Discussion :

[Miaooks]

Bonjour,

Je suppose que je pose ma question au bon endroit.

Cela concerne, l'installation d'un réseau vpn avec "ipsec".
Je dispose pour cela de deux connections internet dans les mêmes locaux (une ip dynamique et une ip fixe).

Du coté de l'ip fixe (wan 1):
j'ai installé un serveur (sous debian) (le réseau local est notamment distribué avec un routeur linksys),
le réseau local est en 192.168.2.0
la dmz du routeur pointe sur le serveur (192.168.2.2), ce dernier à un bail permanant sur le dhcp du routeur

de l'autre coté , ip dynamique (wan 2) :
je dispose d'un routeur vpn netgear FVS318v3.
le réseau local est en 192.168.1.0

Mon but est, une fois le vpn actif, de pouvoir pinguer depuis un poste derrière le sous réseau du routeur vpn (192.168.1.0) le dit serveur (ping 192.168.2.2).

J'utilise "racoon" depuis le serveur debian pour connecter le vpn au routeur netgear, et ce dernier m'indique que les phase1 et phase2 sont opérationnels, idem pour les log de "racoon".

Pour déboquer le tout, j'ai mis les options de log les plus forte possible sur racoon, et j'utilise notamment "tcpdump -i IFACE dst 192.168.2.2".

Mon problème est que je n'arrive pas à pinguer le serveur depuis un poste derrière le sous réseau du vpn,
et que la sortie de tcpdump m'indique un paquet en ESP avec un numéro, et un autre paquet ICMP echo requete avec le meme numéro.... Et pas de icmp reply en vue !!! ...

J'ai mis les bonnes valeurs dans tous les sysctl ("/proc/sys/net/ipv4/icmp_*").

iptables -L m'indique que je n'ai aucune règle iptables (normal je n'ai rien ajouté).

route -n ne donne rien de spécial (normal je n'ai rien ajouté)

192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0

J'ai testé le vpn en réseau local, cela marche parfaitement, mais impossible de le faire fonctionner sur internet.
De plus j'utilise actuellement une PSK (pre-shared-key), mais j'ai fait fonctionner entre deux machine linux sur un meme réseau local avec des certificats.

Ma réflexion ma mené a quelques solutions possibles :
- il manque une route sur le serveur (problèmes de syntate avec "ip" et "route" je n'arrives pas à faire ce que je veux)
- il manque une règle dans l'ip table
- spd erronés ? (setkey)
- nat_t pas activé dans racoon ?

J'ai grand besoin d'aide car mon projet de stage se base sur l'architecture du vpn. Le fait de la visibilité du echo request sans envoi d'echo reply me pertube, tout comme la duplication du paquet avec tcpdump. Je bloque sur quelquechose de certainement ridicule ...

Qu'en pensez vous ?

mon fichier de configuration de setkey :
--------------------------------------------------------------------------
#!/sbin/setkey -f
flush;
spdflush;

#wan1 = ip connection wan 1
#wan2 = ip connection wan 2

add wan2 wan1 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";

add wan1 wan2 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";

spdadd 192.168.1.0/24 192.168.2.2 any -P in ipsec
esp/tunnel/wan2-wan1/require;

spdadd 192.168.2.2 192.168.1.0/24 any -P out ipsec
esp/tunnel/wan1-wan2/require;

[idanibechir]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
add wan2 wan1 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";
 
add wan1 wan2 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";

ça je le vois complemtement inutile puisque tu as deja utiliser le 'spdadd'.

[Miaooks]

Je poste la réponse une année plus tard, c'est pas très fairplay de ma part et je m'en excuse...

J'avai trouvé la réponse dans le manuel (RTFM :@), il faut simplement utiliser l'option "nat_traversal" si il y a un routeur en amont.

[Miaooks]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
add wan2 wan1 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";
 
add wan1 wan2 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";

ça je le vois complemtement inutile puisque tu as deja utiliser le 'spdadd'.

Tout à fait d'accord, je me souviens avoir retiré cette partie de mon fichier de conf.