auto <BR> <BR>Pour lancer la VPN, en fenêtre DOS sur le XP , lancer ipsec, puis un ping avec un -t il faut +sieurs secondes avant que la VPN se monte <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>Controler le fichier /var/log/secure sur l'ipcop pour les logs. <BR> <BR>J'espère vous avoir assez aidé sur ce coup là, à vous de bosser maintenant <BR> <IMG SRC="images/smiles/icon_lol.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar musael » 13 Fév 2004 14:25

salut <BR> <BR>ton message m'a bien aidé mais moi je pense que mon probleme ce situe plus vers les clés RSA et les certificats x509 !! <BR> <BR>voi la mes message d'erreur dans /var/log/secure : <BR> <BR>Feb 13 13:21:08 vpngate pluto[12957]: packet from 193.49.31.150:500: Informational Exchange is for an unknown (expired?) SA <BR>Feb 13 13:21:08 vpngate pluto[12957]: packet from 193.49.31.150:500: received Vendor ID Payload; ASCII hash: 036+Qi005031034}|026|?5007da <BR>Feb 13 13:21:08 vpngate pluto[12957]: "roadwarrior"[3] 193.49.31.150 #3: responding to Main Mode from unknown peer 193.49.31.150 <BR>Feb 13 13:21:08 vpngate pluto[12957]: "roadwarrior"[3] 193.49.31.150 #3: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA <BR>Feb 13 13:22:18 vpngate pluto[12957]: "roadwarrior"[3] 193.49.31.150 #3: max number of retransmissions (2) reached STATE_MAIN_R2 <BR>Feb 13 13:22:18 vpngate pluto[12957]: "roadwarrior"[3] 193.49.31.150: deleting connection "roadwarrior" instance with peer 193.49.31.150 {isakmp=#0/ipsec=#0} <BR> <BR>alors si tu peux m'aider la dessus franchement ça me ferait plaisir!! <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
musael
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 20 Jan 2004 01:00

Messagepar maddam » 13 Fév 2004 14:37

Dis moi donc Belugha...(dernière pitite question...) <BR> <BR>Puis-je installer par exemple un dns.no-ip.com pour l'inserer dans mon ipsec.conf dans le right?? (ex right=trucmuch.dyndns.org)
Avatar de l’utilisateur
maddam
Major
Major
 
Messages: 72
Inscrit le: 24 Jan 2004 01:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron