probleme VPN entre 2 IPCOP derriere des routeurs

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

probleme VPN entre 2 IPCOP derriere des routeurs

Messagepar cen101073 » 18 Mai 2005 14:18

Bonjour,

Je rencontre des problemes dans la configuration de VPN entre des IPCOP qui se trouvent derriere des routeurs.

Les VPNs montent de maniere aleatoire.
Lorsque les VPNs ne montent pas, les logs ipcop donnent:

13:45:17 pluto[525] packet from X.X.X.X:4500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
13:45:17 pluto[525] packet from X.X.X.X:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
13:45:17 pluto[525] packet from X.X.X.X:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
13:45:17 pluto[525] packet from X.X.X.X:4500: received Vendor ID payload [Dead Peer Detection]
13:45:17 pluto[525] packet from X.X.X.X:4500: initial Main Mode message received on 10.1.1.2:4500 but no connection has been authorized with policy=RSASIG

De temps en temps les VPNS Montent correctement


ipsec.conf IPCOP 1
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!10.0.4.0/255.255.255.0,%v4:!10.0.2.0/255.255
.255.0

conn %default
keyingtries=0
disablearrivalcheck=no

conn paris
left=192.168.0.2
leftnexthop=%defaultroute
leftsubnet=10.0.4.0/255.255.255.0
leftcert=/var/ipcop/certs/hostcert.pem
right=X.X.X.X
rightsubnet=10.0.2.0/255.255.255.0
rightnexthop=%defaultroute
rightcert=/var/ipcop/certs/pariscert.pem
ike=aes256-sha-modp1536,aes256-sha-modp1024,aes256-md5-modp1536,aes256-md5-modp1024,aes128-sha-modp1536,aes128-sha-mo
dp1024,aes128-md5-modp1536,aes128-md5-modp1024
esp=aes256-sha1,aes256-md5,aes128-sha1,aes128-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=hold
authby=rsasig
auto=start

ipsec.conf IPCOP2
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!10.0.2.0/255.255.255.0,%v4:!10.0.4.0/255.255
.255.0,%v4:!10.0.3.0/255.255.255.0

conn %default
keyingtries=0
disablearrivalcheck=no

conn fontenay
right=10.1.1.2
rightsubnet=10.0.2.0/255.255.255.0
rightnexthop=%defaultroute
rightcert=/var/ipcop/certs/hostcert.pem
left=X.X.X.X
leftsubnet=10.0.4.0/255.255.255.0
leftnexthop=%defaultroute
leftcert=/var/ipcop/certs/fontenaycert.pem
ike=aes256-sha-modp1536,aes256-sha-modp1024,aes256-md5-modp1536,aes256-md5-modp1024,aes128-sha-modp1536,aes128-sha-mo
dp1024,aes128-md5-modp1536,aes128-md5-modp1024
esp=aes256-sha1,aes256-md5,aes128-sha1,aes128-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=hold
authby=rsasig
auto=start

L'architecture est la suivante:

LAN1--IPCOP1--ROUTEUR1 -----------ROUTEUR2--IPCOP2--LAN2
LAN1:10.0.2.0/24
WAN IPCOP1:10.1.1.2
WAN IPCOP2:192.168.0.2
LAN2:10.0.4.0/24

Les routeurs ont des adresses IP fixes et j'ai ouvert tous les ports sur chaque routeurs et nater l'ensemble des ports sur l'adresse WAN des Ipcops

J'esperes avoir été clair

Merci d'avance

CEN
Avatar de l’utilisateur
cen101073
Matelot
Matelot
 
Messages: 6
Inscrit le: 09 Déc 2003 01:00
Localisation: Paris

Complement

Messagepar cen101073 » 18 Mai 2005 17:10

Suite a de multiples tests, je clarifie le fait que les VPNs montent aleatoirement:

En fait quand un VPN est deconnecté, il ne remonte pas automatiquement. Par contre, dès que je desactive et reactive le VPN, ce dernier remonte immediatement.


Si quelqu'un a une idée?

CEN
Avatar de l’utilisateur
cen101073
Matelot
Matelot
 
Messages: 6
Inscrit le: 09 Déc 2003 01:00
Localisation: Paris

Messagepar KryBoo » 19 Mai 2005 09:39

J'ai un souci identique et c'est a cause des routeurs SpeedTouch 510

je n'ai pas trouvé de solutions
Pas de solutions ?
Alors pas de problèmes !

www.caramontino.com
Avatar de l’utilisateur
KryBoo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 161
Inscrit le: 31 Mars 2004 17:35
Localisation: Kryboo Land

Messagepar popoch » 19 Mai 2005 13:40

KryBoo a écrit:J'ai un souci identique et c'est a cause des routeurs SpeedTouch 510

je n'ai pas trouvé de solutions


Pour les speedtouch le plus simple de les utiliser uniquement en modem ! Comme ca pas de pb avec ton ipcop !
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Messagepar KryBoo » 20 Mai 2005 13:50

Je peux pas, j'ai 14 IP publiques derrières

donc si que modem :

510Modem----Roueur----LAN
......................---- DMZPublique

en ce moment c'est plus simple :

510R/M-----LANPasserelle
----DMZPublique
Pas de solutions ?
Alors pas de problèmes !

www.caramontino.com
Avatar de l’utilisateur
KryBoo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 161
Inscrit le: 31 Mars 2004 17:35
Localisation: Kryboo Land

Idee

Messagepar cen101073 » 06 Juin 2005 11:14

Les VPNs remontent lorsqu'ils sont desactivés et reactivés.
Serait il possible de creer un script qui desactiverait et reactiverait les VPNS soit grace à une tache cron voir pourquoi pas lorsque un ping ne repond pas?

Qu'en pensez vous et avez vous une idée de comment demarrer

Merci d'avance

CEN
Avatar de l’utilisateur
cen101073
Matelot
Matelot
 
Messages: 6
Inscrit le: 09 Déc 2003 01:00
Localisation: Paris

Messagepar Mhans » 07 Juin 2005 19:55

j'ai le meme probleme pour monter un VPN, j'ai pas encore trouvé de solution pour faire fonctionner le tous :(
Avatar de l’utilisateur
Mhans
Premier-Maître
Premier-Maître
 
Messages: 60
Inscrit le: 30 Jan 2004 01:00
Localisation: Orleans

Messagepar popoch » 08 Juin 2005 13:19

Mhans a écrit:j'ai le meme probleme pour monter un VPN, j'ai pas encore trouvé de solution pour faire fonctionner le tous :(


Tu utilises un vpn avec des ips dynamiques ou fixes ?
Si tu utilises un vpn avec des ips dynamiques (nom dydns par ex) un simple script system automatise via le cron te sauvera la vie ;)

EDIT : Une simple recherche sur le forum te permet de le retrouvern je l ai deja poste 3 ou 4 fois...
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Messagepar cen101073 » 10 Juin 2005 09:15

Ce ne sont que des VPNs avec IP fixe

CEN
Avatar de l’utilisateur
cen101073
Matelot
Matelot
 
Messages: 6
Inscrit le: 09 Déc 2003 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron