vpn sous windows avec ipseccmd

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar bethy » 02 Mars 2004 17:58

Bonjour, <BR> <BR>je suis en train d'essayer de monter un vpn entre windows XP et unix de type roadwarrior. <BR>La configuration de unix est correcte puisqu'elle fonctionne correctement avec un autre unix. <BR> <BR>j'ai installe le pack ipsec.exe et ipseccmd sur xp. et j'ai configurer ipsec.conf: <BR>conn test <BR> left=%any <BR> right=passerelle du reseau distant <BR> rightsubnet= reseau interne voisin <BR> presharedkey=testetstestets <BR> network=ras <BR> auto=start <BR> pfs=yesy <BR> authmode=sha <BR> <BR>sur unix: main mode 3des sha <BR> :quick mode esp-aes-sha-pfs <BR> <BR>quand je lance ipsec -debug , cela semble tout a fais correct <BR>quand je lance un ping 1 adresse du reseau distant: 1ere: negociation IP security et la deuxieme fois: request timed out <BR> <BR>En fait je me suis rendu compte que lorsque j'avais request timed out, c'est au moment ou le quick mode sas est cree (ipseccmd -show sas) <BR> <BR>je pense que ce doit sans doute etre un probleme de configuration de ike ou de cles de chiffrement. <BR>A moins que ce ne soit autre chose. <BR> <BR>Mais je ne comprends pas ce qui cloche. <BR> <BR>si quelqu'un a une idee <BR> <BR>merci d'avance <BR> <BR>bethy <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_eek.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">
bethy
Avatar de l’utilisateur
bethy
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 02 Mars 2004 01:00

Messagepar tmcdoudou » 03 Mars 2004 09:41

yo <BR> <BR>J'ai le meme pb negociation IP security quand je test un ping j'ai po de time out , jai beau changer destination source sa ne change rien help ! <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>bises
Avatar de l’utilisateur
tmcdoudou
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 13 Déc 2003 01:00

Messagepar belugha » 03 Mars 2004 10:15

Salut, <BR>Je suppose que sur Unix tu utilise Freeswan <IMG SRC="images/smiles/icon_wink.gif"> <BR>Si oui, peux-tu poster egalement tes fichiers ipsec.conf et ipsec.secrets. <BR>Ensuite sur windows XP est-tu parti du VPN ebootis ? <BR>Ensuite concernant le fichier ipsec.conf de windows XP, je ferais comme cela: <BR>conn test <BR> left= ip du serveur distant <BR> leftsubnet= masque lan serveur VPN <BR> right=%any (ip stations nomade) <BR> rightsubnet=192.168.2.0/255.255.255.0 <BR> presharedkey=mdp <BR> network=auto <BR> auto=start <BR> pfs=yes <BR> <BR>Même chose pour le fichier ipsec.conf sur Unix (en completant à bon escient le fichier ipsec.secrets) <BR> <BR>Lorsque tu lance la VPN à partir de XP par la commande ipsec -debug, qu'as-tu comme infos ? <BR> <BR>Voilà <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar bethy » 03 Mars 2004 15:32

bonjour, <BR> <BR>merci pour vos reponse, je vais vous donner plus d'info. <BR> <BR>Machine Xp: a.a.a.a/32 <BR>conn Roadwarrior <BR> left=%any <BR> right=b.b.b.b <BR> rightsubnet=b.b.c.0/255.255.255.0 <BR> presharedkey=****************** <BR> network=ras <BR> auto=start <BR> pfs=yes <BR> <BR>Machine unix (passerelle)b.b.b.b. <BR>-Main mode: 3des sha <BR>-Quick mode qm esp aes sha pfs <BR> <BR>Machine derriere machine unix b.b.c.c, autre unix <BR> <BR>Mon VPN est monte sur un unix , de type roadwarrior. <BR>-j’ai fais un netstat –rn et mes routes non seulement sont crees mais en plus elles sont correctes. <BR> <BR>Je lance ipsec –debug: <BR> <BR>PSec Version 2.2.0 (c) 2001-2003 Marcus Mueller <BR>Getting running Config ... <BR>Microsoft's Windows XP identified <BR>Debugging on. <BR>Setting up IPSec ... <BR> <BR> Deactivating old policy... <BR> Removing old policy... <BR> <BR>Connection Roadwarrior: <BR> MyTunnel : a.a.a.a <BR> MyNet : a.a.a.a/255.255.255.255 <BR> PartnerTunnel: b.b.b.b <BR> PartnerNet : b.b.c.0/255.255.255.0 <BR> CA (ID) : Preshared Key ****************** <BR> PFS : y <BR> Auto : start <BR> Auth.Mode : sha <BR> Rekeying : 3600S/50000K <BR> Activating policy... <BR> <BR> <BR>Ensuite je test le vpn xp sur ma machine . Et la grace a un tcpdump lorsque je lance des pings je vois les paquets passes sur la machine unix (interface externe direction internet): <BR>…. exchange ID_PROT <BR>…..exchange ID_PROT encrypted <BR>….. exchange QUICK_MODE encrypted (etape quick mode) <BR> <BR>sur la machine xp apres avoir lance ipsec –debug je vois <BR>ping b.b.c.c <BR>Negotiating IP security <BR>Puis quand le quick mode apparait (ipseccmd show sas) <BR> ping b.b.c.c: <BR>request timed out. <BR> <BR>Meme probleme pour tracert b.b.c.c. <BR> <BR>Conclusion: <BR>-j’ ai l’impression qu’il y a bien un echange de cles entre unix et windows. <BR>j’ai pendant la premiere etape l’apparition seulement de main mode sas cela a l’air de fonctionner. <BR>A mon avis se doit etre le quick mode sas qui pose un probleme. Car des qu’il apparait dans ipseccmd show sas cela ne fonctionne plus. Mais mes routes vpn sont correctes. donc normalement mes protocoles de routages aussi????? <BR>Peut etre un probleme de configuration ike ou windows xp???? <BR> <BR>Par contre je ne comprends pas du tout pourquoi a moins que j’ai oublie de faire quelque chose dans la configuration. <BR> <BR>Merci d'avance pour tous vos conseils. <BR> <BR>bethy <BR> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_help.gif">
bethy
Avatar de l’utilisateur
bethy
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 02 Mars 2004 01:00

Messagepar JaDiuM » 03 Mars 2004 15:47

Bonjour, <BR> <BR>Auto = start <- client <BR>Auto = add <- serveur <BR> <BR>Verifis aussi l'ordre de ton ipsec.secrets <BR> <BR>Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar belugha » 03 Mars 2004 15:49

Que te donne les logs sur l'UNIX ? (peut-être sous/var/log/secure ? qq choses du genre )
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar bethy » 03 Mars 2004 16:03

Jadium: peux tu prseciser, je ne comprends pas ce que tu veux dire <BR>belugha: je n'ai pas de log pour vpn sur unix ou je n'ai pas trouve <BR> <BR>
bethy
Avatar de l’utilisateur
bethy
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 02 Mars 2004 01:00

Messagepar JaDiuM » 03 Mars 2004 16:14

Re, <BR> <BR> <BR>Ta machine gateway (unix) doit être en mode auto = add et ton client M$ en auto = start <BR> <BR>test et poste à nouveau tes logs. <BR> <BR> <BR>Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar belugha » 03 Mars 2004 16:17

Ce que veut dire Jadium c'est que du coté client c'est à dire Windows Xp dans le fichier ipsec.conf tu dois avoir auto=start et du coté serveur donc Unix auto=add. <BR> <BR>Par contre si tu n'as pas de log sur Unix c'est plutôt inquiètant car tu ne peux pas controler ta VPN et avoir les messsages d'erreur . <IMG SRC="images/smiles/icon_razz.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar bethy » 03 Mars 2004 16:24

j'ai essaye ta solution , ca ne marche pas puisque xp c'est mon client. quand a unix c'est un autre type de configuration totalement different... <BR> <BR>merci de votre aide
bethy
Avatar de l’utilisateur
bethy
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 02 Mars 2004 01:00

Messagepar JaDiuM » 03 Mars 2004 16:32

Est il a quoi de si différent??? j'aimerai juste comprendre <BR> <BR>
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar belugha » 03 Mars 2004 16:35

il est different car Betty n'utilise vraisemblablement pas Freeswan , mais un module existant sur l'Unix donc on ne connait toujours pas le nom <IMG SRC="images/smiles/icon_smile.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar JaDiuM » 03 Mars 2004 17:12

Bien, <BR> <BR>Mais cela ne change rien au principe de base client-serveur (base ipsec) en warrior. <BR> <BR>M'enfin attendons des précisions
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron