Besoin d'aide [VPN IPSEC] - Windows & Software
Marsh Posté le 20-12-2004 à 12:47:15
Essaie déjà de connecter le Linux au VPN. Si ça marche c'est un problème de filtrage, de config ou de NAT Traversal.
A noter que j'ai jamais réussi à utiliser le client IPSec de Windows (même avec la doc mais je suis pas doué)
Marsh Posté le 20-12-2004 à 14:13:20
Merci.
Je veux bien essayer mais il faut procéder comment?
Déjà que sur windows ce n'est pas de la tarte mais sur linux j'ai regardé un peu là et il faudrait que je recompil mon noyau, ce qu'il veut dire qu'il faut que je touche à mon serveur.
J'ai optimisé au mieux mon noyau pour qu'il soit le plus léger possible, ça m'embete...
Tu n'aurais pas une autre soluce à me proposer ?
Marsh Posté le 23-12-2004 à 08:08:43
Salut
Pour qu'un VPN fonctionne il faut que les adresses lan de chaque côté du tunnel soient différentes, sinon problèmes de routage. Cela n'explique peut être pas tout mais commence par là. Ha oui j'oublais, sur le zywall il faut ouvrai le port 500 (ike) dans le firewall sinon ça marche pas.
je te conseille quand même d'utiliser autre chose que le client xp, c'est pas top...Avec le client 2000 il y avait un gros soucis il lui fallait une adresse publique fixe en face, je ne sais pas si c'est le cas de xp
Quels sont les messages d'erreurs dans les logs du zywall?
Est ce que ton linux sert de routeur?
Voila
Marsh Posté le 23-12-2004 à 08:42:09
Salut
Tout d'abord, merci de t'intéresser à mon post.
Pour les adresses LAN je suis d'accord avec toi, j'ai vu ça
Marsh Posté le 23-12-2004 à 08:51:13
oops petit erreur de manipulation sur le clavier
Bon je reprend...
Pour les adresses LAN je disais donc je suis d'accord avec toi.
Pour ce qui concerne du zywall, j'ai beaucoup à apprendre à son sujet, toi tu me dis qu'il faut ouvrir le port 500? Le serveur VPN se situe dans le zywall donc... Je ne pige pas tout et dans quel sens faut-il l'ouvrir, WAN to LAN ou WAN to WAN/ZYWALL? Si tu connais bien le zywall ça m'intéresserait d'avoir quelques infos.
En ce qui concerne le client, je veux utiliser le client xp car il est directement intégré et donc pas de license à payer pour la boite.
Mon linux me sert de passerelle NAT et de firewall, il y a surment quelque chose à faire à ce niveau mais je ne sais quel port forwarder et dans quel sens?
Merci
Marsh Posté le 23-12-2004 à 10:12:36
Le zywall est effectivement serveur vpn mais vu qu'il est aussi firewall (donc tous les ports sont bloqués)il faut redirigé le port 500 sur le serveur donc en wan to lan ouvrir le port 500 sur l'adresse lan du zywall.
Pour ton linux il faut juste qu'il soit ipsec passthrough, donc qu'il laisse passer l'ipsec en sortie mais là je ne connais pas assez linux pour t'aider sinon à part ça rien à faire.
Tu as quelle version de firmware sur ton zywall?
As tu regardé les logs?
Marsh Posté le 23-12-2004 à 10:36:15
Ha je pense pouvoir t'aider puisque j'ai recemment monté un VPN entre un Zywal10W et une machine Windows
Donc déjà, comme il a été dit à juste titre, il ne faut pas que tu ai les memes sous réseau ip.
Donc commence par changer un sous réseau d'un coté ou de l'autre.
Ensuite, pour le Zywall :
-Va dans Firewall, choisi Wan To Wan(Zywall). Ajoute une nouvelle regle. Tu laisses Any en source, Any en destination. Tu vires, dans Services, Any(UDP) et Any(TCP) (sinon ton firewall ne sert a rien). Puis tu ajoutes IKE(UDP 500). Choisis aussi de logger les deux (log : both), comme ça on sera sur que ça marche.
Maintenant va dans VPN. Coche NAT Traversal. Dans Local, mets Subnet adress comme Adress Type. Ensuite Starting IP Adress, tu mets l'adresse de ton sous réseau coté Zywall (on va dire 192.168.1.0, ce qui veut dire que ta passerelle linux et ton client Win sont sur un sous reseau different, par ex 192.168.10.0). Masque de sous reseau tu mets ton masque (255.255.255.0 surement).
Remote, Adress Type : Single Adress. Starting IP adress: 0.0.0.0.
DNS Server : IP de ton serveur DNS sur le Lan du Zywall (pas obligatoire).
My IP Adress : 0.0.0.0 Secure gateway adress : 0.0.0.0.
Encapsulation mode : Tunnel et ESP (c'est les seuls qui passent le NAT),.
Apres pour le choix des modes de cryptage (DES, AES...) libre a toi de choisir selon ce que tu veux.
Par contre, mauvaise nouvelle, le client VPN de Windows ne fonctionne pas avec les Zywall (car c un client L2TP/IPSec ou PPTP/IPSec).
Perso, j'utilise un soft qui s'appelle TheGreenBow, il fonctionne a merveille. De plus, ils sont un SAV tres compétent et réactif !
Je reste par là pour avoir de tes nouvelles
Marsh Posté le 23-12-2004 à 11:05:49
Le client windows fonctionne avec les zywall mais c difficile à mettre en place... la regle wan to wan est bonne je m'étais plantée
Marsh Posté le 23-12-2004 à 11:13:52
frisiam a écrit : Le client windows fonctionne avec les zywall mais c difficile à mettre en place... la regle wan to wan est bonne je m'étais plantée |
Alors là tu m'interesses beaucoup !
Mais je suis curieu de savoir comment ça peut marcher vu qu'ils n'utilisent pas les meme protocoles ? Tu en as entendu parler ou bien tu l'as mis en place ?
Marsh Posté le 23-12-2004 à 11:22:08
Et ben merci beaucoup pour ton aide petoulachi!
J'ai juste une question à te poser, ça sert à quoi l'option "log : both"?
J'ai apporté les modifs au niveau du zywall, maintenant il ne me reste plus qu'à configurer mon iptables sous linux pour faire de l'ipsec passthrough.
Je vais faire des recherches pour savoir comment faire ça et dès que j'aurais testé je vous préviens du résultat
Encore un grand merci!!!
Marsh Posté le 23-12-2004 à 11:41:10
L'option log:both te permettra, quand tu essaieras de monter ton tunnel, de vérifier au niveau des logs de ton firewall qu'il reçoit bien tes flux. Tu auras dans tes logs quelque chose ressemblant a ça :
12/06/2004 15:51:06 |82.125.132.171:500 |192.168.0.2:500 |ACCESS FORWARD Firewall rule match: UDP (W to W/ZW, rule:1)
Marsh Posté le 23-12-2004 à 11:43:36
Je l'avais mis en place avec du 2000 du temps où je travaillais encore chez zyxel et cela fonctionnait il faudrait que je retrouve la procédure. Mais c'était pas évident à mettre en place. Par contre avec xp jamais testé. XP comme 2000 utilise l'ipsec qui et le même protocole qu'utilise le zywall donc pas de soucis. Les procoles l2tp/ipsec et pptp/ipsec n'existe pas, ce qui existe c'est l2tp, pptp et ipsec (norme rfc)
Et au pire pour faire fonctionner un vpn avec xp ou 2000 on utilise du PPTP ou du L2TP de chaque côté du tunnel en ouvrant les ports qui vont bien pour ces protocoles sur le zywall (mais c moins sécurisé et ce n'est pas le zywall qui sert de serveur).
Pour les logs: both je ne me rappelle plus si ce sont les logs des paquets entrant et sortants ou les logs des paquets acceptés et rejetés, il faudrait que tu me dises les autres options
Marsh Posté le 23-12-2004 à 12:06:53
frisiam a écrit : Je l'avais mis en place avec du 2000 du temps où je travaillais encore chez zyxel et cela fonctionnait il faudrait que je retrouve la procédure. Mais c'était pas évident à mettre en place. Par contre avec xp jamais testé. XP comme 2000 utilise l'ipsec qui et le même protocole qu'utilise le zywall donc pas de soucis. Les procoles l2tp/ipsec et pptp/ipsec n'existe pas, ce qui existe c'est l2tp, pptp et ipsec (norme rfc) |
Heu pourtant, dans les configs d'un VPN windows il est marqué L2TP/IPSec. Et si je me souviens bien de mes cours, L2TP n'est là que pour émuler une interface reseau, ensuite on se sert de IPSec pour cripter les données. Mais je peux me tromper
Et si tu peux retrouver la procédure ça m'interesse énormément !
frisiam a écrit : |
Oui ça ok, mais dans mon cas je veux que cela soit le Zywall qui fasse serveur VPN
frisiam a écrit : |
Le Both permet de logger uniquement les paquets acceptés et rejetés pour la regle, donc dans notre cas, les paquets acceptés ou refuser sur le Wan to Wan
Marsh Posté le 23-12-2004 à 20:42:51
Bon ben me revala et je ne suis pas content du tout car ça ne marche toujours pas!!!
Ca m'embete quand même...
Du côté de mon serveur nux chez moi j'ai tenté plusieurs trucs pour laisser passer le traffic vpn mais rien y fait!!!
vala un essai:
--------------
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
et en vala un autre radical mais marche pas:
-------------------
iptables -t filter -P FORWARD ACCEPT
Faut-il faire de la redirection de port?
J'ai tenté la connexion avec greenbow, mais aussi avec ipsec dial client.
S'il vous plait, j'ai encore besoin d'aide.
MERCI
Marsh Posté le 20-12-2004 à 10:41:23
Bonjour
Voici tout d'abord le synoptique de mon installation:
|Poste1|--|Poste2|--Modem--(Internet)--Modem--Routeur/Firewall--|Poste3|
-Poste1: Client windows XP Pro
Ip: 192.168.1.4
-Poste2: Serveur linux servant de passerelle internet et établit la connexion au net.
Ip locale: 192.168.1.1
Ip internet dynamique
-Routeur: Zywall 10W
VPN configuré en IPSEC(obligatoire, pas d'autre possibilité) avec clé pré-partagée, mode tunnel, niveau de sécurité ESP et IKE
Ip internet fixe: xxx.xxx.xxx.xxx
-Poste3: XP Pro
Ip: 192.168.1.100
J'ai donc un serveur VPN configuré au niveau de mon routeur et du côté de mon client (Poste1) je n'arrive pas à établir la connexion au VPN.
J'ai lu multiples documentations à ce sujet et je suis toujours bloqué.
J'ai utilisé l'assistant intégré de connexion VPN de XP mais après quelques recherches j'ai lu qu'il fallait utiliser une stratégie de sécurité IP. Donc j'ai créé et attribué une stratégie de sécurité IP sur le poste1 avec exactement les mêmes paramètres de sécurité et d'encryptage que mon serveur VPN mais ça ne fonctionne toujours pas.
Cela pourrait-il venir de mon iptables sur le poste2 sachant que ma chaîne FORWARD est en policy ACCEPT?
Faut-il que je fasse du port forwarding au niveau de mon iptables?
Normalement le cryptage ESP est supporté par le NAT.
Je suis perdu, je n'y arrive pas mais je n'abandonne que très rarement et là j'aurais besoin d'un coup de pouce svp!
Si quelqu'un pouvait m'aider sur le sujet, me donner des pistes, ou encore mieux si quelqu'un a la même configuration pourrait-il me guider?
Merci d'avance!