"Ipsec verify : KLIPS failed" : kezako?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar floc2 » 02 Mars 2004 16:46

Hello <BR>Voulant tester un vpn nomade, je souhaitais qd même connaitre la version de freeswan et savoir également si le protocol était bien implémenté. Je tape donc la commande et voici la réponse: <BR> <BR><!-- BBcode auto-mailto start --><a href="mailto:root@Ipcop:~">root@Ipcop:~</a><!-- BBCode auto-mailto end --> # ipsec verify <BR>Checking your system to see if IPsec got installed and started correctly <BR>Version check and ipsec on-path [OK] <BR>Checking for KLIPS support in kernel [FAILED] <BR>Checking for RSA private key (/etc/ipsec.secrets) [OK] <BR>Checking that pluto is running <BR>whack: Pluto is not running (no "/var/run/pluto.ctl") [FAILED] <BR>DNS checks. <BR>Looking for forward key for Ipcop <BR>/usr/local/lib/ipsec/verify: host: command not found [FAILED] <BR>Looking for KEY in reverse map: 1.1.1.1.in-addr.arpa <BR>/usr/local/lib/ipsec/verify: host: command not found [FAILED] <BR>Looking for KEY in reverse map: 6.3.170.80.in-addr.arpa <BR>/usr/local/lib/ipsec/verify: host: command not found [FAILED] <BR>Does the machine have at least one non-private address [OK] <BR> <BR>Là je crois que j'ai un ptit problème. <BR>Je viens de consulter la doc sur le site de Freeswan: <BR><!-- BBCode auto-link start --><a href="http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/trouble.html" target="_blank">http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/trouble.html</a><!-- BBCode auto-link end --> <BR> <BR>...... mais je vous avoue que je suis un peu perdu. <BR>Quand je consulte la faq, voici le titre "ipsec_setup: Fatal error, kernel appears to lack KLIPS": <IMG SRC="images/smiles/icon_eek.gif"> <BR>dois je réinstaller Ipcop, ou bien y a t il un moyen de reprendre la main en reinstallant une upgrade de freeswan? <BR> <BR>Merci. <BR>Floc <BR>----------------------------------------------------- <BR>Computers are like air conditionners. They stop working properly when you open Windows <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
floc2
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 16 Jan 2004 01:00
Localisation: Paris

Messagepar Franck78 » 02 Mars 2004 17:24

A mon avis c'est pas une erreur. <BR>J'ai exactement la meme chose <BR>si je lance la commande ipsec verify. <BR> <BR>Reste dans l'interface web pour tester. <BR> <BR>J'ai pas vraiment utilsé a fond car j'avais pas <BR>de peer. Mais si tu veux, <BR>on essaie <BR> <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar floc2 » 02 Mars 2004 17:52

Thx for your answer Franck. <BR>Mais dans la doc d'Ipcop, il spécifie bien de ne pas passer par la console web pour configurer un roadwarrior sur Ipcop; au risque de perdre l'ensemble des infos. <BR>Je reste dubitatif <IMG SRC="images/smiles/icon_confused.gif"> <BR>Difficile de comprendre <BR>Floc
Avatar de l’utilisateur
floc2
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 16 Jan 2004 01:00
Localisation: Paris

Messagepar Franck78 » 02 Mars 2004 18:40

Faut pas croire tout ce qu'on lit. <BR>Tu vois le développeur fabriquer l'interface web <BR>et dire < c'est mieux avec vi > <BR> <BR>Et tu n'as rien a perdre puisque tu n'as rien fais !! <BR> <BR>Passe en message privé si tu veux faire un essai <BR>avec l'interface web pour les reglages
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Kilps sur ipsec verify FAILED

Messagepar www.os-sarl.fr » 18 Mai 2004 13:18

Salut a tous

Nous avont egalement des pbs avec klips comme tu a put le cité "Checking for KLIPS support in kernel [FAILED]".

Precision

MDk 10.0 Kernel 2.6.3-7

Super Freeswan V1.99

Mais si tu utilise freeswan il y a un patch freeswan-userland.2.x.x.rpm autre format mais egalement un freeswan-modules.2.x.x.rpm ou autre sur http://www.freeswan.ca/download.php
vous pouvez egalement aller sur http://www.freeswan.org/freeswan_trees/ ... html#KLIPS

Nous avont recompilé afin d'optenir dans le kernel :

Cryptographic options -->
--- MD5 digest algorithm "y" (impossible a selectionné pour nous)
<*> AES cipher algorithms (OK)
--- DES and Triple DES EDE cipher algorithms "y" (impossible a selectionné pour nous)


Retrour ecran precedant
Puis Dans:

Device Drivers --->
Networking support --->
Networking options --->
<*> IP: AH transformation
<*> IP: ESP transformation
<*> IPsec user configuration interface


Il y en a d'autre egalement mais des que je retrouve le site je vous le fais passé

Normalement une fois tous ce parametre etablie Klips ne devrait plus mettre ce message et fonctionner a nouveau

Voila

Bon test
www.os-sarl.fr
Matelot
Matelot
 
Messages: 2
Inscrit le: 18 Mai 2004 12:37
Localisation: DIJON

Messagepar Franck78 » 18 Mai 2004 13:34

Un spécialiste des VPNs ?
Super !

Le Floc2 a disparu depuis cette intervention...
Mais les essais continuent.

Par exemple, problème depuis 4/5 jours utilisation des certificats X509 pour authentif, ca coince encore entre deux IpCop :!:


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

X509 Plus de precision Log etc

Messagepar www.os-sarl.fr » 18 Mai 2004 13:43

Il me faut plus de precision quand a ton probleme mais pour le moment je sui toujours sur un autre probleme avec le VPN mais donne mois ton pb et des que j'est une reponse je te le fais savoire.

@+
www.os-sarl.fr
Matelot
Matelot
 
Messages: 2
Inscrit le: 18 Mai 2004 12:37
Localisation: DIJON

Messagepar Franck78 » 18 Mai 2004 14:13

Ok, voila l'état actuel après connexion vpn avec preshared key réussie.
On passe dans aux certifs X509.

Popoch a bien importer mon CaRoot dans sa liste de CA.
Idem, j'ai le sien.

Dans la déclaration du tunnel, j'utilise un certificat signé par monCA.
Idem Popoch, tunnel et certif signé par son CA

Les deux machines se retrouvent bien.
Elles atteignent le "state main_I3", donc l'authentif doit être ok, mais après pour la crypto, ca coince !


Code: Tout sélectionner
23:38:59 pluto[30824] "PopochC" #11: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
23:38:36 pluto[30824] "PopochC" #10: max number of retransmissions (2) reached STATE_MAIN_R2
23:38:19 pluto[30824] "PopochC" #11: received and ignored informational message
23:38:19 pluto[30824] "PopochC" #11: ignoring informational payload, type INVALID_ID_INFORMATION
23:38:19 pluto[30824] "PopochC" #11: discarding duplicate packet; already STATE_MAIN_I3
23:38:00 pluto[30824] "PopochC" #11: received and ignored informational message
23:38:00 pluto[30824] "PopochC" #11: ignoring informational payload, type INVALID_ID_INFORMATION
23:37:58 pluto[30824] "PopochC" #11: discarding duplicate packet; already STATE_MAIN_I3
23:37:56 pluto[30824] "PopochC" #10: sending notification INVALID_ID_INFORMATION to 83.154.96.8:500
23:37:56 pluto[30824] "PopochC" #10: no suitable connection for peer 'C=FR, ST=Bretagne, O=Lucas Home, OU=Technique, CN=lucas-cueff.ath.cx'
23:37:56 pluto[30824] "PopochC" #10: Issuer CRL not found
23:37:56 pluto[30824] "PopochC" #10: Issuer CRL not found
23:37:56 pluto[30824] "PopochC" #10: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, ST=Bretagne, O=Lucas Home, OU=Technique, CN=lucas-cueff.ath.cx'
23:37:49 pluto[30824] "PopochC" #11: received and ignored informational message
23:37:49 pluto[30824] "PopochC" #11: ignoring informational payload, type INVALID_ID_INFORMATION
23:37:49 pluto[30824] "PopochC" #11: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
23:37:49 pluto[30824] "PopochC" #11: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
23:37:48 pluto[30824] "PopochC" #11: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
23:37:48 pluto[30824] "PopochC" #11: received Vendor ID payload [Dead Peer Detection]
23:37:48 pluto[30824] "PopochC" #11: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
23:37:48 pluto[30824] "PopochC" #11: initiating Main Mode to replace #9
23:37:48 pluto[30824] "PopochC" #9: starting keying attempt 5 of an unlimited number
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité