Discussion :

[zerros]

Bonjour,

Je suis en train de tester openswan. J'ai vu que c'est un système compatible avec tout type de client (xp, 2k, vista, cisco, zyxel etc .).

Voilà, je me suis lancé sur l'installation sur etch 4..0 : apt-get install openswan ipsec l2tp

Mon but étant de configurer une connexion VPN permettant d'accueillir x client Windows XP + vista, j'utilise l2tp. Pour le moment, je ne fais quasi-aucun cryptage ccoté client. C'est à dire que tout ce que j'ai, c'est une connexion dans le gestionnaire de connexion de windows xp. Le PC se connecte correctement et ping bien le serveur.

Je me pose cependant quelques questions sur openswan. Les paramètres left et right désignent quoi exactement ? D'un tuto à l'autre, le left et right s'inversent. J'ai bien compris qu'il y en a un qui désigne le serveur et l'autre le client, mais je m'y perd dans les tutos.

Est-il possible également que le client garde sa navigation internet sur son réseau local ? Actuellement, lorsque la connexion est établie, soit je peux emêcher la navigation internet, ou soit le client récupère internet depuis le serveur. Mon but est juste de fournir une IP dans une classe réseau précise et que le client garde sa navigation internet en utilisant son réseau local.

J'espère que quelqu'un pourra me répondre.

++

[lu6fer]

Il y a plusieurs chose a éclaircir de ce que je comprend.

1erement : c'est un connexion VPN, qui dit connexion dit interface, et ce peut importe l'OS. Donc quand tu crées une connexion tu crées une interface.
Cette notion d'interface est importante, c'est grâce a elle que tu pourra obtenir une connexion a ton serveur VPN et une connexion a internet sur le même poste. Après grâce a la notion de route tu peux rediriger le trafic vers l'une ou l'autre des interfaces.

2emement : la notion de right et left, n'est en soit pas très importante, dans le sens ou l'un peu prendre le rôle de l'autre, a toi par contre de définir une nomenclateur a ce sujet (par exemple left sera forcement le client)

[zerros]

OK, je commence à mieux comprendre la partie Left/Right. Le tout serait de garder cette logique de A à Z.

Par contre pour ce qui est des interfaces, j'ai bien compris. J'en crée une sur le serveur (eth0:1) + une ppp0 lors d'une connection d'un "roadwarriorxp".

Mais je ne comprends pas comment je peux forcer le client à utiliser sa connexion internet et non celle présente sur le serveur. En gros ce serait plutôt forcer l'utilisation de sa passerelle plutôt que la mienne. Le hic c'est que si je fais ca, je n'arriverai jamais à le joindre puisque la passerelle ne me le permettra pas. Je ne vois pas trop de quelle manière je pourrai arriver au résultat escompté.

[lu6fer]

tout depend de ce que tu veux faire avec ton VPN.

si tu veux utilisé ton vpn pour certaine application dans ce cas :

• Tu crées ton tunnel dans un sous reseau particulier
• Tu créer, lors de le connexion des clients, une route statique pour ce sous reseau

si tu veux te servir de ton vpn pour faire transité toutes les connexions vers un serveur centralisé

• Tu crées ton tunnel dans le sous reseau de ton client
• Tu modifie la route par defaut pour qu'elle pointe sur ton serveur

pour forcer la passerelle du client, il suffit d'avoir un route par defaut avec un metric faible.
Il ira forcement sur celle la (sauf si il y a une autre route plus specifique (pas par defaut)

[zerros]

hehehe. je comprends bien. Je pense que je verrai cette partie lorsque mes connections vpn fonctionneront.

Je bloque sur l'initialisation de la connexion lorsque je la lance sur un poste XP. J'ai créé ma connexion avec l'ip publique du serveur + Type L2TP sur un Windows XP.

Sur le serveur j'ai dû générer un certificat pour le serveur. J'ai donc une clé et un certificat. A partir de ces deux fichiers, j'ai généré un .p12 que j'ai ensuite importer sur le poste client en passant par la MMC.

Le souci c'est que la connexion ne s'initialise pas : erreur 792 (Erreur 792 : la tentative de connexion L2TP a échoué parce que le délai de négociation de sécurité a été dépassé.)

Dans les logs syslog, je ne vois rien arriver. Par contre le tcpdump me dit bien que les requêtes isakmp arrivent.

Voilà la conf ipsec.conf (10.160.252.0 est mon réseau) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
version	2.0	# conforms to second version of ipsec.conf specification
 
# basic configuration
config setup
	interfaces=%defaultroute
	nat_traversal=yes
	virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:10.160.252.0/24
	nhelpers=0
 
conn %default
	keyingtries=1
	compress=yes
	disablearrivalcheck=no
	authby=rsasig
	leftrsasigkey=%cert
	rightrsasigkey=%cert
 
conn roadwarrior-l2tp
	type=transport
	left=%defaultroute
	leftcert=vpn.toto.fr.pem
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/1701
	pfs=no
	auto=add

ipsec.secrets :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

: RSA /etc/ipsec.d/private/vpn.toto.fr.key "xxxx"

et les logs ipsec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Jul  7 18:02:15 xxx kernel: NET: Registered protocol family 15
Jul  7 18:02:15 xxx kernel: Initializing IPsec netlink socket
Jul  7 18:02:15 xxx ipsec_setup: KLIPS ipsec0 on eth0 88.x.x.x/255.255.255.0 broadcast 88.x.x.255 
Jul  7 18:02:15 xxx ipsec_setup: ...Openswan IPsec started
Jul  7 18:02:15 xxx ipsec_setup: Starting Openswan IPsec 2.4.6...
Jul  7 18:02:15 xxx ipsec_setup: insmod /lib/modules/2.6.18.1xxx_r6_final/kernel/net/key/af_key.ko 
Jul  7 18:02:15 xxx ipsec_setup: insmod /lib/modules/2.6.18.1xxx_r6_final/kernel/net/ipv4/xfrm4_tunnel.ko 
Jul  7 18:02:15 xxx ipsec_setup: insmod /lib/modules/2.6.18.1xxx_r6_final/kernel/net/xfrm/xfrm_user.ko

Quelqu'un aurait-il une idée ?

[zerros]

J'ai quelques logs en plus :

Je crois cerné un peu mieux le prob. La connexion est initiée depuis un PC qui porte le nom d'athena (pc de ma femme). or il n y a pas de clé répondant à ce CN.

Ma question est la suivante : Le certificat .p12 doit-il être généré à partir du certificat et de la clé du serveur ? ou bien puis-je créer un nouveau certificat pour chaque client en le référencant dans /etc/ipsec.secrets ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
"rwxp"[2] x.x.x.x #1: Main mode peer ID is ID_DER_ASN1_DN: 'CN=ATHENA'
"rwxp"[2] x.x.x.x #1: issuer cacert not found
"rwxp"[2] x.x.x.x #1: X.509 certificate rejected
"rwxp"[2] x.x.x.x #1: no RSA public key known for 'CN=ATHENA'
"rwxp"[2] x.x.x.x #1: sending encrypted notification INVALID_KEY_INFORMATION to x.x.x.x:500
"rwxp"[2] x.x.x.x #1: next payload type of ISAKMP Hash Payload has an unknown value: 47
"rwxp"[2] x.x.x.x #1: malformed payload in packet
"rwxp"[2] x.x.x.x #1: sending notification PAYLOAD_MALFORMED to x.x.x.x:500
"rwxp"[2] x.x.x.x #1: max number of retransmissions (2) reached STATE_MAIN_R2
"rwxp"[2] x.x.x.x: deleting connection "rwxp" instance with peer x.x.x.x {isakmp=#0/ipsec=#0}