Pas de réponse :((

A défaut de me donner LA soluc, quelqu'un pourait il me mettre sur une piste SVP...

Le cryptage ESP est bien effectif entre mes 2 passerelles (j'ai vérifié avec ethereal) mais je n'arrive toujours pas à faire comuniquer mes 2 LAN (enfin mes 2 clients dans mon test).

Si ce n'est pas clair, je vous donnerais des précisions avec plaisir. Mais je débute sous linux et çà va faire 3 semaines que je suis sur se problème et il ne m'en reste que 3 autres pour finir (je suis en stage)

Merci d'avance

Salut :)

Tu devrais avoir des interfaces ipsecX créées avec le tunnel ... que donne ifconfig ?? (sans les IP)

En fait tu arrives à voir l'interface LAN du routeur, ce qui est normal tu es dans le routeur quand tu sors du tunnel.

Je pense que c'est un problème de filtrage entre l'interface ipsec et l'interface du lan ...

Je fais en fait une comparaison à serveur PPTP, la création du tunnel s'établit , par contre aucun moyen de communiquer avec les machines clientes dans le LAN... il a suffit d'autoriser le traffic entre l'interface ppp (le tunnel) et celle du lan ...

Quelle est ta solution de filtrage actuelle ?? Qu'as tu fait pour l'instant concernant le filtrage ?
Luc L.
[Gentoo] enfin :Þ

Re :)

Arf plus dur :)

Je n'ai jamais eu l'occasion de bosser juste avec IPsec ds le kernel ... par contre openswan (freeswan est abandonné .. enfin bon) utilise bien l'implémentation d'ipsec dans le kernel ...

Donc mes propositions de solutions seront limitées ...

As tu regardé les tables de routage à tout hasard ?? ... car les passerelles savent "par ou passer" pour pinger les adresses locales (paramétré lors de la création du tunnel) :

VPNSRVA
ping 192.168.1.2 OK
ping 200.200.200.2 OK
ping 192.168.2.1 OK
ping 192.168.2.2 blocage (pas de réponse)

VPNSRVB
ping 192.168.2.2 OK
ping 200.200.200.1 OK
ping 192.168.1.1 OK
ping 192.168.1.2 blocage (pas de réponse)

Luc L.
[Gentoo] enfin :Þ

Re :)

Ce qui me parait bizarre c'est ca :

default * 0.0.0.0 eth0

Je mettrai plutot pour la passerelle par défaut eth1 ... en effet ce qui n'est pas connu par la table de routage est renvoyé sur le LAN "source" si eth0 est la route par défaut ...


VPNSRVA :

destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
192.168.2.0 200.200.200.2 255.255.255.0 eth1
default * 0.0.0.0 eth1

VPNSRVAB:

destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
192.168.1.0 200.200.200.1 255.255.255.0 eth1
default * 0.0.0.0 eth1

Je trouve ca plus propre ...

Sinon j'ai un autre doute ... à propos du NAT , qu'as tu mis en place ?
Luc L.
[Gentoo] enfin :Þ

Et soudain une idée me vint :))

Sans Ipsec arrives tu à communiquer entre clients du LAN ??

Si ce n'est pas le cas le problème de routage en est la cause :)
Luc L.
[Gentoo] enfin :Þ

Aie Aie Aie :((

C'est encore pire ;)

les clients ne ping plus leur passerelle!

et il n'y a plus de cryptage ESP quand les passerelles communique!!


Sinon je n'est parametré aucun NAT

Apparement, si je mets en place un routage différent de l'original (par exemple celui que tu m'as proposé), mes SPD ne s'applique plus!!

les clients ne ping plus leur passerelle!

Ca c'est très étonnant ...

As tu essayé SANS IPSEC de communiquer entre les deux réseaux ??

Car au départ je doute que cela fonctionnait à cause des tables de routage fournies au départ ...

Essaye sans ipsec et configure tes deux réseaux (je dirai meme 3 :) pour qu'ils communiquent parfaitement...

Rassure toi , le problème de VPN est souvent lié au problème de routage :)

On va y arriver :Þ

Luc L.
[Gentoo] enfin :Þ

Désolé mais je ne vois pas trop comment faire :(
(je te rappel que je suis un nOob en linux et encore + en VPN)

Comment tu me conseil de m'y prendre pour tester çà?

supprimer mes SPD? mon setkey.conf?


merci d'avance de prendre pitié d'un débutant avide de connaissance ;)

Re :)

Donc voici en résumé si j'ai bien compris :

http://www.trax.fr.st/VPN.jpg

Ca correspond à ton installation ?

Voici ce que je propose (d'autres CCMiens peuvent participer pour confirmer ou infirmer mes dires ... :)

VPNSRVA:

destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
default 200.200.200.2 0.0.0.0 eth1

VPNSRVAB:

destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
default 200.200.200.1 0.0.0.0 eth1

On va essayer de cette manière , car tout ce qui n'est pas connu sera envoyé à l'autre routeur et vice versa pour chacun des routeurs ...

Tu aurais déja du auparavant essayer de tester ta configuration sans IPSEC ...

je te rappel que je suis un nOob en linux et encore + en VPN

--> je ne t'en voudrais pas :)

merci d'avance de prendre pitié d'un débutant avide de connaissance ;)

--> Il n'est pas question de pitié :) , l'envie d'apprendre est une qualité à mon avis ;)

Bref ...

supprimer mes SPD? mon setkey.conf?

Je ne te conseille pas de tout dégager ... à moins que tu ne saches le refaire rapidement ... je te propose de flusher simplement la politique IPsec (flush et spdflush) sur les deux machines , non ??

Une fois tout ca vidé , teste ta connexion entre les deux réseaux ... apres tu pourras partir sur de bonnes bases.
Luc L.
[Gentoo] enfin :Þ

Re :)

Effectivement , je pense que la config est mauvaise au niveau du routage et non au niveau de la mise en place d'IPsec (qui au passage a l'air correcte)


Je suis attendu a 16h50 , je te propose que l'on essaie de résoudre ce petit problème ce soir apres 20h00 ou 21h00.


En attendant, il faudrait essayer de reprendre mon premier exemple de routage (qui me parait correct) :

VPNSRVA :

destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
192.168.2.0 200.200.200.2 255.255.255.0 eth1
default * 0.0.0.0 eth1

VPNSRVAB:

destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
192.168.1.0 200.200.200.1 255.255.255.0 eth1
default * 0.0.0.0 eth1

On essaiera +tard avec du NAT ...

Si tes 2 réseaux communiquent convenablement tu peux remettre en place la stratégie ipsec...

A ce soir.

@+
Luc L.
[Gentoo] enfin :Þ

Salut :)

Je ne me doutais pas que tu aurais oublié cette ligne (qui est tout de meme basique pour un routeur :)

echo 1 > /proc/sys/net/ipv4/ip_forward

Bref il s'agissait d'un problème de routage et non de ton ipsec , qui je le rappelle était nikel.

Les quelques infos que tu m'avais données :

Sinon concernant le filtrage je n'est absolument rien fait :(

Or tu as fait ca : iptables -A FORWARD -j ACCEPT .

Iptables est la commande pour le filrage, logiquement par défaut tout est ouvert au niveau des parfeu, sinon tu n'aurais meme pas pu créer ton tunnel (notamment avec l'esp).

Bref c'est cool que ca fonctionne :)

Faire partager ce que tu as fait est bénéfique pour tout le monde, je serai le premier à lire ta doc :)

Pour déposer une documentation sur CCM c'est ici :

http://www.commentcamarche.net/ccmdoc/ajoutdoc.php3

Tu peux également nous donner un lien...

Bonne journée Dams :)
Luc L.
[Gentoo] enfin :Þ