oscour MNF / VPN / Windows XP avec NAT

par **Doc** » 02 Juil 2003 12:11

bon, ben... OSCOUR! J'ai mis en place un MNF : ip publique + DMZ (192.168.10.0/24) + Lan (192.168.1.0/24 en NAT). Tout roule jusque là. Par contre le VPN: <IMG SRC="images/smiles/icon_bawling.gif"> J'ai suivi d'abord la doc MNF, puis j'ai recommencé avec les indications d'Eric Faure (merci à lui!). Mais rien à faire... J'essaye de me connecter depuis un poste Windows XP (192.168.0.21) qui est derrière un firewall qui NAT ma connexion (ip publique / 192.168.0.254). La génération des certificats s'est bien passée, et ils ont l'air bien installé (?) Mes fichiers de conf sont: (MNF) ## /etc/ipsec.conf - FreeS/WAN IPsec configuration file config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=1 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert conn francois-net leftsubnet=192.168.1.0/24 also=francois conn francois left=%defaultroute right=%any rightsubnet=0/0 leftcert=firewall.pem auto=add pfs=yes # LAST LINE -- EOF (Windows XP) conn resosec left=%any right=xxx.xxx.xxx.xxx (ip publique MNF) rightca="E = <a href="mailto:informatique@xxx">informatique@xxx</a> , CN = firewall, OU = Service Informatique, O = Assoc, L = PARIS, S = Ile de France, C = FR" network=lan auto=start pfs=yes conn resosec-net left=%any leftsubnet=* right=xxx.xxx.xxx.xxx (ip publique MNF) rightsubnet=192.168.1.0/24 rightca="E = <a href="mailto:informatique@xxx">informatique@xxx</a> , CN = firewall, OU = Service Informatique, O = Assoc, L = PARIS, S = Ile de France, C = FR" network=lan auto=start pfs=yes Lorsque je tente d'établir la connexion, le log MNF indique: "...encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA..." Le log XP indique: 7-02: 09:56:00:600:2250 ISAKMP Header: (V1.0), len = 184 7-02: 09:56:00:600:2250 I-COOKIE 1c91d7624fe668f9 7-02: 09:56:00:600:2250 R-COOKIE 7ade5cfbe9c86791 7-02: 09:56:00:600:2250 exchange: Oakley Main Mode 7-02: 09:56:00:600:2250 flags: 0 7-02: 09:56:00:600:2250 next payload: KE 7-02: 09:56:00:600:2250 message ID: 00000000 7-02: 09:56:00:600:2250 Ports S:f401 D:f401 7-02: 09:56:00:757:2250 7-02: 09:56:00:757:2250 Receive: (get) SA = 0x000f4808 from xxx.xxx.xxx.xxx (ip MNF) 7-02: 09:56:00:757:2250 ISAKMP Header: (V1.0), len = 188 7-02: 09:56:00:757:2250 I-COOKIE 1c91d7624fe668f9 7-02: 09:56:00:757:2250 R-COOKIE 7ade5cfbe9c86791 7-02: 09:56:00:757:2250 exchange: Oakley Main Mode 7-02: 09:56:00:757:2250 flags: 0 7-02: 09:56:00:757:2250 next payload: KE 7-02: 09:56:00:757:2250 message ID: 00000000 7-02: 09:56:00:757:2250 processing payload KE 7-02: 09:56:00:772:2250 processing payload NONCE 7-02: 09:56:00:772:2250 processing payload CRP 7-02: 09:56:00:772:2250 ClearFragList 7-02: 09:56:00:772:2250 constructing ISAKMP Header 7-02: 09:56:00:772:2250 constructing ID 7-02: 09:56:00:772:2250 Received no valid CRPs. Using all configured 7-02: 09:56:00:772:2250 Looking for IPSec only cert 7-02: 09:56:00:772:2250 failed to get chain 80092004 7-02: 09:56:00:772:2250 Looking for any cert 7-02: 09:56:00:772:2250 failed to get chain 80092004 7-02: 09:56:00:772:2250 ProcessFailure: sa:000F4808 centry:00000000 status:35ee 7-02: 09:56:00:772:2250 isadb_set_status sa:000F4808 centry:00000000 status 35ee 7-02: 09:56:00:788:2250 Mode d'échange de clés (Mode principal) 7-02: 09:56:00:788:2250 Adresse IP source... 7-02: 09:56:00:788:2250 Identité basé sur le certificat. Adresse IP homologue : xxx.xxx.xxx.xxx (ip MNF) 7-02: 09:56:00:788:2250 Moi 7-02: 09:56:00:788:2250 IKE n'a pas trouvé de certificat ordinateur valide <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_razz.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> Bon, je vois bien qu'il y a un pb de certificat... et pourtant la génération des certificats et l'import sous XP s'est bien passé... Ca ne serait pas un pb de ipsec.conf (NAT ??) OSCOUR! Quelqu'un a une idée? Merci de votre aide...

par **belugha** » 02 Juil 2003 12:54

As-tu été voir le How TO VPNNAT: <a href="http://www.ixus.net/pdf/mini-howto-vpnnat.pdf" target="_blank">http://www.ixus.net/pdf/mini-howto-vpnnat.pdf</a>

par **Doc** » 02 Juil 2003 15:44

Oui, merci j'ai lu le doc et refait la conf... mais rien à faire. J'avoue être un peu <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> Bon. Je continue à cherher. Si quelqu'un à une piste en attendant. Si je trouve je posterai un Howto pour cette conf spécifique (MNF / VPN avec client XP naté)... Comme tu le suggère, je vais donc essayer et essayer encore ... (enespérant ne pas rebondir contre le mur trop longtemps!) <IMG SRC="images/smiles/icon_lol.gif">

par **belugha** » 02 Juil 2003 15:50

J'ai peut-être encore une piste: <a href="http://forums.ixus.net/viewtopic.php?t=4551" target="_blank">http://forums.ixus.net/viewtopic.php?t=4551</a> Et surtout ne te decourage pas <IMG SRC="images/smiles/icon_bise.gif">

par **Doc** » 02 Juil 2003 17:52

OUUUUUUIIIIII! <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_razz.gif"> <IMG SRC="images/smiles/icon_up.gif"> Merci! En fait le dernier lien m'a aidé à comprendre pourquoi mon certificat n'était pas avallé par Windows XP. Voici le bon fichier ipsec.conf sur XP: conn francois right=%any rightsubnet=192.168.0/24 left=xxx.xxx.xxx.xxx (IP publique MNF) leftsubnet=192.168.10.0/24 leftca="C=FR, S=Ile de France, L=PARIS, O=Assoc, OU=Service Informatique, CN=firewall, E=informatique@xxx" network=lan auto=start pfs=yes (pas besoin de "conn francois-net...") Le fichier ipsec.conf du MNF est: config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=1 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert conn francois left=%defaultroute leftsubnet=192.168.10.0/24 right=%any rightsubnet=192.168.0.0/24 auto=add leftcert=firewall.pem rightcert=francois.pem pfs=yes # LAST LINE -- EOF L'astuce pour que cela marche dans tous les cas (NAT ou pas NAT) est de bien préciser le "leftcert" et le "rightcert" pour la connexion du MNF, et sur Windows XP, il faut respecter impérativement l'ordre DSN (C=FR, S=Ile de France, L=PARIS...). Il se trouve que je n'avais ni précisé le rightcert dans le fichier de conf MNF, et que j'avais inversé l'ordre DSN (E=informatique@xxx, CN=...) Ca marche super! Merci belugha <IMG SRC="images/smiles/icon_bise.gif"> , <IMG SRC="images/smiles/icon_bise.gif"> , et re <IMG SRC="images/smiles/icon_bise.gif"> ! (Ca intéresse quelqu'un que je fasse un doc propre pour expliquer plus en détail les pb de certificats avec Windows XP et MNF ?)

par **pvaussen** » 02 Juil 2003 19:42

Bonjour, je suis interessé pour avoir votre documentation (si vous l'avez fait) car je suis également allé sur les sites en anglais et j'ai parfois du mal à tout saisir. mon email : <a href="mailto:pascal.vaussenat@fnac.net">pascal.vaussenat@fnac.net</a> Merci beaucoup.

par **belugha** » 03 Juil 2003 08:18

De rien Doc <IMG SRC="images/smiles/icon_smile.gif"> En ce qui concerne ta doc tu peux toujours essayé de la proposer sur le site d'ixus. Bon courage et ravie d'avoir pu t'aider <IMG SRC="images/smiles/icon_smile.gif">

par **bisol** » 03 Juil 2003 08:22

Je suis également intéressé par ta doc.. Merci

par **bruno** » 03 Juil 2003 08:24

Oui, je viens de proposer à Doc, si il veut de la mettre en ligne en HTML et PDF. Ca permettrait à tout le monde d'y faire référence ...

par **Doc** » 03 Juil 2003 09:17

Ok. Je vais essayer de faire un document aussi propre que celui d'Eric Faure (mais complémentaire). Je le rédige et dès qu'il est prêt je te fais signe pour que tu puisses en disposer. A+ <IMG SRC="images/smiles/icon_smile.gif">

par **Doc** » 07 Juil 2003 09:39

Salut à tous. Le document est fin prêt. Je le transmets à Bruno pour qu'il le mette à dispo. C'est en fait le document original d'Eric Faure (v1.02) auquel j'ai apporté 1 ou 2 corrections et ajouté notamment l'exemple du poste Windows derrière un firewall faisant du NAT (document repris et modifié avec, bien sur, l'autorisation d'Eric Faure). Il s'agit donc du fichier vpn1-04.pdf. <IMG SRC="images/smiles/icon_smile.gif">

par **Guepi** » 10 Sep 2003 17:30

Doc ou Bruno Je n'ai pas trouvé la dite documentation : As t'elle été mise sur le serveur ixus ? Merci de vos réponses.

par **shubnigourat** » 18 Sep 2003 12:39

La doc "vpn1-04.pdf" est elle disponible ? Je ne suis pas sous MNF mais Ipcop v1.2 et j ai exactement les memes problemes. Je teste une conf Ipcop---routeurNAT---Internet---ModemADSL--WinXP La conf ipsec sur la passerelle Ipcop a l air correcte. Les certifs se chargent bien. Mais un message du type Informational Exchange is for an unknown (expired?) SA Sous windows un message de certif non valide

par **Guepi** » 18 Sep 2003 15:35

Ton problème ne serait-il pas à l'insertion d'un certificat pour ton Windows XP ? <IMG SRC="images/smiles/icon_confused.gif"> Mais sous IpCop et Windows XP, ce ne sont pas des Pre Shared Key ( PSK ) ?

par **shubnigourat** » 18 Sep 2003 17:07

Pas de probleme a l importation des certificats sous winxp De meme sur la passerelle VPN Ipcop. Les certifs sont correctements chargés par ipsec. J emploie des certif x509 pour la bonne raison que le PSK ne passe pas le NAT Il faut employer RSA d apres le How-to "VPN derriere un routeur NAT", une doc dispo a la section Ipcop. Pas de souci pour la conf de freeswan de Ipcop mais coté winXP, RSA veut dire certificat apparemment. Si quelqu un a un moyen de configurer Windows pour du RSA sans passer par les certifs je suis preneur. Mon post sur le forum ipcop avec la conf detailé de mon system, les logs ipsec et Oakley : <a href="http://forums.ixus.net/viewtopic.php?t=6640&5" target="_blank">http://forums.ixus.net/viewtopic.php?t=6640&5</a>

oscour MNF / VPN / Windows XP avec NAT

Qui est en ligne ?