Pb phase 2 VPN Netasq
Pb phase 2 VPN Netasq - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 07-12-2009 à 10:53:55
bonjour,
je vois 2 pistes :
*revérifier les propriétés cryptographiques pour la phase 2 ( hash, chiffrement, groupe DH, )
* vérifier les paramètres d'adressages entre les peers pour le réseau
( je vois 2 message perturbants:
au début :
12-04: 14:17:26.156 My Connections\sct - Initiating IKE Phase 1 (IP ADDR=*.*.*.*)
à la fin un " 12-04: 14:18:30.390 My Connections\sct - Deleting IKE SA (IP ADDR=*.*.*.*) "
ce qui veux dire qu'il ne trouve pas le réseau à sécuriser , mais uniquement tes peers :
12-04: 14:17:30.390 Initiator = IP ADDR=10.0.0.1, prot = 0 port = 0
12-04: 14:17:30.390 Responder = IP SUBNET/MASK=172.24.42.12/255.255.254.0, prot = 0 port = 0
enfin, je ne comprends pas ce message :
"Floating to IKE non-500 port "
normalent, c'est bien UDP/500 pour transporter tes messages..
bon courage!
Marsh Posté le 07-12-2009 à 10:59:41
Bonjour Gizmo et d'abord Merci pour ta réponse,
Les * ds l'ip adresse sont faites pour ne pas que l'on connaisse l'ip de mon client, en réalité j'ai bien l'ip publique qui apparait.
Pour le moment je me dirige vers un pb de VPN passtrough ou de Nat, effectivement l'erreur "IKE non-500 port" m'ennuie aussi.
Je suis la tête sous l'eau car je n'ai aucune aide de la part de Netasq, je vais commencer par vérifier ces pistes et je vous tiens au courant si je trouve ma solution.
Merci encore,
Bonne journée à toi.
Marsh Posté le 27-03-2012 à 16:24:21
as tu ouvert le ESP ip_p=50 comme protocole sur ton firewall?
pour que le tunnel s'établisse, il te faut au moins UDP/500 et aussi ESP ou AH ... ( quand je vois timeout , ça m'a fait tilté)
Sujets relatifs:
- Problème IPSec netasq et accès internet
- Config VPN IPSec Win Server 2003
- Mise en place d’un VPN avec SFR 9pass + W2K3 Server
- analyse trames SMB sur reseau VPN
- Problème DNS et IP server avec VPN sur windows 2008
- Firewall Netasq et Cacti
- VPN sous OpenSUSE 11.1
- VPN : modem numericable + routeur/firewall cisco 520W
- [résolu] problème de Ping via une connexion VPN vers un serveur win2k3
- Pb Exchange 2007 - Erreur 451 4.4.0 DNS query failed
Marsh Posté le 04-12-2009 à 14:32:06
bonjour à tous,
bon voila mon souci, je travaille sur Arkoon mais on vient de récupérer un client avec un Netasq f200, le boitier me semble pas mal du tout mais je n'arrive pas à monter mon lien VPN. La phase 1 est Ok mais la phase 2 bloque et je n'arrive pas à trouver ou malgrés mes recherches sur internet.
voila le log du client Safenet :
12-04: 14:17:26.156
12-04: 14:17:26.156 My Connections\sct - Initiating IKE Phase 1 (IP ADDR=*.*.*.*)
12-04: 14:17:27.296 My Connections\sct - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
12-04: 14:17:27.734 My Connections\sct - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 2x, VID)
12-04: 14:17:27.734 My Connections\sct - Peer is NAT-T draft-02 capable
12-04: 14:17:27.734 My Connections\sct - NAT is detected for Client
12-04: 14:17:27.734 My Connections\sct - Floating to IKE non-500 port
12-04: 14:17:27.734 My Connections\sct - Peer supports Dead Peer Detection Version 1.0
12-04: 14:17:27.734 My Connections\sct - Dead Peer Detection enabled
12-04: 14:17:30.031 My Connections\sct - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
12-04: 14:17:30.031 My Connections\sct - Established IKE SA
12-04: 14:17:30.031 MY COOKIE c5 f5 e0 78 f8 4d 93 f6
12-04: 14:17:30.031 HIS COOKIE 91 cc 16 a5 c4 bb c8 27
12-04: 14:17:30.218 Virtual Interface constructed for local interface 10.0.0.1
12-04: 14:17:30.265 Virtual Interface added: 10.0.0.1/255.0.0.0 on ISDN "SafeNet VA miniport".
12-04: 14:17:30.390 My Connections\sct - Initiating IKE Phase 2 with Client IDs (message id: FD6B536)
12-04: 14:17:30.390 Initiator = IP ADDR=10.0.0.1, prot = 0 port = 0
12-04: 14:17:30.390 Responder = IP SUBNET/MASK=172.24.42.12/255.255.254.0, prot = 0 port = 0
12-04: 14:17:30.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-04: 14:17:30.390 My Connections\sct - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:STATUS_INITIAL_CONTACT)
12-04: 14:17:45.390 My Connections\sct - QM re-keying timed out. Retry count: 1
12-04: 14:17:45.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(Retransmission)
12-04: 14:18:00.390 My Connections\sct - QM re-keying timed out. Retry count: 2
12-04: 14:18:00.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(Retransmission)
12-04: 14:18:15.390 My Connections\sct - QM re-keying timed out. Retry count: 3
12-04: 14:18:15.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(Retransmission)
12-04: 14:18:30.390 My Connections\sct - Exceeded 3 re-keying attempts (message id: FD6B536)
12-04: 14:18:30.390 My Connections\sct - Disconnecting IKE SA negotiation
12-04: 14:18:30.390 My Connections\sct - Deleting IKE SA (IP ADDR=*.*.*.*)
12-04: 14:18:30.390 MY COOKIE c5 f5 e0 78 f8 4d 93 f6
12-04: 14:18:30.390 HIS COOKIE 91 cc 16 a5 c4 bb c8 27
12-04: 14:18:30.406 My Connections\sct - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)
12-04: 14:18:30.531 Interface lost: 10.0.0.1
12-04: 14:18:30.546 Filter table loaded.
si l'un d'entre vous à une idée je suis preneur.
Merci