[RÉSOLU] Maintien rpv entre 2 ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RÉSOLU] Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 23 Fév 2011 10:28

Bonjour,
n'ayant pas trouver de reponse dans les autres post, je permet d'en creer un nouveau
Voila mon probleme :

j'ai 2 ipcop sur 2 sites distants (avec 2 ip fixes) connectés par un vpn site-à-site (sans zerina) tous fonctionne trés bien sauf que je suis obligé de relancer manuellement mes connexions toutes les 24h, est ce que quelqu'un aurait une solution pour augmenter la durée du tunnel entre ipcop (ou la durée de vie de la clé ESP), ou d'automatiser la reconnexion ?

merci d'avance
Dernière édition par kaiser8x le 11 Mai 2011 11:50, édité 1 fois au total.
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar Franck78 » 23 Fév 2011 14:18

Salut,

ca fait un bail que je n'ai pas mis le nez dans 'ipsec' sur IPCop. Qu'est-ce qui te fait dire que c'est la clé ESP ?

Le log d'ipsec est très verbeux et indique bien le problème en général. C'est là qu'il faut commencer.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 23 Fév 2011 14:55

j'ai mis en cause la clé ESP, car au depart la connexion durée 8h comme la clé ESP, j'ai ensuite corrigé pour passer à 24h (maximum autorisé) et depuis ma connexion dure 24h.
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 23 Fév 2011 15:16

pour le log d'ipsec c'est bien dans journaux/journaux systeme/ section : ipsec ?

si c'est juste, je n'est aucune difference entre les periodes "connectées" et "deconnectées" :(
toujours ce message plus ou moins en boucle, sur les 2 ipcop a l'IP prés :

00:04:21 pluto[32109] packet from ****************:4500: received Vendor ID payload [RFC 3947]
00:04:21 pluto[32109] packet from ****************:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
00:04:21 pluto[32109] packet from ****************:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
00:04:21 pluto[32109] packet from ****************:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
00:04:21 pluto[32109] packet from ****************:4500: received Vendor ID payload [Dead Peer Detection]
00:04:21 pluto[32109] packet from ****************:4500: initial Main Mode message received on 192.168.0.11:4500 but no connection has been authorized with policy=PSK
00:04:40 pluto[32109] "VPNCICCsDVIF" #93: max number of retransmissions (20) reached STATE_MAIN_I1. No acceptable response to our first IKE message
00:04:40 pluto[32109] "VPNCICCsDVIF" #93: starting keying attempt 49 of an unlimited number
00:04:40 pluto[32109] "VPNCICCsDVIF" #95: initiating Main Mode to replace #93
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar Franck78 » 23 Fév 2011 15:25

Code: Tout sélectionner
salifetime
how long a particular instance of a connection (a set of encryption/authentication keys for user packets) should last, from successful negotiation to expiry; acceptable values are an integer optionally followed by s (a time in seconds) or a decimal number followed by m, h, or d (a time in minutes, hours, or days respectively) (default 8h, maximum 24h). Normally, the connection is renegotiated (via the keying channel) before it expires. The two ends need not exactly agree on salifetime, although if they do not, there will be some clutter of superseded connections on the end which thinks the lifetime is longer.

The keywords "keylife" and "lifetime" are aliases for "salifetime."
rekey
whether a connection should be renegotiated when it is about to expire; acceptable values are yes (the default) and no. The two ends need not agree, but while a value of no prevents Pluto from requesting renegotiation, it does not prevent responding to renegotiation requested from the other end, so no will be largely ineffective unless both ends agree on it.


Tu n'es pas allez bricoler à la main le fichier ipsec.conf ? Pour qu'il n'y ait pas rénogociation, il faut que des deux cotés cela soit désactivé.
Vérifie encore que les réglages sont identiques des deux cotés.
Tu devrais mettre pluto-debug sur 'klips et control' et réduire le temps à 1 heure ou deux si tu veux comprendre le problème.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 23 Fév 2011 15:32

non aucune modif à la main du fichier.
je vais reverifier mes parametres, merci pour ta reponse
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 01 Avr 2011 15:02

Aprés une longue absence et une aussi longue verification de mes parametres, je n'ai toujours pas trouver la raison de ma perte de connexion
mes parametre sont bien identique des deux cotés, les log n'affiche rien de particulier pendant le créneau ou la connexion s'arrete
Un simple clique sur "redemarrer" au niveau de ma connexion VPN (sur les deux ipcop en meme temps - merci teamviewer) suffit a réouvrir la liaison pour 24h
quelqu'un aurai une idée ? ou un chemin pour orienter mes recherches?

Merci d'avance
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar Franck78 » 02 Avr 2011 20:44

initial Main Mode message received on 192.168.0.11 but no ....


ca c'est un grand classique, un peer (extrémité) tente avec la machine qui affiche ce message un début de négo.
La machine cherche alors dans son ipsec.secret ligne à ligne la correspodance des deux IP, pour trouver la psk a utiliser.
Ici il n'y a pas de correspondance.

Comme tu as du 192.168.... c'est que
1) si RED est l'ip publique, c'est cette IP qui doit apparaitre dans ipsec.secret, donc erreur quelquepart
ou
2) il y a des routeurs et du NAT devant chaque ipcop et cela fout la grouille. Dans ce cas essaie avec les certificats x509 plutôt que psk.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Maintien rpv entre 2 ipcop

Messagepar mab » 08 Avr 2011 23:34

Salut,

Pourrais-tu essayer mon script à cette adresse

Il fonctionne sur mes routeur ipcop sans soucis, et depuis, je n'ai plus aucun problème, mais je n'utilise pas les certificats. Cependant, mon script utilise les outils standards ipcop, donc, ça devrait t'aider.
J'attends ton retour sur tes essais.
Avatar de l’utilisateur
mab
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 293
Inscrit le: 03 Sep 2004 22:42
Localisation: centre

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 15 Avr 2011 10:29

Je viens de voir le message, visiblement tu avait exactement le meme probleme que moi, je vais vite tester ton script, en esperant qu'il marche pour moi aussi
je te tiens au courant
merci
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 20 Avr 2011 10:10

bon ben malheureusement le script ne fonctionne pas pour moi :(
je post des captures de mes reglages, si quelqu'un y voit une erreur

http://img97.imageshack.us/i/ipcop0.png/
http://img508.imageshack.us/i/ipcop2.png/
http://img20.imageshack.us/i/ipcop3.png/

franck78 pourrais-tu m'expliquer comment utiliser les certificats x509 au lieu de psk ?
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Re: Maintien rpv entre 2 ipcop

Messagepar mab » 23 Avr 2011 23:41

Salut,
tu es donc dans la même configuration que moi...

As-tu essayé d'exécuter le script à la main (en le rendant exécutable auparavant :) ) des 2 côtés ?
Dernière édition par mab le 26 Avr 2011 09:57, édité 5 fois au total.
Avatar de l’utilisateur
mab
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 293
Inscrit le: 03 Sep 2004 22:42
Localisation: centre

Re: Maintien rpv entre 2 ipcop

Messagepar Franck78 » 24 Avr 2011 00:19

Hello,
franck78 pourrais-tu m'expliquer comment utiliser les certificats x509 au lieu de psk ?

non j'ai oublié :(

Mais la doc existe, en anglais cependant :

http://www.ipcop.org/1.4.0/en/admin/html/vpnaw.html

Ce tuto a l'air bien plus fini :
http://www.linux.com/community/blogs/vp ... ipsec.html

Les deux REDs sont sur le même lan, pas de NAT, donc conditions idéales. Le tuto devraient évoluer pour intégrer NAT+dynamic IP.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Maintien rpv entre 2 ipcop

Messagepar mab » 26 Avr 2011 09:57

Salut,
kaiser8x a écrit:bon ben malheureusement le script ne fonctionne pas pour moi :(

As-tu essayé d'exécuter le script à la main (en le rendant exécutable auparavant :) ) des 2 côtés ?
Y a-t-il des retours que je pourrais lire ?
Avatar de l’utilisateur
mab
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 293
Inscrit le: 03 Sep 2004 22:42
Localisation: centre

Re: Maintien rpv entre 2 ipcop

Messagepar kaiser8x » 26 Avr 2011 15:58

Salut
pas encore testé le script manuellement, je donne le résultat dés j'ai testé ça, encore merci pour vos conseil
Avatar de l’utilisateur
kaiser8x
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 23 Fév 2011 10:21
Localisation: Grenoble

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron