infernum Posté(e) le 7 juillet 2008 Partager Posté(e) le 7 juillet 2008 Bonjour, J'ai besoin d'un coup de main pour sur un vpn, j'ai juste accès à un seul routeur, l'autre est géré par une autre boite. Sous debian avec openSwan Au niveau pare feu tout est ouvert (je pense) voici les regles iptables du /etc/firewalls/netfilter/ipsec $IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p udp --sport 500 \ --dport 500 -j ACCEPT $IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p udp --sport 500 \ --dport 500 -j ACCEPT $IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p udp --sport 4500 \ --dport 4500 -j ACCEPT $IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p udp --sport 4500 \ --dport 4500 -j ACCEPT $IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p 50 -j ACCEPT $IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p 50 -j ACCEPT $IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p 51 -j ACCEPT $IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p 51 -j ACCEPT cat $IPSEC_NETWORK | while read line; do $IPTABLES -A OUTPUT -p ALL -o $IPSEC_IFACE -d $line -j ACCEPT $IPTABLES -A INPUT -p ALL -i $IPSEC_IFACE -s $line -j ACCEPT $IPTABLES -A FORWARD -p ALL -i $LAN_IFACE -o $IPSEC_IFACE -d $line -j ACCEPT $IPTABLES -A FORWARD -p ALL -i $IPSEC_IFACE -o $LAN_IFACE -s $line -j ACCEPT Voici le status du VPN une fois monté, tout semble se passer correctement : 000 "xxx": srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown; 000 "xxx": ike_life: 3600s; ipsec_life: 1440s; rekey_margin: 120s; rekey_fuzz: 100%; keyingtries: 3 000 "xxx": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 24,16; interface: eth0; 000 "xxx": newest ISAKMP SA: #1524; newest IPsec SA: #1525; 000 "xxx" IKE algorithms wanted: 7_256-2-2, flags=strict 000 "xxx": IKE algorithms found: 7_256-2_160-2, 000 "xxx": IKE algorithm newest: AES_CBC_256-SHA1-MODP1024 000 "xxx": ESP algorithms wanted: 12_256-2, flags=strict 000 "xxx": ESP algorithms loaded: 12_256-2, flags=strict 000 "xxx": ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=<Phase1> 2ème partie 000 #1525: "xxx":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 320s; newest IPSEC; eroute owner 000 #1525: "xxx" esp.84c33af6@111.111.111.111 esp.bbfec012@112.112.112.112 tun.0@111.111.111.111 tun.0@112.112.112.112 000 #1524: "xx":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2029s; newest ISAKMP; nodpd J'ai bien les IPSEC SA et ISAKMP SA established, Par contre rien ne traffic dans le tunnel, j'ai juste des info entre les 2 routeurs d'acces distant de ce genre : 14:16:26.094470 IP 112.112.112.112.isakmp > 111.111.111.111 .isakmp: isakmp: phase 2/others ? inf[E] 14:30:50.430025 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 1 ? ident 14:30:51.515567 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 1 ? ident[E] 14:30:51.716084 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 1 ? ident[E] 14:33:29.167867 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 2/others ? oakley-quick[E] Ma route pour le reseau privé distant : 10.255.0.0 112.112.112.112 255.255.0.0 UG 0 0 0 eth0 Dans le /var/log/auth.log j'ai beaucoup de : Jul 7 15:13:54 fw-xxx-vpn pluto[1216]: | pending review: connection "xxx" checked J'ai l'impression que c'est au niveau du routage que ca déconne mais je ne vois pas quoi modifier. Dans /etc/firewalls/ ya un fichier ipsec.network, je me demande si il faut pas ajouter le réseau privé distant dans ce fichier, je viens de l'ajouter mais je ne peu pas relancer le service pour l"instant. D'ou peu provenir le problème d'apres vous ? Merci ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
infernum Posté(e) le 8 juillet 2008 Auteur Partager Posté(e) le 8 juillet 2008 Salut, J'ai relancé le service ipsec ce matin, le tunnel est bien monté mais les paquet a destination du réseau distant ne passe pas par le tunnel.... Hésitez pas à répondre si vous pensez savoir d'ou vient le pb!! Lien vers le commentaire Partager sur d’autres sites More sharing options...
PyKaBoo Posté(e) le 8 juillet 2008 Partager Posté(e) le 8 juillet 2008 Bonjour, Je n'ai jamais configurer de tunnel ipsec sur un linux, en revanche peux-tu nous dire si la totalitée des copier/coller sont fait à partir de ta machine linux et non du routeur ? Ensuite, au niveau de ta route, ce qui me laisse perplexe est le fait que tu ne précises pas d'utiliser le tunnel ip-sec mais directement ta carte Ethernet (si ce dernier est bien établit depuis ton linux). Lien vers le commentaire Partager sur d’autres sites More sharing options...
infernum Posté(e) le 8 juillet 2008 Auteur Partager Posté(e) le 8 juillet 2008 Bonjour,Je n'ai jamais configurer de tunnel ipsec sur un linux, en revanche peux-tu nous dire si la totalitée des copier/coller sont fait à partir de ta machine linux et non du routeur ? Ensuite, au niveau de ta route, ce qui me laisse perplexe est le fait que tu ne précises pas d'utiliser le tunnel ip-sec mais directement ta carte Ethernet (si ce dernier est bien établit depuis ton linux). Oui les infos proviennent bien de la machine qui fait serveur d'acces distant sous debian. J'indique l'interface wan car dans openSwan il n'y a pas "d'interfaces" créé pour l'IPSEC à part dans le ipsec.network ou j'indique quelles réseaux doivent passer par les tunnel IPSEC je n'ai rien qui stipule une interface dédié à IPSEC... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.