Discussion :

[surejam]

Bonjour,

Je suis étudiant donc novice, mais comme je suis un touche à tout j'essaie plein de choses.

Il y a peu j'ai entendu parler du protocole IPSec qui a retenu toute mon attention.

Pour test uniquement je souhaiterais connecter deux machines d'un même LAN (même sous-réseau) par IPSec, donc établir un tunnel IPSec entre ces deux machines pour qu'elles communiquent en toute sécurité.

J'ai donc deux machines connectées sur un routeur dont l'adresse IP est 10.0.0.1. Les deux machines tournent sous Windows 10 Pro et possèdent chacune une interface réseau Ethernet dont les adresses IP sont 10.0.0.30 et 10.0.0.31 respectivement (fixes).

J'utilise les deux consoles Moniteur de sécurité IP et Stratégies de sécurité IP sur Ordinateur pour mettre en place les politiques IPSec.

L'assistant me permet de réaliser ça par exemple sur la machine 1 :

• Point de sortie du tunnel : 10.0.0.31 (point de terminaison du tunnel IPv4)
• Type de réseau : toutes les connexions réseau

Viennent ensuite les filtres (je coche le mode miroir) :

• Adresse source : Mon adresse IP
• Destination : une adresse IP spécifique : 10.0.0.31
• Protocole : n'importe lequel

Et les actions de filtrage:

• Je choisis négocier la sécurité
• Ne pas autoriser les communications non sécurisées
• Sécurité : intégrité et chiffrement

Enfin, je choisis une clé pré-partagée pour l'authentification.

Ma politique IPSec est prête, je clique droit dessus et Attribuer.

Je réalise l'opération strictement inverse sur l'autre machine.

J'entame alors une connexion d'une machine à l'autre : accès à un partage disque, serveur web, etc. accès complet sans problème.

Par contre je vérifie les associations de sécurité grâce au moniteur de sécurité IP et là rien, rien de rien. Pas normal ça ?? Je n'autorise pas les connexions non sécurisées donc si j'ai une communication elle passe forcément par IPSec je pense ?

Voilà je ne sais pas où je foire la configuration mais ça n'a pas l'air de fonctionner en tout cas...

Merci pour votre avis sur la question.

surejam

[Invité]

Bonjour,

Je suis étudiant donc novice, mais comme je suis un touche à tout j'essaie plein de choses.

Il y a peu j'ai entendu parler du protocole IPSec qui a retenu toute mon attention.

Pour test uniquement je souhaiterais connecter deux machines d'un même LAN (même sous-réseau) par IPSec, donc établir un tunnel IPSec entre ces deux machines pour qu'elles communiquent en toute sécurité.

J'ai donc deux machines connectées sur un routeur dont l'adresse IP est 10.0.0.1. Les deux machines tournent sous Windows 10 Pro et possèdent chacune une interface réseau Ethernet dont les adresses IP sont 10.0.0.30 et 10.0.0.31 respectivement (fixes).

J'utilise les deux consoles Moniteur de sécurité IP et Stratégies de sécurité IP sur Ordinateur pour mettre en place les politiques IPSec.

L'assistant me permet de réaliser ça par exemple sur la machine 1 :

• Point de sortie du tunnel : 10.0.0.31 (point de terminaison du tunnel IPv4)
• Type de réseau : toutes les connexions réseau

Viennent ensuite les filtres (je coche le mode miroir) :

• Adresse source : Mon adresse IP
• Destination : une adresse IP spécifique : 10.0.0.31
• Protocole : n'importe lequel

Et les actions de filtrage:

• Je choisis négocier la sécurité
• Ne pas autoriser les communications non sécurisées
• Sécurité : intégrité et chiffrement

Enfin, je choisis une clé pré-partagée pour l'authentification.

Ma politique IPSec est prête, je clique droit dessus et Attribuer.

Je réalise l'opération strictement inverse sur l'autre machine.

J'entame alors une connexion d'une machine à l'autre : accès à un partage disque, serveur web, etc. accès complet sans problème.

Par contre je vérifie les associations de sécurité grâce au moniteur de sécurité IP et là rien, rien de rien. Pas normal ça ?? Je n'autorise pas les connexions non sécurisées donc si j'ai une communication elle passe forcément par IPSec je pense ?

Voilà je ne sais pas où je foire la configuration mais ça n'a pas l'air de fonctionner en tout cas...

Merci pour votre avis sur la question.

surejam

Personnellement, je n'ai jamais fait ça entre 2 machines "back2back" sur le même réseau IP, j'ai plutôt l'habitude de faire ça entre routeurs/firewalls.
C'est en revanche la même méthodologie si ça ne tombe pas en marche du premier coup

Quelques pistes à explorer :

- normalement, un ipconfig /all devrait faire apparaître l'interface Tunnel qui est sensée s'activer,
- un ping étendu depuis machine1 vers machine2 en prenant 10.0.0.30 comme source devrait obtenir une réponse de machine2,
- un wireshark lancé au moment de ce test devrait mettre en évidence la phase qui pose problème...

IPSec utilise 2 phases pour monter le tunnel :

- phase 1, identification des extrémités, échange des options et des clés, pour monter ce qu'on appelle les SA,
- phase 2, une fois que les SA sont up, les extrémités échangent les IP qui seront encapsulées, la confidentialité PFS, etc.

En fonction de la phase en échec, le next step en termes de troubleshooting est différent...

Pour faire une analogie avec quelque chose que tu dois probablement connaître, si tu veux lancer un Telnet sur un serveur et que ça ne fonctionne pas, tu vas d'bord vérifier si client & serveur sont joignables en IP, puis ensuite vérifier qu'un serveur Telnet est bien actif sur le serveur, etc.

Même chose en IPSec...
Pas de Phase1 => pas de Phase2 => pas de tunnel IPSec...

-VX

[surejam]

Bonjour et grand merci pour le retour.

Ravi d'apprendre que la méthodologie est bonne, je commençais à en douter... ça fait des jours que je me bats avec ça ! :-)

En effet j'ai vu qu'il y avait deux phases dans l'établissement d'un tunnel IPSec, je vais suivre tes conseils pour voir si Wireshark me donne une raison de l'échec en phase 1 ou phase 2.

Si je trouve la cause et/ou la solution je viendrai la rapporter ici.

Bel après-midi,

surejam

[Invité]

Bonjour et grand merci pour le retour.

Ravi d'apprendre que la méthodologie est bonne, je commençais à en douter... ça fait des jours que je me bats avec ça ! :-)

En effet j'ai vu qu'il y avait deux phases dans l'établissement d'un tunnel IPSec, je vais suivre tes conseils pour voir si Wireshark me donne une raison de l'échec en phase 1 ou phase 2.

Si je trouve la cause et/ou la solution je viendrai la rapporter ici.

Bel après-midi,

surejam

You're welcomed.

Les dissecteurs de Wireshark sont pas mal du tout pour le troubleshooting IPSec (je crois que tu peux avoir pas mal d'infos dans le mode expert).

Bonne chance continuation

-VX

[surejam]

Je crois comprendre que IPSec n'est pas simple à dompter !

Voilà donc où j'en suis. J'ai désactivé les pare-feux pour être certain qu'ils ne bloquent rien. Les politiques IPSec ont été refaites et appliquées sur chaque machine, les règles "me semblent correctes". Voici ce que j'ai par exemple sur le PC dont l'adresse IP est 10.0.0.30 :



Et l'inverse exact sur la machine dont l'adresse IP est 10.0.0.31.

Un ipconfig /all ne révèle pas de tunnel et la capture par Wireshark ne montre que les paquets ICMP lors du ping étendu. Rien à propos de l'établissement d'un tunnel ou d'une quelconque négociation phase 1 ou phase 2.

Autre chose plus étrange encore : j'ai choisi de n'accepter que les paquets sécurisés, alors si le tunnel ne s'établit pas comment puis-je communiquer entre les 2 machines ? Une fois le tunnel configuré je peux par exemple consulter un partage SMB de 10.0.0.31 sur 10.0.0.30.

J'ai vraiment l'impression que les règles n'ont pas d'effet, et pourtant :



La stratégie est appliquée.

J'avoue ne plus savoir quoi faire à ce stade... Faut-il faire quelque chose de particulier pour initier le tunnel ? Ou se met-il en place tout seul dès le premier paquet envoyé vers la destination ?

[Invité]

Un ipconfig /all ne révèle pas de tunnel et la capture par Wireshark ne montre que les paquets ICMP lors du ping étendu. Rien à propos de l'établissement d'un tunnel ou d'une quelconque négociation phase 1 ou phase 2.

Là, il faudrait voir les outils disponibles sur les PC Windows.
Encore une fois, je ne suis pas familier d'IPSec sur ce genre d'extrémité
Que donne un route print ?

Tu pourrais essayer ça également :

http://sourcedaddy.com/windows-7/tro...netsh-wfp.html

Une autre façon de faire les choses, et là c'est mon intuition qui parle, ce serait de créer une Loopback sur chaque PC (1.1.1.1/32 et 2.2.2.2/32) puis faire en sorte que le trafic IP 1.1.1.1 <-> 2.2.2.2 soit encapsulé (dans le jargon on parle de trafic éligible IPSec). Parce qu'au final, il se peut que Wireshark ne voie que les paquets qui sortent nativement du stack IP.

Dernière question : quel est le type de routeur ? Peut-être que tu peux faire du port mirroring.

-VX