Probleme VPN SSH Sentinel - 1.4.10

[xMaximex]

Salut tout le monde

J'ai suivi à la lettre le document de ElfeClair (http://forums.fr.ixus.net/viewtopic.php?p=161103#161103). Je l'ai fait par deux fois et j'arrive tout le temps au meme résultat.

Voici le schéma de mon réseau :

INTERNET ----------- RED(CABLE, DHCP) - IPCOP - GREEN(10.0.0.1) ------------- 10.0.0.0/24

Le poste client est derriere un routeur sans-fil DLink DI524.

Voici les symptômes :

SSH Sentinel me donne l'erreur suivante lors de la tentative de connexion au VPN :

Code: Tout sélectionner

Cannot open the VPN connection. Check that the gateway is online and verify that you are using the correct authentication key.

Voici le log IKE en moderate de SSH Sentinel :

Code: Tout sélectionner

DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Start isakmp sa negotiation
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Version = 1.0, Input packet fields = 0000
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Encode packet, version = 1.0, flags = 0x00000000
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 5
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 4
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 3
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 2
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Retransmitting packet, retries = 1
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Removing negotiation
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Connection timed out or error, calling callback
: Phase-1 [initiator] between ipv4(udp:500,[0..3]=192.168.0.103) and ipv4(udp:500,[0..3]=x.x.x.x) failed; Timeout.
DEBUG: 0.0.0.0:500 (Initiator) <-> x.x.x.x:500 { 447636fc 4d000012 - 00000000 00000000 [-1] / 0x00000000 } IP; Deleting negotiation

Et le log de IPCOP section IPSec:

Code: Tout sélectionner

14:32:31   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:31   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:32   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:32   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:34   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:34   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:39   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:39   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:46   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:46   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK
14:32:56   pluto[9122]   packet from x.x.x.x:500: ignoring Vendor ID payload [SSH Communications S ecurity IPSEC Express version 4.1.0]
14:32:56   pluto[9122]   packet from x.x.x.x:500: initial Main Mode message received on x.x.x .x:500 but no connection has been authorized with policy=PSK

La facon d'écrire "x.x.x .x" est voulu, c'est comme ca que c'est écrit dans le log : 123.123.123 .123

Dans la configuration VPN de IPCop j'ai écrit monnom.ath.cx sous "Nom d'hôte ou IP locale du RPV:"

J'ai fouillé le forum au complet, j'ai vu beaucoup de gens qui ont le meme probleme que moi mais personne qui a réussis a le regler ... alors si quelqu'un a une solution faites moi le savoir svp..

Merci

[West]

J'ai eu ce probleme avec un netopia, c'est une version plus récente du nétopia qui a rsolu le probleme.

Sinon t'es sur que la clef partagées correcte ?? j'imagine que ton dlink est passtrough.

Tentes une mis a jour du firmaware on sait jamais

[erreipnaej]

Bonjour,

Je n'ai jamais réussi à faire fonctionner un VPN Roadwarrior avec SSH Sentinell.
J'ai résolu mon problème avec Zerina qui t'installe un serveur OpenVPN.
http://home.arcor.de/u.altinkaynak/media/ZERINA-0.9.3b-Installer.tar.gz
La mise en oeuvre est assez facile.
Il y a aussi plusieurs post dans le forum qui te permettornt de corriger d'eventuels problèmes.
@+

[MaRCoOf]

Bonsoir,


Etant aussi intéressé par l' utilisation d'un client vpn, je ferais l' essais dans la semaine. Je te tiens au courant du résultat.
Marc

[kinkey]

J'ai fonctionné pendant un moment avec ssh sentinel... là j'envisage de passer à OpenVpn et pour le moment c'est que du bonheur, déjà tu peux attribuer une plage réseau à tes clients distants ce qui permet de contrôler les ip et les droits d'accès via du sous-réseau. Ensuite lorsque le client ce connecte un mot de passe est demandé, dans le cas de certificats. L'interface est super légere et surtout elle n'empeche pas windows de démarrer, ce qui est le cas avec certaines install de ssh sentinel. Et surtout le truc pas mal, le client est multi plateforme. Encore un truc pas mal, tu peux définir des paramètres pour attribuer des adresses pour le dns, wins, ntp.

[xMaximex]

Bonjour,

Je n'ai jamais réussi à faire fonctionner un VPN Roadwarrior avec SSH Sentinell.
J'ai résolu mon problème avec Zerina qui t'installe un serveur OpenVPN.
http://home.arcor.de/u.altinkaynak/media/ZERINA-0.9.3b-Installer.tar.gz
La mise en oeuvre est assez facile.
Il y a aussi plusieurs post dans le forum qui te permettornt de corriger d'eventuels problèmes.
@+

J'ai installé et congigurer Zerina, mais quand jarrive pour telecharger le package client, l'icone n'est pas un lien, donc je ne peux pas le telecharger

[madjet]

à j'envisage de passer à OpenVpn et pour le moment c'est que du bonheur, déjà tu peux attribuer une plage réseau à tes clients distants ce qui permet de contrôler les ip et les droits d'accès via du sous-réseau.

Avec IPSEC aussi, tu peux!! il suffit de modifier (à la main...) la valeur de virtual_private dans le fichier /etc/ipsec.conf et la valeur de rightsubnet de chaque connexion . Par défaut elle vaut "vhost:%no,%priv" (=> pas d'adresse virtuelle ou adresses définies dans virtual_private) mais il me semble que tu peux lui dire d'utiliser DHCP (voir un HOWTO sur IPSEC pour la syntaxe exacte)

Pour virtual_private, tu lui mets des listes d'adresses autorisées (mais surtout différentes de l'adresse du LAN derrière IPCOP). J'ai déjà testé et ça fonctionne!

madjet

[kinkey]

Avec IPSEC aussi, tu peux!! il suffit de modifier (à la main...) la valeur de virtual_private dans le fichier /etc/ipsec.conf et la valeur de rightsubnet de chaque connexion . Par défaut elle vaut "vhost:%no,%priv" (=> pas d'adresse virtuelle ou adresses définies dans virtual_private) mais il me semble que tu peux lui dire d'utiliser DHCP (voir un HOWTO sur IPSEC pour la syntaxe exacte)

Ha pas mal ça, au contraire est-ce que ssh sentinel vas l'accepter ? Et à la limite je préfère passer par SSL, comme ça pas de prise de tête avec le PASSTROUGH (ou un truc du genre).

[madjet]

bien sûr que sshsentinel l'accepte!! c ce que j'utilise chez moi...