Probleme VPN entre Ipcop

[Franck78]

J'ai monté le test suivant:

10.44.0.0/16=DG834--internet--ipcop(natteur)--ipcopTest

Le vpn monte, reste monté et renégocie parfaitement la phase ike.

Je n'ai pas de log équivalents à IPCop sur le DG834. Comme je le dis, tout ce joue sur essentiellement sur l'indentification du peer.
Ici, c'est fait avec les 'ID'

Le DG834 propose deux types d'ID: 'user' ou 'fqdn'. Cela marche avec 'user' seulement. Il faut remettre les mêmes bien évidenment (n'importe quel mot suffit, j'ai mis les noms des villes).

Le réglage du peer Natté:
RED=10.0.0.50 et aussi interface de sortie
GREEN=10.1.0.0/255.255.0.0

Sur l'IPCop qui natte: rien de particulier à faire.
Note:j'ai pas tester à fond quand c'est le DG834 qui initie. Logiquement ca devrait échoué sans transferts des ports adéquats. La deuxième chose qui me chagrinne en peu est que tcpdump devrait me montrer les paquets udp...si le nat traversal est actif (donc détecté). J'ai direcment du ESP

Voila le log du démarrage sur l'IPCop natté (renégo IKE à 120 secondes).

Code: Tout sélectionner

IPCop diagnostics
Section: ipsec
Date: Avril 15, 2007

01:48:26 pluto[7633] "baule" #10: sent QI2, IPsec SA established
01:48:26 pluto[7633] "baule" #10: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
01:48:26 pluto[7633] "baule" #10: Dead Peer Detection (RFC3706) enabled
01:48:25 pluto[7633] "baule" #5: received and ignored informational message
01:48:25 pluto[7633] "baule" #5: ignoring Delete SA payload: IPSEC SA not found (maybe expired)
01:48:25 pluto[7633] "baule" #10: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
01:48:25 pluto[7633] "baule" #9: IPsec SA expired (LATEST!)
01:46:25 pluto[7633] "baule" #9: IPsec SA established
01:46:25 pluto[7633] "baule" #9: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
01:46:25 pluto[7633] "baule" #9: Dead Peer Detection (RFC3706) enabled
01:46:24 pluto[7633] "baule" #5: received and ignored informational message
01:46:24 pluto[7633] "baule" #5: received Delete SA payload: replace IPSEC State #8 in 10 seconds
01:46:24 pluto[7633] "baule" #9: transition from state (null) to state STATE_QUICK_R1
01:46:24 pluto[7633] "baule" #9: responding to Quick Mode
01:44:23 pluto[7633] "baule" #8: sent QI2, IPsec SA established
01:44:23 pluto[7633] "baule" #8: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
01:44:23 pluto[7633] "baule" #8: Dead Peer Detection (RFC3706) enabled
01:44:22 pluto[7633] "baule" #8: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
01:44:22 pluto[7633] "baule" #5: received and ignored informational message
01:44:22 pluto[7633] "baule" #5: ignoring Delete SA payload: IPSEC SA not found (maybe expired)
01:44:21 pluto[7633] "baule" #7: IPsec SA expired (LATEST!)
01:42:21 pluto[7633] "baule" #7: IPsec SA established
01:42:21 pluto[7633] "baule" #7: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
01:42:21 pluto[7633] "baule" #7: Dead Peer Detection (RFC3706) enabled
01:42:21 pluto[7633] "baule" #5: received and ignored informational message
01:42:21 pluto[7633] "baule" #5: received Delete SA payload: replace IPSEC State #6 in 10 seconds
01:42:21 pluto[7633] "baule" #7: transition from state (null) to state STATE_QUICK_R1
01:42:21 pluto[7633] "baule" #7: responding to Quick Mode
01:40:20 pluto[7633] "baule" #6: sent QI2, IPsec SA established
01:40:20 pluto[7633] "baule" #6: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
01:40:20 pluto[7633] "baule" #6: Dead Peer Detection (RFC3706) enabled
01:40:20 pluto[7633] "baule" #6: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
01:40:20 pluto[7633] "baule" #5: ISAKMP SA established
01:40:20 pluto[7633] "baule" #5: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
01:40:20 pluto[7633] "baule" #5: Main mode peer ID is ID_FQDN: '@baule'
01:40:20 pluto[7633] "baule" #5: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
01:40:19 pluto[7633] "baule" #5: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
01:40:19 pluto[7633] "baule" #5: received Vendor ID payload [Dead Peer Detection]
01:40:19 pluto[7633] "baule" #5: initiating Main Mode
01:40:09 pluto[7633] packet from 90.144.67.128:500: received and ignored informational message
01:40:09 pluto[7633] "baule" #3: received Delete SA payload: deleting ISAKMP State #3
01:40:09 pluto[7633] "baule" #3: received and ignored informational message
01:40:09 pluto[7633] "baule" #3: received Delete SA payload: replace IPSEC State #4 in 10 seconds
01:39:19 pluto[7633] "baule" #4: sent QI2, IPsec SA established
01:39:19 pluto[7633] "baule" #4: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
01:39:19 pluto[7633] "baule" #4: Dead Peer Detection (RFC3706) enabled
01:39:19 pluto[7633] "baule" #4: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
01:39:19 pluto[7633] "baule" #3: ISAKMP SA established
01:39:19 pluto[7633] "baule" #3: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
01:39:19 pluto[7633] "baule" #3: Main mode peer ID is ID_FQDN: '@baule'
01:39:18 pluto[7633] "baule" #3: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
01:39:18 pluto[7633] "baule" #3: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
01:39:18 pluto[7633] "baule" #3: received Vendor ID payload [Dead Peer Detection]
01:39:18 pluto[7633] "baule" #3: initiating Main Mode
01:39:08 pluto[7633] packet from 90.144.67.128:500: Informational Exchange is for an unknown (expired?) SA
01:39:08 pluto[7633] packet from 90.144.67.128:500: Informational Exchange is for an unknown (expired?) SA
01:39:08 pluto[7633] packet from 90.144.67.128:500: received and ignored informational message
01:39:08 pluto[7633] "baule" #1: received Delete SA payload: deleting ISAKMP State #1
01:39:08 pluto[7633] "baule" #1: received and ignored informational message
01:39:08 pluto[7633] "baule" #1: ignoring Delete SA payload: IPSEC SA not found (maybe expired)
01:39:08 pluto[7633] "baule" #1: received and ignored informational message
01:39:08 pluto[7633] "baule" #1: received Delete SA payload: replace IPSEC State #2 in 10 seconds
01:39:03 ipsec__plutorun 004 "baule" #2: STATE_QUICK_I2: sent QI2, IPsec SA established
01:39:03 ipsec__plutorun 122 "baule" #2: STATE_QUICK_I1: initiate
01:39:03 ipsec__plutorun 004 "baule" #1: STATE_MAIN_I4: ISAKMP SA established
01:39:03 ipsec__plutorun 108 "baule" #1: STATE_MAIN_I3: sent MI3, expecting MR3
01:39:03 ipsec__plutorun 106 "baule" #1: STATE_MAIN_I2: sent MI2, expecting MR2
01:39:03 ipsec__plutorun 003 "baule" #1: received Vendor ID payload [Dead Peer Detection]
01:39:03 ipsec__plutorun 104 "baule" #1: STATE_MAIN_I1: initiate
01:39:03 pluto[7633] "baule" #2: sent QI2, IPsec SA established
01:39:03 pluto[7633] "baule" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
01:39:03 pluto[7633] "baule" #2: Dead Peer Detection (RFC3706) enabled
01:39:03 pluto[7633] "baule" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
01:39:03 pluto[7633] "baule" #1: ISAKMP SA established
01:39:03 pluto[7633] "baule" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
01:39:03 pluto[7633] "baule" #1: Main mode peer ID is ID_FQDN: '@baule'
01:39:03 pluto[7633] "baule" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
01:39:02 pluto[7633] "baule" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
01:39:02 pluto[7633] "baule" #1: received Vendor ID payload [Dead Peer Detection]
01:39:02 pluto[7633] "baule" #1: initiating Main Mode
01:39:02 pluto[7633] loading secrets from "/etc/ipsec.secrets"
01:39:02 pluto[7633] adding interface ipsec0/eth1 10.0.0.50:4500
01:39:02 pluto[7633] adding interface ipsec0/eth1 10.0.0.50
01:39:02 pluto[7633] listening for IKE messages
01:39:02 pluto[7633] added connection description "baule"
01:39:02 pluto[7633] | from whack: got --ike=3des-sha-modp1536,3des-sha-modp1024
01:39:02 pluto[7633] | from whack: got --esp=3des-sha1
01:39:02 pluto[7633] OpenPGP certificate file '/etc/pgpcert.pgp' not found
01:39:02 pluto[7633]   Warning: empty directory
01:39:02 pluto[7633] Changing to directory '/etc/ipsec.d/crls'
01:39:02 pluto[7633]   Warning: empty directory
01:39:02 ipsec_setup ...Openswan IPsec started
01:39:02 pluto[7633] Changing to directory '/etc/ipsec.d/cacerts'
01:39:02 pluto[7633] ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
01:39:02 pluto[7633] ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
01:39:02 pluto[7633]   including NAT-Traversal patch (Version 0.6)
01:39:02 pluto[7633]   including X.509 patch with traffic selectors (Version 0.9.42)
01:39:02 pluto[7633] Starting Pluto (Openswan Version 1.0.10)
01:39:02 ipsec__plutorun Starting Pluto subsystem...
01:39:01 ipsec_setup KLIPS ipsec0 on eth1 10.0.0.50/255.255.0.0 broadcast 10.0.255.255
01:39:01 ipsec_setup KLIPS debug `none'
01:39:01 ipsec_setup Starting Openswan IPsec 1.0.10...


[fgth]

Hello franck78,
je ne suis pas sûr que ce test corresponde à notre problème, et donc reproduise les erreurs qu'on rencontre. Pour au moins 2 raisons :
- si je comprends bien ton schéma, sur un des côtés c'est un Netgear qui monte le VPN ? : jusqu'à quel point la config de cette boite est-elle identique à un ipcop ? As-tu accès à l'ipsec.conf ? Est-on sur les mêmes versions d'ipsec ? Tu dis qu'il n'initie pas le VPN : mais n'est-ce pas justement notre problème, sauf si ma dernière analyse est totalement déconnante, car ça buggue quand c'est le côté non natté qui initialise, or les 2 ipcop initialisent sans cesse et dans tous les sens ?
- de l'autre côté, c'est un ipcop qui gère le NAT, avant l'ipcop s'occupant du VPN : correct ? Jusqu'à quel point peut-on comparer un ipcop à une boite noire telle qu'une livebox, dont on ne connait absolument pas le fonctionnement ni le paramétrage réèl, hors les 2 ou 3 pages web auxquelles on a accès ?
Je te rappelle que le problème de la livebox est qu'elle ne permet pas le mode bridge (tout comme le DG834, de mémoire)(et malgrès la page cachée "non fonctionnelle") et qu'il faut donc ruser... Mettre l'adresse publique dans le paramétrage de la DMZ, par exemple, pour qu'elle accepte d'envoyer tous les paquets à l'ipcop derrière elle sans filtrage.
L'impact de telles "bidouilles" sur le fonctionnement du VPN ?.........

Bref : est-on simplement dans le même cas ? Pas sûr du tout. Les disparités m'ont l'air trop grandes, et quand on sait qu'un grain de sable suffit à dérégler ce genre de mécanique...

[Franck78]

le dg834 utilse superfreeswan qui est l'ancètre de openswan:
ftp://downloads.netgear.com/files/GPL/DG834(G).V3.01.32_src.bz2

C'est vrai que l'IPCop ne redirige pas de son propre fait tout ce qu'il recoit ver une IP particulière.
Et je n'explique pas non plus l'absence d'activation du NAT-T chez moi.

Chez toi cela foire sur la renégo IKE.

Tu pourrais
-désactiver PFS (juste pour voir)
-modifier le vpnmain.cgi pour que la durée ne soit plus des heures mes des minutes (un coté suffit) et ainsi accélerer tes test.
-essayer avec des PSK.

[greg84]

Moi j'ai la même config que fgth est les même problème deplus j'ai dejà le PFS de désactivé.

[fgth]

oups il m'en manque un bout : PFS what is it ?

[Franck78]

dans les options avancées.


ligne 372 de vpnmain.cgi pour passer de heures à minutes en remplacant h par m (pas vérifié).

[fgth]

Une chose est sûre : passer en PSK ne change absolument rien. La négo plante exactement de la même façon.
Pour ce qui est de la durée, comme je travaille directement sur le fichier ipsec.conf, autant modifier le "ikelifetime=1h" en "1m" : je testerai ça ce soir.
Je n'ai pas encore désactivé PFS, mais d'après greg84, ça ne change pas grand chose.

Les IDs ne semblent pas être la solution, en tout cas.


Mais sacré non d'un petit bonhomme, me dites pas qu'il n'y a pas moyen ???? Ma dead line de début mai s'approche à grand pas, ça me ferait vraiment ièch de ne pas avoir de solution avant la mise en prod !
D'autant que ça peut servir à d'autres, non ? On est quand même pas tous seuls, les 3 ou 4 sur ce post, à avoir des problèmes de NAT ? Si ?

[greg84]

Je pense que je vais me tourner vers l'utilisation de Openvpn Net-to-Net pour ma config avec NAT, par contre l'addon Zerina est encore en version alpha ZERINA-0.9.7a14.

Est que certaines personnes utilisent le VPN ipsec intégré à IPCOP et OPENVPN net to net en même temps.

Je ne vois que cette solution pour un VPN réseau à réseau en passant par un routeur qui fait du NAT style Livebox.

J'attend avec impatiente vos avis sur le sujet.
Merci

[fgth]

Tiens c'est marrant : j'ai eu la même idée ce matin en cherchant à nouveau sur le net et en tombant sur un comparatif freeswan/openvpn.
J'utilise déjà le module ZERINA openvpn sur ipcop pour mon portable : ça marche nickel, mais il est vrai qu'ici côté serveur je n'ai pas de NAT ; par contre un nat côté client ne pose aucun problème. Je n'avais pas envisagé jusque-là qu'il pouvait aussi faire du net to net.

Je vais donc éplucher les docs que j'ai chargé ce matin et installé openvpn sur les 2 ipcop qui me posent problème. Je vous tiens au courant.

[fgth]

NOTE : sur http://www.zerina.de/?q=download tu as une stable 0.9.4i
et, ce qui ne gâche rien, une procédure que je n'ai pas encore lue sur le net2net inclu à cette version

[greg84]

Justement sur cette version 0.9.4i, je n'ai pas le VPN Net to Net, par contre sur le howto cette fonctionnalité est inclu sur la version 0.9.7a14

[fgth]

yes, je viens de m'en apercevoir........ C'est vraiment pas clair sur leur page d'acceuil, le net2net a l'air inclu depuis la 0.9.4h (voir avant, le howto est listé en dessous...). Bref. Je tente l'alpha, de toute façon, ai-je bien le choix ?

[Franck78]

@fgth,
tu peux aussi activer les debugs ipsec. Ca génère une bordée de logs. Peut être un indice apparaitra !

[taxaw]

Bonjour toute la communauté.
J'ai eu également ce matin un problème avec le vpn net tou net entre deux ipcop 1.4.15 fraîchement installés.
J'ai testé et en mode certificat que PSK rien ne marchait.
Seulement sur le champ " IP publique, nom complet de l'interface RED ou <%defaultroute>:" j'avais mis le nom de mes machines toto.dyndns.org et tata.dyndns.org.
En enlevant cela et en mettant à la place %defaultroute comme indiqué tout marchait. Avec certificat et avec PSK avec ou sans "ID Locale:".

Bonne journée.

[Franck78]

@taxaw,
on même temps tu ne nous apprends rien si tu ne précises pas combien de peer sont nattés. C'est, ici, le problème à résoudre