Flux rss
Collection CommentCaMarche.net
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Résolu

[OpenBSD] mise ne place d'un VPN

Géca, le mercredi 27 juillet 2005 à 12:42:09
Bonjour,

j'essaye de mettre en place un VPN entre deux sites connectés à internet en adsl chez wanadoo. 

LAN 2------------ rl0 GW_B pppoe0 ---- net ---- tun0 GW_A rl0 ------------ LAN 1
192.168.2.0/24    .20                                     .20     192.168.1.0/24


Pour le moment les deuw passerelles GATEWAY-A et GATEWAY_B font offices de routeur, firewall (pf) et cache DNS.

Pour le moment les firewalls autorisent les connexions vers internet sur les ports tcp et udp suivant :
tcp_allow = "{ 80, 8080, 21, 20, 443, 110, 995, 25, 465, 1863, 7080, 53, 22, 113, 8021 }"
udp_allow = "{ 123, 53 }"

les fiewalls bloquent toutes les connexions entrantes sauf sur le port tcp 22 (ssh).

J'ai suivi l'exemple de configuration manuelle du man vpn : http://www.openbsd.org/cgi-bin/man.cgi?query=vpn&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html

J'ai adatpté l'éxemple à ma configuration :
GATEWAY_A=83.112.80.229
GATEWAY_B=83.112.181.6
NETWORK_A=192.168.1.0/24
NETWORK_B=192.168.2.0/24
ENCRYPTION_KEY_FILE=/somewhere/enc_key
AUTHENTICATION_KEY_FILE=/somewhere/auth_key

Comme je ne métrise pas encore bien les mécanismes de clés privées / clés publics, les fichiers enc_key et auth_key sont strictement les même sur les deux machines.

Sur la GATEWAY_A, j'ai ajouté une ancre à mon fichier 
pf.conf
: 
anchor vpn

J'ai créé un fichier 
/etc/pf_vpn.conf
: 
GATEWAY_A = " 83.112.80.229"
GATEWAY_B = " 83.112.181.6"
NETWORK_A = "192.168.1.0/24"
NETWORK_B = "192.168.2.0/24"

# default deny
block in log on enc0 all
block out log on enc0 all

# Passing in encrypted traffic from security gateways
pass in proto esp from $GATEWAY_B to $GATEWAY_A
pass out proto esp from $GATEWAY_A to $GATEWAY_B

# Need to allow ipencap traffic on enc0.
pass in on enc0 proto ipencap all

# Passing in traffic from the designated subnets.
pass in on enc0 from $NETWORK_B to $NETWORK_A
pass out on enc0 from $NETWORK_A to $NETWORK_B

# Passing in isakmpd(8) traffic from the security gateways
pass in on tun0 proto udp from $GATEWAY_B port = 500 to $GATEWAY_A port = 500
pass out on tun0 proto udp from $GATEWAY_A port = 500 to $GATEWAY_B port = 500


Sur la GATEWAY_B, j'ai ajouté une ancre à mon fichier 
pf.conf
: 
anchor vpn

J'ai créé un fichier 
/etc/pf_vpn.conf
: 
GATEWAY_A = " 83.112.80.229"
GATEWAY_B = " 83.112.181.6"
NETWORK_A = "192.1.1.0/24"
NETWORK_B = "192.1.2.0/24"

# default deny
block in log on enc0 all

# Passing in encrypted traffic from security gateways
pass in log proto esp from $GATEWAY_A to $GATEWAY_B
pass out proto esp from $GATEWAY_B to $GATEWAY_A

# Need to allow ipencap traffic on enc0.
pass in log on enc0 proto ipencap all

# Passing in traffic from the designated subnets.
pass in log on enc0 from $NETWORK_A to $NETWORK_B
pass out on enc0 from $NETWORK_B to $NETWORK_A

# Passing in isakmpd(8) traffic from the security gateways
pass in on pppoe0 proto udp from $GATEWAY_A port = 500 to $GATEWAY_B port = 500
pass out on pppoe0 proto udp from $GATEWAY_B port = 500 to $GATEWAY_A port = 500


Voici les résultats des configuration avec ipsecadm : 
GATEWAY_A# ipsecadm show
sadb_dump: satype esp vers 2 len 22 seq 0 pid 0
        errno 1: Operation not permitted
        sa: spi 0x00000104 auth hmac-sha1 enc 3des-cbc
                state larval replay 0 flags 4
        lifetime_cur: alloc 0 bytes 0 add 1122444791 first 0
        address_src: 83.112.80.229
        address_dst: 83.112.181.6
        key_auth: bits 160: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        key_encrypt: bits 192: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
sadb_dump: satype esp vers 2 len 22 seq 0 pid 0
        errno 1: Operation not permitted
        sa: spi 0x00000105 auth hmac-sha1 enc 3des-cbc
                state larval replay 0 flags 4
        lifetime_cur: alloc 0 bytes 0 add 1122444802 first 0
        address_src: 83.112.181.6
        address_dst: 83.112.80.229
        key_auth: bits 160: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        key_encrypt: bits 192: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

GATEWAY_B# ipsecadm show
sadb_dump: satype esp vers 2 len 22 seq 0 pid 0
        errno 188: Unknown error: 188
        sa: spi 0x00000104 auth hmac-sha1 enc 3des-cbc
                state larval replay 0 flags 4
        lifetime_cur: alloc 0 bytes 0 add 1122453570 first 0
        address_src: 83.112.80.229
        address_dst: 83.112.181.6
        key_auth: bits 160: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        key_encrypt: bits 192: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
sadb_dump: satype esp vers 2 len 22 seq 0 pid 0
        errno 188: Unknown error: 188
        sa: spi 0x00000105 auth hmac-sha1 enc 3des-cbc
                state larval replay 0 flags 4
        lifetime_cur: alloc 0 bytes 0 add 1122453582 first 0
        address_src: 83.112.181.6
        address_dst: 83.112.80.229
        key_auth: bits 160: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        key_encrypt: bits 192: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


Bizarement j'obtiens un message d'erreur différent sur les deux machines alors que sur l'exemple donné il ne devrait pas y en avoir.

Le résultat de la commande 
netstat -rn -f encap
: 
GATEWAY_A# netstat -rn -f encap
Routing tables

Encap:
Source             Port  Destination        Port  Proto SA(Address/Proto/Type/Direction)
192.168.2/24         0     192.1.1/24         0     0     83.112.181.6/50/require/in
192.168.1/24         0     192.1.2/24         0     0     83.112.181.6/50/require/out

GATEWAY_B# netstat -rn -f encap
Routing tables

Encap:
Source             Port  Destination        Port  Proto SA(Address/Proto/Type/Direction)
192.168.1/24         0     192.1.2/24         0     0     83.112.80.229/50/require/in
192.168.2/24         0     192.1.1/24         0     0     83.112.80.229/50/require/out


Apparement ça colle avec l'exemple.

J'active les ancres de mes firewall : 
GATEWAY_A# pfctl -a vpn:all -f /etc/pf_vpn.conf
GATEWAY_B# pfctl -a vpn:all -f /etc/pf_vpn.conf


Je test le ping sur l'une et l'autre machine : 
GATEWAY_A# ping -I 192.168.1.20 192.168.2.20
PING 192.168.2.20 (192.168.2.20): 56 data bytes
ping: sendto: No route to host
ping: wrote 192.168.2.20 64 chars, ret=-1
ping: sendto: No route to host
ping: wrote 192.168.2.20 64 chars, ret=-1
ping: sendto: No route to host
ping: wrote 192.168.2.20 64 chars, ret=-1
...

GATEWAY_B# ping -I 192.168.2.20 192.168.1.20
PING 192.168.1.20 (192.1.1.20): 56 data bytes
ping: sendto: No route to host
ping: wrote 192.168.1.20 64 chars, ret=-1
ping: sendto: No route to host
ping: wrote 192.168.1.20 64 chars, ret=-1
...


Et la c'est le drame. Le ping ne passe pas.

Est-ce que quelqu'un voit où je me suis trompé ?

Merci d'avance. 
▀▄▀▄▀▄
Configuration: GATEWAY_A : 
GATEWAY_B : 
   - OpenBSD 3.7-stable (GENERIC)
   - Intel Pentium II 350Mhz, 128 Mo de RAM
   - DD IDE Quantum Fireball 4 Go
   - 2 cartes réseaux : 
       - chip realtek 8029
       - chip realtek 8139
Répondre à Géca  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 Géca, le dimanche 28 août 2005 à 17:41:57
Bonjour,

Bon j'avance un peu sur ce problème.

J'arrive à mettre en place la procédure manuelle en environnement de test comme indiqué à la page de man vpn : http://www.openbsd.org/cgi-bin/man.cgi?query=vpn&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html

Le problème venait de mes règles sur Packet Filter.

Si on suit bien à la lettre le tuto tout fonctionne bien.

Je viens d'adapter un de mes fichiers pf.conf en conséquence. Pour le moment ça donne de bon résultats mais je n'en suis pas encore tout à fait au bout de mes tests.

Finalement si j'avais bien lu ce tuto jusqu'au bout j'aurais su où regarder pour résoudre mon problème : If any traffic is being leaked i.e. the last ping detailed above is showing traffic, it is suggested that the administrator review the steps above, paying particular notice to the firewall configuration procedures. Cette dernière phrase devrait être écrite en rouge avec une taille de police minimum de 24. 
▀▄▀▄▀▄
   
Répondre à Géca
Posez votre question Répondre

Résultats pour [OpenBSD] mise ne place d'un VPN

[VPN] L2TP/IPSEC (certificat) (Résolu) Bonjour, Je fais un peu de 3D, j'ai plusieurs ordinateurs distants les uns des autres qui peuvent m'aider à faire les rendus (grâce à backburner)! Donc je dois mettre en place un VPN. Alors j'ai utilisé le tutorial de ce site... - pour... www.commentcamarche.net/forum/affich-2612304-vpn-l2tp-ipsec-certificat
Installer un serveur VPN sous Windows XP Intérêt d'un VPN La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. Ce procédé est utilisé par de... www.commentcamarche.net/contents/configuration-reseau/vpn-xp.php3
Installer un serveur VPN sous Windows XP Intérêt d'un VPN La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. Ce procédé est utilisé par de... www.commentcamarche.net/contents/pratique/vpn-xp.php3

Résultats pour [OpenBSD] mise ne place d'un VPN

[appareils Philips] Mise a jour firmware ou codecMise a jour du firmware ou des codecs Philips pour - lecteur DVD de salon - lecteur et graveur interne PC Philips International a mis en place une nouvelle mise en page pour la recherche des firmwares et des drivers de ses appareils :... www.commentcamarche.net/faq/sujet-679-appareils-philips-mise-a-jour-firmware-ou-codec
Sécurisation d'un PCÉtapes de mise en place d'une sécurité globale sur un micro-ordinateur 1 : Partitionnement du disque dur Avant toute chose et avant même d'installer Windows ou un autre système d'exploitation, il peut s'avérer très utile de partitionner le... www.commentcamarche.net/faq/sujet-1404-securisation-d-un-pc
[WiFi] Description et explications axées sur l'antenneLe Wi-Fi (également orthographié Wi-fi, WiFi, Wifi ou encore wifi) est une technologie de réseau informatique mise en place pour fonctionner en réseau interne et depuis devenue un moyen d'accès à haut débit à Internet. Présentation La norme IEEE... www.commentcamarche.net/faq/sujet-3342-wifi-description-et-explications-axees-sur-l-antenne
1 2 3 Suivant

Résultats pour [OpenBSD] mise ne place d'un VPN

[RED HAT 9] installer un serveur VPN (Résolu)Bonjour, je suis enfin de cycle. Mon thème de mémoire est la mise en place d'un serveur VPN sous linux (Red hat9). . Je souhaitérais avoir toute la procédure d'installation se rapportant à cela. Mon objectif sérait de configurer ma machine... www.commentcamarche.net/forum/affich-2413858-red-hat-9-installer-un-serveur-vpn
Quel type de VPN utiliser ? (Résolu)Bonjour, je dois installer un serveur VPN pour connecter au réseau d'entreprise des clients nomades. Le réseau fonctionne sur Windows, je sais pas si il y a un AD sur le réseau, je me renseignerais demain. J'ai tenté en vain la mise en place... www.commentcamarche.net/forum/affich-4808963-quel-type-de-vpn-utiliser
[openvpn] démarrage et connexion automatique (Résolu)Bonjour a tous j'ai mis en place un vpn entre 2 machines distantes avec Openvpn et cela fonctionne nickel MAIS... comme vous le savez + on mache les choses pour les mieux c'est pour eux et j'aimerais qu'au démarrage de windows... www.commentcamarche.net/forum/affich-2191434-openvpn-demarrage-et-connexion-automatique
1 2 3 Suivant

Résultats pour [OpenBSD] mise ne place d'un VPN

Télécharger Logiciels InternetCette rubrique propose tous les outils indispensables à l'utilisation du réseau (navigation, téléchargement, ...) ainsi qu'à la mise en place de services en ligne (serveur web, serveur FTP, ...). www.commentcamarche.net/telecharger/logiciel-3-internet
Télécharger Assistance à Distance et Prise de ContrôleVous en avez marre des logiciels de prise de contrôle car vous les trouvez compliqués ? Celui-ci, sous forme d’assistant, vous aidera à rendre cette expérience moins compliquée qu’elle ne l’est. Ce programme vous assistera à la mise en place du côté... www.commentcamarche.net/telecharger/telecharger-34056653-assistance-a-distance-et-prise-de-controle
Télécharger Driver Formula Force EXQui n a pas rêvé d’avoir un volant pour jouer à ses jeux de courses favoris ? Ce volant assez original tant par sa couleur que son design trouvera bien sa place chez vous. Pour ceux à qui cela intéresse, voici le pilote mis à jour pour ce matériel. www.commentcamarche.net/telecharger/telecharger-34057055-driver-formula-force-ex
1 2 3 Suivant

Résultats pour [OpenBSD] mise ne place d'un VPN

Mise en place d'un numéro d'alerte contre les SMS indésirables dès le 15 novembre(Paris - Relax news) - Luc Chatel, secrétaire d'Etat chargé de l'Industrie et de la Consommation, et les opérateurs de téléphonie mobile ont annoncé, mardi 21 octobre, la mise en place d'un numéro d'alerte contre les SMS indésirables, le 33 700. Ce... www.commentcamarche.net/actualites/mise-en-place-d-un-numero-d-alerte-contre-les-sms-indesirables-des-le-15-novembre-5847549-actualite.php3
Antennes relais : Bouygues Telecom poursuivi au pénal pour des problèmes de santé(Paris - Relax news) - L'opérateur mobile Bouygues Telecom est actuellement poursuivi au pénal par une famille de Chevreuse, dans les Yvelines, pour des problèmes de santé attribués à la mise en place d'une antenne relais près de son domicile.... www.commentcamarche.net/actualites/antennes-relais-bouygues-telecom-poursuivi-au-penal-pour-des-problemes-de-sante-5847360-actualite.php3
1 2 3 Suivant

Résultats pour [OpenBSD] mise ne place d'un VPN

Mise en place d'une démarche qualitéMise en place d'une démarche qualité L'amélioration de la qualité (réduction des non-qualités et amélioration des processus de travail) dans une entreprise demande une réflexion associant la direction et l'ensemble du personnel afin de définir des... www.commentcamarche.net/contents/qualite/demarche-qualite.php3
Introduction à la mise en place d'un IntranetStatut de ce document Ce document expliquant comment mettre en place un intranet sous une machine fonctionnant avec Linux a été réalisé en partenariat avec www.tldp.org/, dont le webmaster (Michel Maudet) est l'auteur du document original... www.commentcamarche.net/contents/intranet/resintro.php3
Sauvegarde (backup)La sauvegarde Néanmoins, la mise en place d'une architecture redondante ne permet que de s'assurer de la disponibilité des données d'un système mais ne permet pas de protéger les données contre les erreurs de manipulation des utilisateurs ou... www.commentcamarche.net/contents/surete-fonctionnement/sauvegarde.php3
1 2 3 Suivant