Jump to content

Ipsec OpenSwan


Recommended Posts

Bonjour,

J'ai besoin d'un coup de main pour sur un vpn, j'ai juste accès à un seul routeur, l'autre est géré par une autre boite.

Sous debian avec openSwan

Au niveau pare feu tout est ouvert (je pense)

voici les regles iptables du /etc/firewalls/netfilter/ipsec

 
	$IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p udp --sport 500 \
			--dport 500 -j ACCEPT
	$IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p udp --sport 500 \
			--dport 500 -j ACCEPT
	$IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p udp --sport 4500 \
			--dport 4500 -j ACCEPT
	$IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p udp --sport 4500 \
			--dport 4500 -j ACCEPT
	$IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p 50 -j ACCEPT
	$IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p 50 -j ACCEPT
	$IPTABLES -A INPUT -i $WAN_IFACE -d $WAN_IP -p 51 -j ACCEPT
	$IPTABLES -A OUTPUT -o $WAN_IFACE -s $WAN_IP -p 51 -j ACCEPT
	cat $IPSEC_NETWORK | while read line; do
			$IPTABLES -A OUTPUT -p ALL -o $IPSEC_IFACE -d $line -j ACCEPT
			$IPTABLES -A INPUT -p ALL -i $IPSEC_IFACE -s $line -j ACCEPT
			$IPTABLES -A FORWARD -p ALL -i $LAN_IFACE -o $IPSEC_IFACE -d $line -j ACCEPT
			$IPTABLES -A FORWARD -p ALL -i $IPSEC_IFACE -o $LAN_IFACE -s $line -j ACCEPT

Voici le status du VPN une fois monté, tout semble se passer correctement :

000 "xxx":	 srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
000 "xxx":   ike_life: 3600s; ipsec_life: 1440s; rekey_margin: 120s; rekey_fuzz: 100%; keyingtries: 3
000 "xxx":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 24,16; interface: eth0;
000 "xxx":   newest ISAKMP SA: #1524; newest IPsec SA: #1525;
000 "xxx"   IKE algorithms wanted: 7_256-2-2, flags=strict
000 "xxx":   IKE algorithms found:  7_256-2_160-2,
000 "xxx":   IKE algorithm newest: AES_CBC_256-SHA1-MODP1024
000 "xxx":   ESP algorithms wanted: 12_256-2, flags=strict
000 "xxx":   ESP algorithms loaded: 12_256-2, flags=strict
000 "xxx":   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=<Phase1>

2ème partie

000 #1525: "xxx":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 320s; newest IPSEC; eroute owner
000 #1525: "xxx" esp.84c33af6@111.111.111.111 esp.bbfec012@112.112.112.112 tun.0@111.111.111.111 tun.0@112.112.112.112 
000 #1524: "xx":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2029s; newest ISAKMP; nodpd

J'ai bien les IPSEC SA et ISAKMP SA established,

Par contre rien ne traffic dans le tunnel, j'ai juste des info entre les 2 routeurs d'acces distant de ce genre :

14:16:26.094470 IP 112.112.112.112.isakmp > 111.111.111.111 .isakmp: isakmp: phase 2/others ? inf[E]

14:30:50.430025 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 1 ? ident
14:30:51.515567 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 1 ? ident[E]

14:30:51.716084 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 1 ? ident[E]
14:33:29.167867 IP 111.111.111.111 .isakmp > 112.112.112.112.isakmp: isakmp: phase 2/others ? oakley-quick[E]

Ma route pour le reseau privé distant :

10.255.0.0	  112.112.112.112  255.255.0.0	 UG	0	  0		0 eth0

Dans le /var/log/auth.log j'ai beaucoup de :

Jul  7 15:13:54 fw-xxx-vpn pluto[1216]: | pending review: connection "xxx" checked

J'ai l'impression que c'est au niveau du routage que ca déconne mais je ne vois pas quoi modifier.

Dans /etc/firewalls/ ya un fichier ipsec.network, je me demande si il faut pas ajouter le réseau privé distant dans ce fichier, je viens de l'ajouter mais je ne peu pas relancer le service pour l"instant.

D'ou peu provenir le problème d'apres vous ?

Merci !

Link to comment
Share on other sites

Salut,

J'ai relancé le service ipsec ce matin, le tunnel est bien monté mais les paquet a destination du réseau distant ne passe pas par le tunnel....

Hésitez pas à répondre si vous pensez savoir d'ou vient le pb!!

Link to comment
Share on other sites

Bonjour,

Je n'ai jamais configurer de tunnel ipsec sur un linux, en revanche peux-tu nous dire si la totalitée des copier/coller sont fait à partir de ta machine linux et non du routeur ?

Ensuite, au niveau de ta route, ce qui me laisse perplexe est le fait que tu ne précises pas d'utiliser le tunnel ip-sec mais directement ta carte Ethernet (si ce dernier est bien établit depuis ton linux).

Link to comment
Share on other sites

Bonjour,

Je n'ai jamais configurer de tunnel ipsec sur un linux, en revanche peux-tu nous dire si la totalitée des copier/coller sont fait à partir de ta machine linux et non du routeur ?

Ensuite, au niveau de ta route, ce qui me laisse perplexe est le fait que tu ne précises pas d'utiliser le tunnel ip-sec mais directement ta carte Ethernet (si ce dernier est bien établit depuis ton linux).

Oui les infos proviennent bien de la machine qui fait serveur d'acces distant sous debian.

J'indique l'interface wan car dans openSwan il n'y a pas "d'interfaces" créé pour l'IPSEC à part dans le ipsec.network ou j'indique quelles réseaux doivent passer par les tunnel IPSEC je n'ai rien qui stipule une interface dédié à IPSEC...

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...