Associations de sécurité IPSec / L2TP

Associations de sécurité IPSec / L2TP - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 09-08-2008 à 14:01:40    

Bonjour je mets actuellement en place un VPN IPSec / L2TP à travers du NAT ( bouhh c'est pas bien ! ! ! ) sur un vulgaire routeur D-Link grâce à un Windows 2003 Server.  
 
J'ai créer les stratégies de sécurité IP entre mon serveur et les clients nomades avec des certificats de sécurité. J'ai placé les règles "négocier la sécurité" sur le 2003 et "autoriser" sur le client.
 
Lorsque je lance la connexion du client j'ai une SA en mode normale et une SA en mode rapide sur le serveur et idem sur le client. Or apparemment il faut deux SA dans chaque mode sur chaque machine. Chaque SA correspondant au trafic d'entré/sortie. Je voudrais que vous me confirmiez cela.
 
Sinon mis à part mes SA je n'arrive pas à établir le tunnel L2TP j'ai comme erreur sur le client : " la ligne téléphonique est occupé ". Je n'ai pas trouvé à quoi cette erreur correspond.
 
J'ai activé le NAT-T sur le 2003 et sur mon client XP. J'ai ouvert les ports UDP 500/4500 et le port TCP 1701 pour L2TP sur les deux machines.
 
Le problème vient-il du NAT ? Si oui est-ce qu'en mettant un simple modem sur le 2003 au lieu d'un routeur je résoudrais le problème.
Les personnes qui m'entourent ne maitrise pas bien le sujet et les documentations dans le cas de mon architecture sont quasi nulle ou ne répondent pas à mon problème.
 
En gros je sèche et j'ai besoin de vous  :love:  

Reply

Marsh Posté le 09-08-2008 à 14:01:40   

Reply

Marsh Posté le 09-08-2008 à 17:26:55    

Humm
 
Sauf erreur il faut faire une bidouille sur le poste client pour que cela fonctionne.
 
Essaye de faire ca dans la registry de ton client XP:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
 
Tient nous au courrant!
 
Sinon, si le client est sur le même LAN que le server, ca fonctionne?


Message édité par fun_key le 09-08-2008 à 17:28:57
Reply

Marsh Posté le 10-08-2008 à 01:38:14    

La bidouille sur XP :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002  
 
Je l'ai faites par contre j'ai pas testé en LAN :D je tente ça lundi et je poste le résultat. Merci de la rep :) a bientôt j'espère ;)

Reply

Marsh Posté le 12-08-2008 à 12:02:26    

Alors je viens de vérifié en LAN j'ai les mêmes symptônes qu'à travers le web. Ca me rassure un peu sur le fait que ça doit pas venir de problèmes venant du routage des paquets ou des NAT. Cependant lors de mes tests en LAN ce matin j'ai remarqué une chose. Avant je n'avais pas de règle en négociation de sécurité. Maintenant je les ai.
 
J'ai mon serveur qui à la règle négocier la sécurité ( négocier ) et mon client qui à la règle négocier ( négocier ) avec le protocole ESP / 3DES/ SHA1.
 
Les règles concernent tous les réseaux. Sur le serveur j'ai mis , source : toutes IP, destination : Mon adresse IP et sur le client j'ai mis source : Mon adresse, destination : adresse spécifique ( IP du serveur) et j'ai activé le mirroir. La règle concerne tout les protocoles.  
 
Lors de la communication j'ai mes associations de sécurité en mode rapide et en mode normale. J'ai les SPI, aucun erreur lors des transferts de données. Je vois aussi une règle L2TP Require Encryption Quick Mode qui s"affichait pas avant. Je crois que je suis sur la bonne voie cependant il me reste du chemin et j'arrive pas à lire la carte  :bounce:  
 
Est ce que cela vous éclaire pour le diagnostique. Je suis à votre écoute. Aidez-moi svp.


Message édité par seb-info le 12-08-2008 à 12:07:00
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed