Léa-Linux & amis :   LinuxFR   GCU-Squad   GNU
Conversation precedente ou suivante
Les sections > Les forums de cette section > Les messages de ce forum > Ce thread >
vpn strongswan
Envoyé par: azer

Bonjour,

Alors je débute sur les VPN, et j'ai quelque mal à bien comprendre.
Voici ma plateforme de test :
- dedibox avec une patte publique en 88.x.x.x et j'ai créé une patte locale en eth0:1 en 10.160.x.x /8
- routeur vpn zywal 10 chez moi avec une patte publique en 82.x.x.x et une patte locale en 192.168.x.x /24

Le serveur VPN strongswan est sur la dedibox et derrière le routeur, il y a tout un réseau en 192.168.x.x /24
J'ai galéré pour réussir à initier la connexion entre les 2, mais d'après les logs, la connexion est bien monté :

** côté dedibox 

root@integration:~# ipsec statusall
000 interface eth0/eth0 88.191.35.181:4500
000 interface eth0/eth0 88.191.35.181:500
000 interface eth0:1/eth0:1 10.160.252.7:4500
000 interface eth0:1/eth0:1 10.160.252.7:500
000 interface lo/lo 127.0.0.1:4500
000 interface lo/lo 127.0.0.1:500
000 %myid = (none)
000 debug raw+crypt+parsing+emitting+control+lifecycle+klips+dns+natt+oppo+controlmore
000
000 "reza": 10.0.0.0/8===88.191.35.181---88.191.35.1...82.236.77.42===192.168.7.0/24; erouted; eroute owner: #6
000 "reza":   ike_life: 10800s; ipsec_life: 9600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 8
000 "reza":   policy: PSK+ENCRYPT+TUNNEL+UP; prio: 8,24; interface: eth0;
000 "reza":   newest ISAKMP SA: #5; newest IPsec SA: #6;
000 "reza":   IKE algorithms wanted: 5_000-1-5, 5_000-1-2,
000 "reza":   IKE algorithms found:  5_192-1_128-5, 5_192-1_128-2,
000 "reza":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "reza":   ESP algorithms wanted: 3_000-1,
000 "reza":   ESP algorithms loaded: 3_192-1_096,
000 "reza":   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<N/A>
000
000 #6: "reza" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 3175s; newest IPSEC; eroute owner
000 #6: "reza" esp.e6f9bfae@82.236.77.42 (0 bytes) esp.5026c9dc@88.191.35.181 (441 bytes); tunnel
000 #5: "reza" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 4385s; newest ISAKMP
000

** côté routeur : 

 39
	10/20/2006 18:50:44 	Rule [1] Tunnel built successfully 	88.191.35.181 	82.236.77.42 	IKE
40
	10/20/2006 18:50:44 	Adjust TCP MSS to 1398 	82.236.77.42 	88.191.35.181 	IKE
41
	10/20/2006 18:50:44 	Recv:[HASH] 	88.191.35.181 	82.236.77.42 	IKE
42
	10/20/2006 18:50:44 	Send:[HASH][SA][NONCE][ID][ID] 	82.236.77.42 	88.191.35.181 	IKE
43
	10/20/2006 18:50:44 	Start Phase 2: Quick Mode 	88.191.35.181 	82.236.77.42 	IKE
44
	10/20/2006 18:50:44 	Recv:[HASH][SA][NONCE][ID][ID] 	88.191.35.181 	82.236.77.42 	IKE
45
	10/20/2006 18:50:44 	Phase 1 IKE SA process done 	82.236.77.42 	88.191.35.181 	IKE
46
	10/20/2006 18:50:44 	Send:[ID][HASH][NOTFY:INIT_CONTACT] 	82.236.77.42 	88.191.35.181 	IKE
47
	10/20/2006 18:50:44 	Recv:[ID][HASH] 	88.191.35.181 	82.236.77.42 	IKE
48
	10/20/2006 18:50:44 	Send:[KE][NONCE][NATD][NATD] 	82.236.77.42 	88.191.35.181 	IKE
49
	10/20/2006 18:50:43 	Recv:[KE][NONCE][UNKNOWN(130)][UNKN 	88.191.35.181 	82.236.77.42 	IKE
50
	10/20/2006 18:50:43 	Send:[SA][VID][VID] 	82.236.77.42 	88.191.35.181 	IKE
51
	10/20/2006 18:50:42 	Recv:[SA][VID][VID][VID][VID][VID][ 	88.191.35.181 	82.236.77.42 	IKE
52
	10/20/2006 18:50:42 	Recv Main Mode request from [88.191.35.181] 	88.191.35.181 	82.236.77.42 	IKE
53
	10/20/2006 18:50:42 	Rule [1] Receiving IKE request 	88.191.35.181 	82.236.77.42 	IKE

mais, aucun ping ne passe :
ping 10.160.252.7 (depuis le routeur) --> NE PASSE PAS
ping 192.168.7.7 (depuis la dedibox) --> NE PASSE PAS

Je précise que je n'ai aucun firewall activé pour le moment.

Merci d'avance de m'aider à solutionner ce problème. J'espère pouvoir comprendre comment
tout cela fonctionne afin de sécurisée un maximum les connexions clientes dans ma boîte.

- azer -

Poste le Saturday 21 October 2006 01:39:26
Répondre     Citer    
Re: vpn strongswan
Envoyé par: chromosome

Juste une question comme ca, tes routes sont mises ou publiees par ton ipsec ?

Que te donne un simple tcpdump sur l'interface ? Les paquets arrivent-ils ?


Poste le Saturday 21 October 2006 10:07:41
Répondre     Citer    
Re: vpn strongswan
Envoyé par: azer

En fait, je ne suis pas encore à l'aise avec tcpdump. Mais voici ce que j'ai
lorsque je fait un tcpdump sur mon interface eth0:1 (et cela sans faire aucun ping - ca me renvoi des tas de traces par secondes !!!):

Peut-être que ma commande n'est pas la bonne ?-( 

root@integration:~# tcpdump -i eth0:1 -nXe
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0:1, link-type EN10MB (Ethernet), capture size 96 bytes
12:06:21.914013 00:40:63:e7:b0:22 > 00:17:e0:84:97:ff, ethertype IPv4 (0x0800), length 178: 88.191.35.181.22 > 82.236.77.42.11069: P 2672769349:2672769461(112) ack 2655807276 win 158 <nop,nop,timestamp 677518508 21685354>
        0x0000:  4510 00a4 4e38 4000 4006 cf81 58bf 23b5  E...N8@.@...X.#.
        0x0010:  52ec 4d2a 0016 2b3d 9f4f 3945 9e4c 672c  R.M*..+=.O9E.Lg,
        0x0020:  8018 009e 1d21 0000 0101 080a 2862 1cac  .....!......(b..
        0x0030:  014a e46a 1140 76aa 773c e05e 519a f569  .J.j.@v.w<.^Q..i
        0x0040:  4b0c c40d 5663 7c97 b16e de07 5bc7 6588  K...Vc|..n..[.e.
        0x0050:  b4e7                                     ..
12:06:21.914589 00:40:63:e7:b0:22 > 00:17:e0:84:97:ff, ethertype IPv4 (0x0800), length 178: 88.191.35.181.22 > 82.236.77.42.11069: P 112:224(112) ack 1 win 158 <nop,nop,timestamp 677518509 21685354>
        0x0000:  4510 00a4 4e39 4000 4006 cf80 58bf 23b5  E...N9@.@...X.#.
        0x0010:  52ec 4d2a 0016 2b3d 9f4f 39b5 9e4c 672c  R.M*..+=.O9..Lg,
        0x0020:  8018 009e 1d21 0000 0101 080a 2862 1cad  .....!......(b..
        0x0030:  014a e46a 7cbb 94be 4c6a 7416 3b9b 6028  .J.j|...Ljt.;.`(
        0x0040:  54d5 c86b f3a2 d15f 0b69 f803 29ae 9611  T..k..._.i..)...
        0x0050:  2047                                     .G
12:06:21.946165 00:17:e0:84:97:ff > 00:40:63:e7:b0:22, ethertype IPv4 (0x0800), length 66: 82.236.77.42.11069 > 88.191.35.181.22: . ack 0 win 32756 <nop,nop,timestamp 21685358 677518502>
        0x0000:  4500 0034 7ce2 4000 3a06 a757 52ec 4d2a  E..4|.@.:..WR.M*
        0x0010:  58bf 23b5 2b3d 0016 9e4c 672c 9f4f 3945  X.#.+=...Lg,.O9E
        0x0020:  8010 7ff4 a61c 0000 0101 080a 014a e46e  .............J.n
        0x0030:  2862 1ca6                                (b..
12:06:21.946202 00:40:63:e7:b0:22 > 00:17:e0:84:97:ff, ethertype IPv4 (0x0800), length 1452: 88.191.35.181.22 > 82.236.77.42.11069: . 224:1610(1386) ack 1 win 158 <nop,nop,timestamp 677518541 21685358>
        0x0000:  4510 059e 4e3a 4000 4006 ca85 58bf 23b5  E...N:@.@...X.#.
        0x0010:  52ec 4d2a 0016 2b3d 9f4f 3a25 9e4c 672c  R.M*..+=.O:%.Lg,
        0x0020:  8010 009e 221b 0000 0101 080a 2862 1ccd  ....".......(b..
        0x0030:  014a e46e babf cadb d94d e4a6 f25c 74a3  .J.n.....M...\t.
        0x0040:  f268 7c7a 25c8 73e2 154b 4123 3138 3fbb  .h|z%.s..KA#18?.
        0x0050:  2bdd                                     +.

- azer -

Poste le Saturday 21 October 2006 12:10:15
Répondre     Citer    
Re: vpn strongswan
Envoyé par: azer

DU NOUVEAU :

Le ping ne passe pas du routeur vers le serveur vpn,
mais des pc qui sont derrière le routeur, ca passe niquel. bizarre non ?

Par contre je n'arrive toujours pas à faire paser le ping de la dedibox vers le routeur.
C'est à dire le ping 192.168.7.X (qui représente une IP sur le réseau derrière le routeur), ne passe
pas. Pas de firewall sur le routeur ni la dedibox pour le moment.

Une idée ?

- azer -

Poste le Saturday 21 October 2006 13:35:51
Répondre     Citer    
Re: vpn strongswan
Envoyé par: chromosome

Peux simplement faire un "tcpdump -n icmp" sur l'interface.

De cette maniere on pourra voir ce qui se passe pour les pings.


Poste le Saturday 21 October 2006 17:13:08
Répondre     Citer    
Re: vpn strongswan
Envoyé par: azer

Hello tout le monde.

Alors voilà. Au lieu de chercher comme un malade, j'ai décidé de dormir un peu avant de continuer.

En me levant j'avais trouver la solution. Il me manquait une route sur la dedibox. Les ping passent
dans les 2 sens.

Voilà ma nouvelle question :
Maintenant il faut que j'active les firewall. Je commence d'abord par la dedibox avec un iptables.
Mon but est de réussir à couper toutes les requêtes sur eth0 sauf la liaison vpn et de n'accpeter le ssh et les autres requêtes que sur eth0:1. Comme cela ça obligera le client d'être connecté au vpn pour accéder
au serveur.

J'essai de trouver de la doc sur une telle configuration sans grand succès. Si vous pouvez m'aider un peu
ce serait tip top :s

Merci d'avance.

- azer -

Poste le Saturday 21 October 2006 18:13:44
Répondre     Citer    
Re: vpn strongswan
Envoyé par: chromosome

A ma connaissance tu ne sais pas faire un filtre sur une interface logique, mais uniquement sur une physique. Donc seulement la eth0 est connue par iptables pas la eth0:1.

Donc tu dois travailler avec les ranges IP et pas les interfaces.

Poste le Sunday 22 October 2006 08:17:17
Répondre     Citer    
Re: vpn strongswan
Envoyé par: azer

C'est ce que j'ai cru lire dans la doc de iptables.

Je vais chercher un peu et commencer un début de code pour déjà laisser passer
la connexion vpn.

merci à tous. Je reviens vers vours en cas de nouveau souci winking smiley

- azer -

Poste le Sunday 22 October 2006 11:24:41
Répondre     Citer    
Re: vpn strongswan
Envoyé par: CRS

Hello azer,

Euh ba moi je suis dans la meme config que toi smiling smiley
Sauf que je ne voit pas quel route ajouter lol

Si tu peut m'aidé c cool

merci

A.B

Poste le Wednesday 6 December 2006 02:33:10
Répondre     Citer    

Veuillez vous authentifier auparavant pour commenter.

 

Moi !
General
Ce forum !
vpn strongswan
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.

Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons