Bonjour, après grosse lecture de forum et multiples correction de mes fichier de configuration, je n'arrive pas à debugger mon vpn avec ipcop1.9 et la configuration suivante. Si vous avez des idées, je suis preneur.
ma configuration
LAN1 (192.168.0.0/16)
--------------------------
|
|
192.168.1.1/16 (eth0)
--------------------------
IPCOP 1.4.9 (MAIRIE)
--------------------------
10.10.101.2/24 (eth1)
|
|
10.10.101.1/24 (Internal)
--------------------------
routeur OLEANE (NAT sur les ports udp/500,udp/tcp/9550,tcp/1723)
--------------------------
a.b.c.d (public IP)
|
|
internet
|
|
w.x.y.z (public IP)
--------------------------
IPCOP 1.4.2 (ROUDOUR)
--------------------------
10.10.2.1/24 (eth0)
|
|
--------------------------
LAN1 (10.10.2.0/24)
MAIRIE ipsec.conf
right=w.x.y.z
rightid=@roudour
rightsubnet=10.10.2.0/255.255.255.0
left=10.10.101.2
leftid=@mairie
leftnexthop=a.b.c.d
leftsubnet=192.168.0.0/255.255.0.0
authby=secret
auto=start
ROUDOUR ipsec.conf
right=w.x.y.z
rightid=@roudour
rightsubnet=10.10.2.0/255.255.255.0
rightnexthop=%defaultroute
left=a.b.c.d
leftid=@mairie
leftsubnet=192.168.0.0/255.255.0.0
authby=secret
auto=start
ipsec.secrets
@mairie @roudour a.b.c.d w.x.y.z: PSK "######"
mes logs:
15:44:03pluto[541]packet from w.x.y.z:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-03]
15:44:03pluto[541]packet from w.x.y.z:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-02]
15:44:03pluto[541]packet from w.x.y.z:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat -t-ike-00]
15:44:03pluto[541]packet from w.x.y.z:4500: received Vendor ID payload [Dead Peer Detection]
15:44:03pluto[541]packet from w.x.y.z:4500: initial Main Mode message received on 10.10.101. 2:4500 but no connection has been authorized with policy=PSK
merci pour votre aide
vpn derrière routeur nat
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
vpn derrière routeur nat
par drohou » 21 Juin 2006 12:04
- drohou
- Matelot
- Messages: 1
- Inscrit le: 21 Juin 2006 11:55
par Franck78 » 21 Juin 2006 23:56
hi,
1) ipsec.secret spécifie les IP publiques (abcd, wxyz). Mais du coté mairie, l'IPCop n'a aucune chance de voir arriver un paquet avec cette IP destination puisqu'il est natté et/ou planqué derrière le routeur oléane.
=>message "... but no connection has been authorized ..."
2)je le repète inlassablement, il est plus facile de lire et relire les conf quand 'left*' est la machine (l)ocale et 'right' l'autre (r)emote
3)leftnexthop pour la mairie devrait plutôt être la patte interne du routeur oléane et non pas abcd.
bye
1) ipsec.secret spécifie les IP publiques (abcd, wxyz). Mais du coté mairie, l'IPCop n'a aucune chance de voir arriver un paquet avec cette IP destination puisqu'il est natté et/ou planqué derrière le routeur oléane.
=>message "... but no connection has been authorized ..."
2)je le repète inlassablement, il est plus facile de lire et relire les conf quand 'left*' est la machine (l)ocale et 'right' l'autre (r)emote
3)leftnexthop pour la mairie devrait plutôt être la patte interne du routeur oléane et non pas abcd.
bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité