VPN NetASQ - Echec phase 2

Marsh Posté le 12-03-2014 à 16:30:28

Bonjour à tous,

Après une après-midi de recherche, j'en appelle à votre savoir.

Sur un NetASQ 9.1 avec un client Shrewsoft, je n'arrive pas à établir un tunnel VPN (echec phase 2).

Voici les logs du NetASQ.

Code :

2014-03-12 16:20:49: DEBUG: getsainfo params: loc='0.0.0.0/0' rmt='10.10.0.0' peer='email@email.fr' client='80.215.X.X' id=4294967295
2014-03-12 16:20:49: DEBUG: evaluating sainfo: loc='172.31.16.0/20', rmt='10.10.0.0/20', peer='ANY', id=4294967295
2014-03-12 16:20:49: DEBUG: check and compare ids : value mismatch (IPv4_subnet)
2014-03-12 16:20:49: DEBUG: cmpid target: '0.0.0.0/0'
2014-03-12 16:20:49: DEBUG: cmpid source: '172.31.16.0/20'
2014-03-12 16:20:49: ERROR: failed to get sainfo.
2014-03-12 16:20:49: ERROR: failed to get sainfo.
2014-03-12 16:20:49: [80.215.96.65] ERROR: failed to pre-process ph2 packet (side: 1, status: 1).

Pourquoi ça bloque ?

Merci pour votre aide !

---------------
In my bed, but still_at_work.

Reply

Marsh Posté le 12-03-2014 à 16:30:28

Reply

Marsh Posté le 12-03-2014 à 17:08:56

As tu les regles de filtrage OK ? pour laisse passer les ports VPN Ipsec
La phase 1 est bien OK? tu es en mode agressif?

Les chiffrements de chaque coté tu as quoi ? aes, 3des par exemple?
L'authetification de chaque coté tu as quoi ? hmac_sha1, hmac_md( par exemple?
Tu as bien la même config de chaque coté ?

Reply

Marsh Posté le 14-03-2014 à 08:51:34

Pour les règles, c'est OK, la phase 1 aussi, c'est vraiment sur la phase 2 que ça plante.

Mode agressif, OK aussi des deux côtés.

Pour le netASQ, voici ce que j'ai :

Code :

Paramètres d'authentification :
Mode : AGGRESSIVE
Type : psk
Local ID :
Profil de chiffrement IKE (Phase 1) :
Diffie-Hellman : Group 2 (Modp 1024)
Durée de vie : 21600
Propositions : sha1/160,des/64
Profil de chiffrement IPsec (Phase 2) :
Perfect Forward Secrecy (PFS) : Group 2 (Modp 1024)
Durée de vie : 3600
Authentification : hmac_sha1/160
Chiffrement : des/64

Pour le client :

Code :

Phase 1 :
Exchange Type : Aggressive
DH Exchange : Groupe 2
Cipher Algorithm : des
Hash Algorithm : sha1
Key Life Time limit : 21600
Phase 2 :
Transform Algorithm : esp-des
HMAC Algorithm : sha1
PFS Exchange : group2
Compress Algorithm : disabled
Key Life Time limit : 3600

Ca semble concorder non ?

---------------
In my bed, but still_at_work.

Reply

Marsh Posté le 14-03-2014 à 09:27:51

Salut,
le HMAC sur le client peut ce régler entre 128 et 160 bits ?
Je ne vois que ça qui peut différer entre les deux.
A+

---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/

Reply

Marsh Posté le 14-03-2014 à 09:53:23

J'ai forcé des deux côtés en 256, toujours le problème.

---------------
In my bed, but still_at_work.

Reply

Marsh Posté le 14-03-2014 à 11:54:31

Ca fonctionne nickel avec Thegreenbow, avec mêmes paramètres...

Il doit y avoir une option quelque part que j'ai pas vu...

---------------
In my bed, but still_at_work.

Reply

Marsh Posté le 14-03-2014 à 19:54:23

J'avais déjà eu ce souci. Et c'était du aux "bornes" réseaux.

Ne pas mettre "Network_internals" dans "réseau local"

Dans shrew soft, onglet policy puis "remote network ressource" mettre le même réseau et même masque que "réseau local" sur le netasq >> cf screenshot

Reply

Marsh Posté le 17-03-2014 à 08:35:24

Même problème, c'est vraiment étrange...

---------------
In my bed, but still_at_work.

Reply

Marsh Posté le 20-03-2014 à 07:14:18

Faudrait voir toute la config.
Mais cela pourrait compromettre la sécurité...
J'ai déjà monter un vpn shrewsoft avec un netasq 9.1 et cela fonctionne.
Tu le fais en psk, certificat?

Reply

Marsh Posté le 20-03-2014 à 08:13:48

En PSK, au niveau phase 1 et phase 2 ça coïncide entre le client et le serveur.

Je comprend pas ce qu'il se passe. Bref, c'est pas très grave, ça fonctionne avec TheGreenBow.

---------------
In my bed, but still_at_work.

Reply

VPN NetASQ - Echec phase 2

Sujets relatifs:

Leave a Replay