[RESOLU] IPCOP 1.4.13 Problème de VPN

[SpeLight]

Bonjour,

Depuis hier soir j'ai un soucis avec un VPN qui marchait très bien jusqu'alors.
Extrait du log :
Jun 7 10:22:51 router pluto[648]: "TelemeXXX" #3499: ignoring informational payload, type PAYLOAD_MALFORMED
Jun 7 10:22:51 router pluto[648]: "TelemeXXX" #3499: received and ignored informational message
Jun 7 10:22:51 router pluto[648]: "TelemeXXX" #3499: discarding duplicate packet; already STATE_MAIN_I3
(...)
Jun 7 10:23:11 router pluto[648]: "TelemeXXX" #3499: ignoring informational payload, type PAYLOAD_MALFORMED
Jun 7 10:23:11 router pluto[648]: "TelemeXXX" #3499: received and ignored informational message
Jun 7 10:23:11 router pluto[648]: "TelemeXXX" #3499: discarding duplicate packet; already STATE_MAIN_I3

Impossible de voir un :
Main mode peer ID is ID_IPV4_ADDR: 'XXX.XXX.XXX.XXX'
transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
ISAKMP SA established

J'ai bien sur vérifié les PSK elles sont identiques (copié-collé).

La seule modfication que j'ai faites peu avant c'est l'ajout d'un nouveau VPN dans la liste (ce qui porte le total à 64).

Si vous avez d'autres idées ou d'autres vérifications à me soumettre, je suis prenneur.



Avec un peu plus de temps je complète l'extrati des logs :

router pluto[648]: "TelemeXXX" #7870: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
router pluto[648]: "TelemeXXX" #7870: starting keying attempt 3 of an unlimited number
router pluto[648]: "TelemeXXX" #7875: next payload type of ISAKMP Identification Payload has an unknown value: 215
router pluto[648]: "TelemeXXX" #7875: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
router pluto[648]: "TelemeXXX" #7875: sending notification PAYLOAD_MALFORMED to 193.252.195.70:500
router pluto[648]: "TelemeXXX" #7875: next payload type of ISAKMP Identification Payload has an unknown value: 215
router pluto[648]: "TelemeXXX" #7875: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
router pluto[648]: "TelemeXXX" #7875: sending notification PAYLOAD_MALFORMED to 193.252.195.70:500
router pluto[648]: "TelemeXXX" #7877: initiating Main Mode to replace #7870
router pluto[648]: "TelemeXXX" #7877: received Vendor ID payload [RFC 3947]
router pluto[648]: "TelemeXXX" #7877: received Vendor ID payload [Dead Peer Detection]
router pluto[648]: "TelemeXXX" #7877: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
router pluto[648]: "TelemeXXX" #7877: NAT-Traversal: Result using RFC 3947: no NAT detected
router pluto[648]: "TelemeXXX" #7877: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
router pluto[648]: "TelemeXXX" #7877: ignoring informational payload, type PAYLOAD_MALFORMED
router pluto[648]: "TelemeXXX" #7877: received and ignored informational message
router pluto[648]: "TelemeXXX" #7877: ignoring informational payload, type PAYLOAD_MALFORMED
router pluto[648]: "TelemeXXX" #7877: received and ignored informational message
router pluto[648]: "TelemeXXX" #7877: discarding duplicate packet; already STATE_MAIN_I3


Merci d'avance

[Poupou94]

Bonsoir,

Aucune idée d' ou cela peut venir mais 64 en binaire on sait combien cela représente...
Si tu reviens à 63 vpn cela ne supprime pas le pb ?
Dans ce cas tu as, peut être, mis le doigt sur une limite d'IPCop.

Pascal.

[Franck78]

Salut,

Tu crées un vpn et c'est un autre qui ce met à délirer[ou les deux c'est pas clair]. Je dirais que tu as un problème d'adressage réseau. Mauvaise IP? Plage de réseau qui se chevauchent? Relit bien la conf des deux vpn.
Je ne crois pas trop à la limite des 64. Il y aurait un log d'avertissement openswan.

Par acquis de conscience, vérifie quand même la concordance des options avancées avec le peer [qui est quoi d'ailleurs?].

Bye

[SpeLight]

Bonjour

Désolé pour mon manque de clarté. Je m'explique :

Au départ 63 VPN qui tous fonctionnaient. J'en créé un 64ième. A partir de ce moment précis la connexion avec un autre IPCOP (même version) qui était dans la liste des 63 premier n'a plus voulu fonctionner.

J'avais bien sûr tout vérifié (je n'ai parlé que de la PSK mais le reste y est passé aussi.

Pour info lorsque j'ai supprimé le dernier tunnel créé la connexion avec l'autre IPCOP est repartie comme avant.


Cordialement.

[Franck78]

tu n'exprimes pas clairement l'état du numéro 64.... Fonctionnel ou pas fonctionnel?
tu ne dis pas non plus si c'est toujours le même qui tombe ou un vpn au hazard.
tu ne dis rien non plus sur la machine qui supporte les 63 vpn. Mémoire, temp processeur, trafic réseau dans les vpn... elle est overbookée ou non?
(voir les stats pour ça).


Bye

[SpeLight]

Bonjour,

Je vais essayer d'être plus clair :

Le 64ième VPN fonctionne.
C'est un des 63 premiers qui tombe (pas toujours le même).
Sinon l'IPCop tourne sur un PC, un P4 HT 2,4 GHz avec 1Go de RAM et un disque de 40 Go, non overclocké (pas vraiment nécessaire) et 3 cartes réseau Intel i82557/i82558 PCI EtherExpressPro.
Le trafic dans les tubes est limité à 128kBps en entrée en 4kBps en sortie en global.

Sinon une info en plus :
Je dispose d'un autre IPCop sur un autre site avec la même config matérielle et le même nombre de tunnel et ça me fait la même blague !

Je vais essayer de créer deux nouveaux tunnels pour passer le tout à 65 pour voir ce que ça donne.

Cordialement.

[Franck78]

"pas toujours le même", c'est ennuyeux ça. Et que dit le log concernant ipsec au moment du plantage. Combien de temp entre l'établissement du 64 et le plantage ?

As-tu essayé ceci: lancer le 64, plantage, repassage à 63 donc, que donne le lancement (relancement) du vpn planté? Encore un plantage au pif?

[SpeLight]

Bonjour,

Je crois avoir quelques éclaississements :
ce n'est pas vraiment un "plantage" c'est juste que le premier tunnel qui tente une reconnexion suite au dead time de clé échoue en boucle (et pas les autres). Sinon après avoir butté le 64ième tunnel et mis en disabled / enabled celui qui partait en sucette il refonctionne, sinon il ne repart jamais.


Cordialement

[SpeLight]

Bonjour,

Je viens d'ajouter un 65ième tunnel et là … le tunnel avec l'autre IPCop (qui fait partie des 63 premiers) qui se situe sur un autre site se vautre mais les autres fonctionnent ! Donc il n'y aurait pas de limite à 64 tunnels.

Extrait des logs :

Jun 12 11:43:38 routeur pluto[26948]: "TelemeXXX" #106: byte 2 of ISAKMP Identification Payload must be zero, but is not
Jun 12 11:43:38 routeur pluto[26948]: "TelemeXXX" #106: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
Jun 12 11:43:38 routeur pluto[26948]: "TelemeXXX" #106: sending notification PAYLOAD_MALFORMED to XXX.XXX.XXX.XXX:500
Jun 12 11:45:14 routeur pluto[26948]: "TelemeXXX" #116: next payload type of ISAKMP Identification Payload has an unknown value: 173
Jun 12 11:45:14 routeur pluto[26948]: "TelemeXXX" #116: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
Jun 12 11:45:14 routeur pluto[26948]: "TelemeXXX" #116: sending notification PAYLOAD_MALFORMED to XXX.XXX.XXX.XXX:500
Jun 12 11:45:48 routeur pluto[26948]: "TelemeXXX" #115: max number of retransmissions (2) reached STATE_MAIN_R2
Jun 12 11:45:53 routeur pluto[26948]: "TelemeXXX" #121: responding to Main Mode
Jun 12 11:45:53 routeur pluto[26948]: "TelemeXXX" #121: transition from state (null) to state STATE_MAIN_R1
Jun 12 11:45:53 routeur pluto[26948]: "TelemeXXX" #121: NAT-Traversal: Result using RFC 3947: no NAT detected
Jun 12 11:45:53 routeur pluto[26948]: "TelemeXXX" #121: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Jun 12 11:45:54 routeur pluto[26948]: "TelemeXXX" #121: next payload type of ISAKMP Identification Payload has an unknown value: 224
Jun 12 11:45:54 routeur pluto[26948]: "TelemeXXX" #121: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
Jun 12 11:45:54 routeur pluto[26948]: "TelemeXXX" #121: sending notification PAYLOAD_MALFORMED to XXX.XXX.XXX.XXX:500
Jun 12 11:45:54 routeur pluto[26948]: "TelemeXXX" #116: max number of retransmissions (2) reached STATE_MAIN_R2

Voilà si ça peut faire avancer le Schmilblick.

[Arpanet]

Slt,

Je n'ai pas de réponse a ton prb, je veux juste une info, tu utilise quoi pour les VPN, addon ou pas?

Et pourquoi as-tu opté pour telle ou telle solution?

Merci pour les infos et bon courage pour ton prb.

[SpeLight]

Bonjour,

Je n'utilise aucun addon (pas besoin, c'est pour connecter des routeurs VPN MultiTech). Je ne me sert que de la partie VPN de l'IPCop, le reste ne m'interresse pas.

J'ai pris IPCop parce qu'avant nous avions des routeurs nous aussi de chez MultiTech qui n'étaient pas capables de gérer la montée en charge qui s'est produite (il fallait aussi à chaque changement de configuration leur faire faire un reboot qui prenait un temps fou). J'ai testé quelques solutions sous BSD (que je connais bien mieux), pfsense et m0n0wall entre autre, mais aucun n'a été aussi simple et rapide à mettre en oeuvre.


Cordialement,

[Poupou94]

Bonsoir,

A tout hasard, tu as vérifier la tête du fichier /var/ipcop/vpn/ipsec.secrets ?

Pascal.

[Franck78]

c'est très dur de tirer des hypothèses à partir de bribes de log.
Il faudrait
-la topologie d'un partie au moins du réseau
-les logs simultanés sur les deux peers

Une cause généralement admise est que le peer ne comprend pas le dialecte ike de l'autre peer. D'ou l'importance de préciser clairement les versions ike (machine, distro, ....).

[SpeLight]

Bonjour,

Topologie du réseau :

- de mon coté un IPCop 1.4.13 avec un réseau en 172.16.201.0/255.255.255.0
- sur l'autre site un IPCop 1.4.13 (même hardware) avec un réseau en 172.17.201.0/255.255.255.0

-sur les autres sites des routeur MultiTech (RF560 ou 820) avec des réseau en 172.18 172.19 ou 172.20

Les erreurs dans les logs sont les mêmes des deux cotés, il n'y a pas de logs sur les MultiTech.


P.S. : il n'y a aucun addons ou autres modifs sur nos IPCop.



Cordialement.

[Franck78]

Précise quand tu publies un log la provenance: central (c'est bien un ipcop qi gère 65 vpn?) ou branche(ipcop,560,820).

Le RF560 permet le débugage : http://www.multitech.com/DOCUMENTS/Coll ... 00268C.pdf (exemple 4)

Je suppose qu'ils ont tous le firmware à jour.