VPN entre un MNF 1 et un MNF 2

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

VPN entre un MNF 1 et un MNF 2

Messagepar imamodaly » 08 Mars 2006 17:46

Bonjour à tous

Voici la problèmatique : je veux monter un VPN entre deux agences.
D'un côté, j'ai une MNF version 1 et de l'autre une MNF version 2.
Ma MNF1 est ma C.A. : j'ai donc procédé à la génération des certificats et clés pour mon client.

J'ai donc configuré et copié les fichiers nécessaires sur mon client en MNF 2.
Après avoir rédémarré le service IPsec, j'obtiens les logs suivantes :

Mar 8
16:15:13 pluto Using Linux 2.6 IPsec interface code
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/cacerts'
Mar 8
16:15:14 pluto loaded CA cert file 'cacert.pem' (1574 bytes)
Mar 8
16:15:14 pluto loaded CA cert file 'ca.crt' (1306 bytes)
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/aacerts'
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/ocspcerts'
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/crls'
Mar 8
16:15:14 pluto loaded crl file 'crl.crt' (690 bytes)
Mar 8
16:15:14 pluto Changing to directory '/etc/freeswan/ipsec.d/acerts'
Mar 8
16:15:15 pluto
Mar 8
16:15:15 pluto
Mar 8
16:15:15 pluto loaded host cert file '/etc/freeswan/ipsec.d/certs/xxx1.crt' (1306 bytes)
Mar 8
16:15:15 pluto loaded host cert file '/etc/freeswan/ipsec.d/certs/xxx2.crt' (1306 bytes)
Mar 8
16:15:15 pluto added connection description "xxx1-vpn"
Mar 8
16:15:15 pluto listening for IKE messages
Mar 8
16:15:15 pluto adding interface eth1/eth1 xxx.xxx.xxx.44
Mar 8
16:15:15 pluto adding interface eth0/eth0 xxx.xxx.xxx.30
Mar 8
16:15:15 pluto adding interface lo/lo 127.0.0.1
Mar 8
16:15:15 pluto adding interface lo/lo ::1
Mar 8
16:15:15 pluto loading secrets from "/etc/freeswan/ipsec.secrets"
Mar 8
16:15:15 pluto loaded private key file '/etc/freeswan/ipsec.d/private/xxx1.key' (1675 bytes)
Mar 8
16:15:16 pluto "xxxx-vpn" #1: initiating Main Mode
Mar 8
16:15:16 pluto
Mar 8
16:15:16 pluto "xxxx-vpn" #1: certificate signature is invalid
Mar 8
16:15:16 pluto "xxxx-vpn" #1: X.509 certificate rejected
Mar 8
16:15:16 pluto "xxxx-vpn" #1: ISAKMP SA established
Mar 8
16:15:16 pluto "xxxx-vpn" #2: initiating Quick Mode RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+UP {using isakmp#1}

--

Comme constaté, le VPN ne se monte pas.
Quelqu'un a-t-il une idée ou qqun a-t-il déjà été confronté à la même problématique ?
En vous remerciant d'avance pour vos réponses, cordialement.
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar Gandalf » 08 Mars 2006 17:51

Salut, je n'ai jamais réalisé un tel VPN entre les 2 versions ! Regarde cette doc, mais elle traite du VPN entre version 8.2 : ftp://new.homelinux.net/MNF/old/Autres% ... nf_vpn.pdf !
Ca fonctionne plutot bien entre version identique !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar imamodaly » 08 Mars 2006 18:00

Merci bcp pour la doc, Gandalf.

Si vous voulez, on a pas eu de pb à créer un VPN entre MNF de mêmes versions.
D'après le support technique mandriva, l'approche n'est pas la même, car l'ipsec est géré en natif.
Toute la problématique du projet est là : monter un VPN entre MNF de versions différentes.

Merci pour les réponses.
A bientot.
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar Gandalf » 08 Mars 2006 18:17

Et juste par curiosité, que dit précisément le support Mandriva ?
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar imamodaly » 09 Mars 2006 15:00

Bah... ils me répondent ceci :

Bonjour,

Pour pouvoir bénéficier du support vous devez enregistrer votre produit.

Pour cela il vous suffit d'aller sur le site web www.mandriva.com
(cliquer sur l'onglet support et suivre l'assistant).

Lorsque votre inscription est terminé vous pouvez vous connecter sur
notre plateforme web support : www.mandrivaexpert.com

Très cordialement.

Support Service Mandriva.


Et moi je leur ai dit : oui, c'est déjà fait. Nos IDs sont : ....

Très cordialement.
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar Gandalf » 09 Mars 2006 15:11

Ah ben ça c'est du support :shock: ! Donc tu n'as pas eu de réponse précise de leur part ...
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar imamodaly » 09 Mars 2006 15:31

Eh non !
Pourtant, j'ai suivi de près la documentation fourni sur le CD d'install.

Petite question :
Mon VPN client (en MNF 2) doit communiquer avec un firewall en MNF 1. Ce dernier est la C.A.
Si j'ai bien compris, je dois générer sur le FW en MNF 1 les certificats pour le client et copier les fichiers sur le client ?

Merci d'avance pour vos réponses.
[_Idriss_M._]
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar Gandalf » 09 Mars 2006 17:13

Attention il n'y a pas de "client" dans le cas d'un tunnel avec 2 MNF ! Le client c'est pour un VPN dit "roadwarrior" ou nomade !
Avec 2 MNFs tu dois avoir un "left" et un "right" ! Regarde cette procédure, elle est très bien faite ( un peu ancienne mais ça a fonctionné pour moi et pour d'autres !) : ftp://new.homelinux.net/mnf/old/INSTALL ... thelot.pdf
A l'époque Cyril Berthelot avait mis pas mal de VPNs en place avec ça ! Contacte-le peut-être, il était assez calé dans ce registre !
Ce qui m'étonne c'est que le support de Mandriva ne te fournisse pas de réponse ... ça c'est quand même fort, c'est leur valeur ajoutée quand même !

Tiens nous au courant !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar imamodaly » 09 Mars 2006 17:28

Merci pour la documentation ! Cependant, nous avons déjà procéder au montage de VPN entre 2 MNF de mêmes versions (MNF 1).

Je vais essayer de contacter le sieur Berthelot.
J'attends vos réponses, tout de même !
Merci beaucoup...
[_Idriss_M._]
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar imamodaly » 09 Mars 2006 17:45

Si vous voulez, dans MNF 2, la gestion de l'ipsec est différente.
On ne crée plus une zone VPN ayant une interface ipsec0. Tout est en "natif"...

A vrai dire, ce n'est pas ça mon vrai pb. Visiblement, le MNF2 ne veut pas des certificats générés par mon MNF1 (qui est la C.A.)...

Que faire, d'après vous ?
A bientôt...
[_Idriss_M._]
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar Gandalf » 09 Mars 2006 18:16

Générer les certificats par le MNF 2 ?
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar imamodaly » 10 Mars 2006 10:14

J'y ai pensé...
Je me demande si le module qui gère la C.A. dans le MNF2 n'est pas différent de celui dans MNF1...
J'en parle à mon chef :lol: :lol: :lol:

Bonne journée à tous.
[_Idriss_M._]
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar imamodaly » 10 Mars 2006 12:43

Une autre précision, lorsque j'ai tapé

service ipsec status

Il m'a répondu :

IPsec running
but...
KLIPS module is not loaded!

A bientot...
[_Idriss_M._]
Avatar de l’utilisateur
imamodaly
Matelot
Matelot
 
Messages: 10
Inscrit le: 08 Mars 2006 17:40

Messagepar squidly » 27 Déc 2007 15:30

Hello,

Pour info même si c'est probablement trop tard. Je viens de réussir à faire communiquer en IPSEC un MNF2 (CA) et un MNF1.

Coté MNF2 créer la batterie de certificats et clés; ouvrir les ports 500 adéquats.
Coté MNF1 déployer les certificats et clés en créer des liens symboliques pour replacer les certificats là ou la MNF1 les attend.

Ensuite visiblement même sans le KLIPS sur la MNF2 le tunnel se monte et je ping les machines sur l'autre site.

Pour le moment ce n'est que du test faut voir si ça passera la nuit avec le backup/rsync qui va pousser quelques Go :wink:

A bientôt
Avatar de l’utilisateur
squidly
Matelot
Matelot
 
Messages: 2
Inscrit le: 13 Fév 2004 01:00
Localisation: Fr - 94


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité