VPN Certificat

VPN Certificat - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 13-06-2007 à 16:16:26    

Bien le bonjour à tous!  
 
Actuellement en stage je crées moultes VPN par le biais de l'assistant windows XP. Non content d'avoir deja reussi cet exploit, car oui pour moi c'est un exploit, je decidames(preterit) d'agrementer ces connexions par l biais de l'authentification par certificat!!
 
Malgré de nombreux essai je n'arrive toujours pas àetablir une connexion par le biais de ces certificats, je ne sais pas ce que je ais de mal mais je sais que qlq chose cloche!!
 
Comment faire, coté serveur? cote client?  l'autorite de certification??   ahh je n'en peu plus et m'en remets à vous.
 
A votre bon coeur msieu dame! Je sis au bord du gouffre!! Non serieusement j'ai besoin d'aide..
 
Merci d'avance à vous tous!!

Reply

Marsh Posté le 13-06-2007 à 16:16:26   

Reply

Marsh Posté le 13-06-2007 à 20:17:03    

RE
 
Petit rappel :  Les connexions VPN sont réalisées sous WinXP
 
Aprés avoir crée mes certificats et paramétré la connexion VPN comme il se doit le message suivant apparait :
 
"...certificat ne peut pas être utilisé avec le protocole EAP"
 
Merci d'avance pour toutes reponses. (J'accepte les simples messages de soutien lol)

Reply

Marsh Posté le 26-06-2007 à 09:58:14    

Egalement en stage, j'ai exactement le même problème et j'utilise un firewall Netasq et un le client VPN "the greenbow"...
 
En fait, j'ai créé un certificat par l'intermédiaire de mon firewall qui je suppose contient la clé privée, et de plus j'ai un certificat utilisateur sur le pc qui devrait il me semble contenir la clé public...  
Or, lorsqu'on me demande d'importer un certificat sur le client VPN, il n'accepte que le certificat utilisateur mais aucun moyen d'exporter le certificat VPN créé avec le firewall...est ce normal? comment tu t'y es pris pour ta part pour établir une connexion?  
 

Reply

Marsh Posté le 26-06-2007 à 13:28:52    

tout dépends de ce que vous voulez faire : une authentification "cliente" est la plus siimple ( mais vous pouvez implémenter une authentification mutuelle)   : le serveur vpn possède une CA locale, a partir de cette CA, on génére un certificat "client".
on dépose ce certificat sur le poste client, et on active l'authentification par certificat.
 
quand l'utilisateur souhaite monter son tunnel, le client "propose" son certificat au serveur : celui ci le valide en utilisant sa CA locale. si le certifcat est ok ( non révoqué, etc...), alors le tunnel se monte.
 
des détails ici :
http://www.microsoft.com/technet/p [...] x?mfr=true
 
 
sinon il faut regarder du coté 802.1x + certificat

Reply

Marsh Posté le 26-06-2007 à 16:26:51    

ok je vois, dans mon cas il s'agit d'une authentification cliente. Or, dans la configuration du client VPN, on me demande de préciser un "remote ID" qui est soit un email, une adresse IP, un KEY ID, un DNS ou encore un Domain name...Or, je les ai tous testé  en cherchant l'ID dans la CA  ou le cetificat cleitn et à chaque fois que je tente d'établir une connexion, cela échoue car le remote ID n'est pas celui attendu....
A quoi doit correspondre ce remote ID?

Reply

Marsh Posté le 27-06-2007 à 09:06:38    

issus de google:
 
"Remote ID Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir du routeur VPN
distant. Suivant le type sélectionné, cet identifiant peut être :
· une adresse IP (type = Adresse IP), par exemple : 80.2.3.4
· un nom de domaine (type = FQDN), par exemple : routeur.mondomaine.com
· une adresse email (type = USER FQDN), par exemple :
admin@mydomain.com
· une chaîne de caractères (type = KEY ID), par exemple : 123456
· Quand cet paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN
qui est utilisée par défaut."

Reply

Marsh Posté le 26-07-2007 à 16:59:59    

merci Gizmo ( ou google) pour ces infos.
Mais maintenant, j'ai un nouveau souci: j'ai message d'erreur de type"INVALID COOKIE" en phase 1
Qd je vais voir sur le site du support "The Greenbow" , je vois que ce genre d'erreur peut provenir d'une "Security Association" utilisée par l'une des deux extrémités du tunnel et qui n'est plus en service, comment vérifier cela?

Reply

Marsh Posté le 26-07-2007 à 17:02:43    

si tu as un problème dans la SA, tu dois d'abord vérifier que les paramètres de crypto sont les meme entre chaque peer et que tu n'as aucun élément qui filtre entre les 2 ( pour laisser passer UDP/500 ..)

Reply

Marsh Posté le 26-07-2007 à 17:15:07    

en effet, j'avais déjà vérifié" mes paramètre de crypto qui sont bien les mêm de chaque côté: AES 128.  
Avec les mêmes paramètres et dans les mêmes conditions, j'arrive à monter un tunnel IPsec à base de clés pré-partagés,donc à priori rien ne filtre entre les 2 , donc je me demande si ça ne peut pas venir des certificats...

Reply

Marsh Posté le 27-07-2007 à 09:48:05    

quel est le message dérreur complet ?

Reply

Marsh Posté le 27-07-2007 à 09:48:05   

Reply

Marsh Posté le 27-07-2007 à 10:24:41    

c'est assez étrange, jusqu'à hier j'avais encore une erreur du type "INVALID COOKIE"
Mais aujourd'hui, l'erreur n'est pas clairement identifiée....
Voici le détail de mes logs qd je tente d'ouvrir un tunnel:
 
20070627 102101 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID]
20070627 102102 Default (SA tgbtest-P1) RECV phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [CERT] [CERT_REQ] [SIG] [NAT_D] [NAT_D] [VID] [VID] [VID]
20070627 102102 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [CERT] [SIG] [NAT_D] [NAT_D]
20070627 102102 Default phase 1 done
20070627 102102 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 102109 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 102112 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [CERT] [SIG] [NAT_D] [NAT_D]
20070627 102122 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102132 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE
20070627 102132 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102142 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102147 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE
20070627 102152 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102202 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE

Reply

Marsh Posté le 27-07-2007 à 11:03:48    

sans rien changer, j'ai une nouvelle erreur...incompréhensible
 
20070627 110434 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE
20070627 110436 Default IKE daemon is removing SAs...
20070627 110438 Default (SA tgbtest-P1) SEND Informational  [HASH] [DELETE]
20070627 110438 Default <tgbtest-P1> deleted
20070627 110443 Default Reinitializing IKE daemon
20070627 110443 Default IKE daemon reinitialized  
20070627 110443 Default message_recv: invalid cookie(s) ee7aa66575f42d50 46cd7da6b35e9d49
20070627 110443 Default dropped message from 81.56.254.101 due to notification type INVALID_COOKIE
20070627 110443 Default (SA <unknown> ) SEND Informational  [NOTIFY] with INVALID_COOKIE error
20070627 110452 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID]
20070627 110452 Default (SA tgbtest-P1) RECV phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [CERT] [SIG] [NAT_D] [NAT_D] [VID] [VID] [VID]
20070627 110452 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [SIG] [NAT_D] [NAT_D]
20070627 110452 Default phase 1 done
20070627 110452 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 110452 Default message_parse_payloads: invalid next payload type 114 in payload of type 8
20070627 110452 Default dropped message from 81.56.254.101 due to notification type INVALID_PAYLOAD_TYPE
20070627 110452 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] with INVALID_PAYLOAD_TYPE error
20070627 110459 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 110502 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [SIG] [NAT_D] [NAT_D]
20070627 110503 Default message_parse_payloads: reserved field non-zero: 15
20070627 110503 Default dropped message from 81.56.254.101 due to notification type PAYLOAD_MALFORMED
20070627 110503 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] with PAYLOAD_MALFORMED error

Reply

Marsh Posté le 27-07-2007 à 12:07:56    

revérifie ta pre shared secret, souvent ça vient de là ...
si tu t'authentifies avec certificat vérifie qu'ils sont bon
et surtout
 
vérifie l'heure sur chaque serveur !! ça doit etre en ntp !

Reply

Marsh Posté le 31-07-2007 à 11:48:41    

que veux tu dire par "pre shared secret"? si tu parles de la pre shared Key, je m'authentifie avec un certificat. Donc, dans ce cas, quels paramètres vérifier pour savoir si le certificat est bon?

Reply

Marsh Posté le 31-07-2007 à 21:33:30    

pour voir si un certificat est bon, il faut regarder la date de validité par exemple, si tu as créé ton certificat a partir d'une VRAIE CA ou s'il est selfsigné ...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed