Bonjour,
Alors je débute sur les VPN, et j'ai quelque mal à bien comprendre.
Voici ma plateforme de test :
- dedibox avec une patte publique en 88.x.x.x et j'ai créé une patte locale en eth0:1 en 10.160.x.x /8
- routeur vpn zywal 10 chez moi avec une patte publique en 82.x.x.x et une patte locale en 192.168.x.x /24
Le serveur VPN strongswan est sur la dedibox et derrière le routeur, il y a tout un réseau en 192.168.x.x /24
J'ai galéré pour réussir à initier la connexion entre les 2, mais d'après les logs, la connexion est bien monté :
** côté dedibox
root@integration:~# ipsec statusall
000 interface eth0/eth0 88.191.35.181:4500
000 interface eth0/eth0 88.191.35.181:500
000 interface eth0:1/eth0:1 10.160.252.7:4500
000 interface eth0:1/eth0:1 10.160.252.7:500
000 interface lo/lo 127.0.0.1:4500
000 interface lo/lo 127.0.0.1:500
000 %myid = (none)
000 debug raw+crypt+parsing+emitting+control+lifecycle+klips+dns+natt+oppo+controlmore
000
000 "reza": 10.0.0.0/8===88.191.35.181---88.191.35.1...82.236.77.42===192.168.7.0/24; erouted; eroute owner: #6
000 "reza": ike_life: 10800s; ipsec_life: 9600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 8
000 "reza": policy: PSK+ENCRYPT+TUNNEL+UP; prio: 8,24; interface: eth0;
000 "reza": newest ISAKMP SA: #5; newest IPsec SA: #6;
000 "reza": IKE algorithms wanted: 5_000-1-5, 5_000-1-2,
000 "reza": IKE algorithms found: 5_192-1_128-5, 5_192-1_128-2,
000 "reza": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "reza": ESP algorithms wanted: 3_000-1,
000 "reza": ESP algorithms loaded: 3_192-1_096,
000 "reza": ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<N/A>
000
000 #6: "reza" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 3175s; newest IPSEC; eroute owner
000 #6: "reza" esp.e6f9bfae@82.236.77.42 (0 bytes) esp.5026c9dc@88.191.35.181 (441 bytes); tunnel
000 #5: "reza" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 4385s; newest ISAKMP
000
** côté routeur :
39
10/20/2006 18:50:44 Rule [1] Tunnel built successfully 88.191.35.181 82.236.77.42 IKE
40
10/20/2006 18:50:44 Adjust TCP MSS to 1398 82.236.77.42 88.191.35.181 IKE
41
10/20/2006 18:50:44 Recv:[HASH] 88.191.35.181 82.236.77.42 IKE
42
10/20/2006 18:50:44 Send:[HASH][SA][NONCE][ID][ID] 82.236.77.42 88.191.35.181 IKE
43
10/20/2006 18:50:44 Start Phase 2: Quick Mode 88.191.35.181 82.236.77.42 IKE
44
10/20/2006 18:50:44 Recv:[HASH][SA][NONCE][ID][ID] 88.191.35.181 82.236.77.42 IKE
45
10/20/2006 18:50:44 Phase 1 IKE SA process done 82.236.77.42 88.191.35.181 IKE
46
10/20/2006 18:50:44 Send:[ID][HASH][NOTFY:INIT_CONTACT] 82.236.77.42 88.191.35.181 IKE
47
10/20/2006 18:50:44 Recv:[ID][HASH] 88.191.35.181 82.236.77.42 IKE
48
10/20/2006 18:50:44 Send:[KE][NONCE][NATD][NATD] 82.236.77.42 88.191.35.181 IKE
49
10/20/2006 18:50:43 Recv:[KE][NONCE][UNKNOWN(130)][UNKN 88.191.35.181 82.236.77.42 IKE
50
10/20/2006 18:50:43 Send:[SA][VID][VID] 82.236.77.42 88.191.35.181 IKE
51
10/20/2006 18:50:42 Recv:[SA][VID][VID][VID][VID][VID][ 88.191.35.181 82.236.77.42 IKE
52
10/20/2006 18:50:42 Recv Main Mode request from [88.191.35.181] 88.191.35.181 82.236.77.42 IKE
53
10/20/2006 18:50:42 Rule [1] Receiving IKE request 88.191.35.181 82.236.77.42 IKE
mais, aucun ping ne passe :
ping 10.160.252.7 (depuis le routeur) --> NE PASSE PAS
ping 192.168.7.7 (depuis la dedibox) --> NE PASSE PAS
Je précise que je n'ai aucun firewall activé pour le moment.
Merci d'avance de m'aider à solutionner ce problème. J'espère pouvoir comprendre comment
tout cela fonctionne afin de sécurisée un maximum les connexions clientes dans ma boîte.
- azer -