Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1301 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  [Problem configuration] Freeswan sous debian - urgent

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Problem configuration] Freeswan sous debian - urgent

n°238828
madsurfer
Boulet's eradicator
Posté le 20-03-2003 à 16:43:57  profilanswer
 

Salut à tous !
 
Configuration host-to-host
-----------------------------
Je galere comme pas possible pour faire du host-to-host.  
J'ai un client PGP sur un Win98 et mon Freeswan de l'autre.  
L'autre ce que je ping l'autre bécanne, le send s'incrémente mais pas le receive.
 
Voici le /etc/ipsec.conf de freeswan
 
# Essai
 
config setup
        interfaces="ipsec0=eth0"
        klipsdebug=none
        plutoload=%search
        plutostart=%search
 
#conn %default
        #keyungtries=0
        #authby=PSK
 
conn cl-se
        left="172.20.211.43"
        right="172.20.211.42"
        auto=add
 
 
 
INSTALLATION -> RESOLU
-----------------------------
J'ai une debian sarge.
 
-J'ai compilé un kernel 2.4.20 à la mimine.
-J'ai patché le kernel à partir des sources de la dernière version stable.
         * J'ai fais un make menugo -> où j'ai installé en dur les options IPSEC (po de message d'erreur)
         * J'ai fais un make kinstall (po de message d'erreur)
-J'ai redémarrer.
 
Mais j'ai ces messages au démarrage :
"
ipsec_setup : starting FreeS/WAN IPSEC 1.99...
ipsec_setup : insmod : ipsec : no module ipsec
ipsec_setup : kernel appears to lack KLIPS
ipsec_setup : OOPS, should have aborded! Brocken shell
"
 
et
 
/usr/local/sbin/ipsec
/etc/ipsec.conf  
/etc/ipsec.secrets
 
ont été créés.
 
Tout les fichiers sembles là.
 
Comment savoir si IPSEC a été bien installé ?


Message édité par madsurfer le 26-03-2003 à 14:17:37
mood
Publicité
Posté le 20-03-2003 à 16:43:57  profilanswer
 

n°238948
madsurfer
Boulet's eradicator
Posté le 20-03-2003 à 21:04:09  profilanswer
 

[:macfly_fr]

n°239058
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 10:02:45  profilanswer
 

Voici ce que j'obtiens lorsque je fais un "ipsec verify"
 
Version check and ipsec on-path                   [OK]
Checking for KLIPS support in kernel              [FAILED]
Checking RSA private key (/etc/ipsec.secrets)     whack : Pluto is not running (no "/var/run/pluto.ctl" )          [FAILED]
DNS checks.
Looking for forward key for vpnserver          /usr/local/lib/ipsec/verify: line 96: host: command not found                                 [FAILED]
Does the machine have at least one non-private adress [OK]
 
 
Je suis dans la mouise ! Je sais pas quoi faire !  :cry:

n°239092
e_esprit
Posté le 21-03-2003 à 10:56:15  profilanswer
 

Bah si t'as tout compilé en dur, c'est pas etonnant que le insmod ipsec foire...
 
Sinon, le probleme de pluto is not running me rappelle un truc, mais bon ca date de l'année dernière, alors bon...
 
Deja essaye de voir en mettant en module.

n°239111
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 11:16:17  profilanswer
 

e_esprit a écrit :

Bah si t'as tout compilé en dur, c'est pas etonnant que le insmod ipsec foire...
 
Sinon, le probleme de pluto is not running me rappelle un truc, mais bon ca date de l'année dernière, alors bon...
 
Deja essaye de voir en mettant en module.


 
Ca m'a saoulé, j'ai fais un :
make clean; make bzImage (make modules; make modules_install
 
J'ai copier mon bzImage ds /boot et lilo
 
Au boot j'ai ces messages
 
ipsec_setup: Starting FreeS/WAN IPsec U1.96/K1.99
ipsec_setup: WARNING: ipsec0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/ipsec0/rp_filter = '1', should be 0)
ipsec_setup: WARNING: eth0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/eth0/rp_filter = '1', should be 0)
 
 
Qd je fais ipsec verify, j'obtiens ceci
 
Version check and ipsec on-path                   [OK]  
Checking for KLIPS support in kernel              [OK]  
Checking RSA private key (/etc/ipsec.secrets)     [OK]
Checking that pluto is running                    [FAILED]  
DNS checks.  
Looking for forward key for vpnserver   /usr/local/lib/ipsec/verify: line 96: host: command not found  [FAILED]  
Does the machine have at least one non-private adress [OK]  
 
Pour info, j'ai compiler en dur ds le noyau les options IPSEC.
 
 
Ca avance... mais il y encore qq problème.
 
 
Merci à ceux qui cherche à m'aidé !  :jap:


Message édité par madsurfer le 21-03-2003 à 11:18:47
n°239114
e_esprit
Posté le 21-03-2003 à 11:19:54  profilanswer
 

Citation :

ipsec_setup: WARNING: ipsec0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/ipsec0/rp_filter = '1', should be 0)
ipsec_setup: WARNING: eth0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/eth0/rp_filter = '1', should be 0)


faut que tu fasses ca quelques part dans un de tes scripts de demarrage :

echo 0 > /proc/sys/net/ipsec0/rp_filter  
echo 0 > /proc/sys/net/eth0/rp_filter  


 
Ca je me souviens qu'on l'avait fait... en fait le routage c'est freeswan qui va le faire pour ces interfaces.

n°239217
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 13:41:05  profilanswer
 

J'ai mis le fichier l'option spoofprotect=no ds le fichier /etc/network/options
 
Et je n'ai plus le message d'erreur au démarrage.
 
 
Par contre lorsque je fais un ipsec verify.
Rien n'a changé depuis la dernière fois !
 
Help  :cry:


Message édité par madsurfer le 21-03-2003 à 13:42:02
n°239219
e_esprit
Posté le 21-03-2003 à 13:44:49  profilanswer
 

madsurfer a écrit :

vpnserver   /usr/local/lib/ipsec/verify: line 96: host: command not found  [FAILED]  


On dirait qu'il appelle la commande host mais qu'il la trouve pas.
Deux possibilités : soit elle est pas installée (mouais...)
Soit elle est pas dans le PATH au moment de l'appel du script (re-mouais...).

n°239226
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 13:55:09  profilanswer
 

La commande host n'était effectivement pas installé.
 
 
Voici maintenant le message que j'obtiens, qd je fais ipsec verify
 
Version check and ipsec on-path                   [OK]  
Checking for KLIPS support in kernel              [OK]  
Checking RSA private key (/etc/ipsec.secrets)     [OK]  
Checking that pluto is running                    [FAILED]  
DNS checks.  
Looking for forward key for vpnserver   vpnserver.chu.lan\000 does not exist, try again
Does the machine have at least one non-private adress [OK]
 
 
Je n'ai guere avancé !  :(  
 
Ce qui m'inquite le plus c'est l'histoire du pluto


Message édité par madsurfer le 21-03-2003 à 13:55:58
n°239228
e_esprit
Posté le 21-03-2003 à 13:57:12  profilanswer
 

T'as bien configure tes clefs des deux cotés ?
sur la machine 1 la clef de la machine 2, sur la machine 2 la clef de la machine 1 ?
 

mood
Publicité
Posté le 21-03-2003 à 13:57:12  profilanswer
 

n°239279
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 14:44:18  profilanswer
 

J'ai encore rien configuré.  
Je pensais le faire lorsque je n'aurais plus de failed quand je fais un ipsec_verify.
 
Je n'ai encore configuré aucune clé.
 

n°239289
e_esprit
Posté le 21-03-2003 à 14:48:00  profilanswer
 

madsurfer a écrit :

J'ai encore rien configuré.  
Je pensais le faire lorsque je n'aurais plus de failed quand je fais un ipsec_verify.
 
Je n'ai encore configuré aucune clé.
 
 


Alors ca vient peut etre bien de la...

n°239320
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 15:16:16  profilanswer
 

Excuse moi ! Mais je suis débutant.
 
Mon fichier /etc/ipsec.secrets dispose de blabla commenté.
 
D'après ce que j'ai compris il faut que je créé une paire de clef pour l'authentification grace au protocole RSA.
 
Si j'ai bien compris, je génére la paire de clef en faisant :
 
ipsec rsasigkey --verbose 2048 > /root/clef
 
Ensuite je copie la /root/clef entre les 2 accolades du /etc/ipsec.secrets
 
 
 
Mon IPSEC client est quand à lui sous windows 98.
Certains conseil PGPnet. J'ai pas d'accès FTP sur ce post. Je l'installerais lundi.
 
Pour le client il faut inversé le left et le right si j'ai bien commpris.
 
Et sa devrait etre OK.
 
 
Ca se passe comme ça ?


Message édité par madsurfer le 21-03-2003 à 15:16:58
n°239328
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 15:19:02  profilanswer
 

Enfin pluto devrait fonctionner sans faire tt ça d'apres la doc

n°239337
e_esprit
Posté le 21-03-2003 à 15:30:08  profilanswer
 

madsurfer a écrit :

Excuse moi ! Mais je suis débutant.
 
Mon fichier /etc/ipsec.secrets dispose de blabla commenté.
 
D'après ce que j'ai compris il faut que je créé une paire de clef pour l'authentification grace au protocole RSA.
 
Si j'ai bien compris, je génére la paire de clef en faisant :
 
ipsec rsasigkey --verbose 2048 > /root/clef
 
Ensuite je copie la /root/clef entre les 2 accolades du /etc/ipsec.secrets
 
 
 
Mon IPSEC client est quand à lui sous windows 98.
Certains conseil PGPnet. J'ai pas d'accès FTP sur ce post. Je l'installerais lundi.
 
Pour le client il faut inversé le left et le right si j'ai bien commpris.
 
Et sa devrait etre OK.
 
 
Ca se passe comme ça ?


Ouep c'est ca.
Par contre j'ai amais essaye de faire de l'IPsec entre une machine linux et une Windows... alors de l'autre cote je sais pas comment ca se passe...
 
Pour pluto, apparemment, si ton /etc/ipsec.conf est pas configuré, ca peut pas trop marché, mais bon...
Sinon, t'as pas des messages d'erreur dans tes logs a ce propos ?

n°239344
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 15:43:28  profilanswer
 

Normalement IPSEC est un standard, donc le client soit sous win ou nux ça devrait pas poser de problème.
 
Pour l'instant je vais essayé de faire du Host to Host.
Parce que le but de mon stage c'est de faire du LAN to Host.  :pt1cable:
 
Merci t'es sympa de m'aider !  :jap:
 
Comment cela se fait il qu'il y ait aussi peu de monde qui soit intéresser par mon topic ?  :??:
 
Ipswan est répandu comme implémentation normalement.

n°239346
madsurfer
Boulet's eradicator
Posté le 21-03-2003 à 15:44:29  profilanswer
 

Dans le /var/log/message il ne semble pas y avoir de message de pb freeswan à première vu.  :)
 
Puis qd je fais un ifconfig j'ai eth0 et ipsec0 qui s'affiche.


Message édité par madsurfer le 21-03-2003 à 16:41:02
n°239376
e_esprit
Posté le 21-03-2003 à 16:48:44  profilanswer
 

madsurfer a écrit :

Dans le /var/log/message il ne semble pas y avoir de message de pb freeswan à première vu.  :)
 
Puis qd je fais un ifconfig j'ai eth0 et ipsec0 qui s'affiche.


Ca s'est normal, en fait ipsec0 sera l'interface (virtuelle) qui sera utilisé pour le routage vers l'autre cote du VPN.
 
Sinon, si y a si peu de personnes qui s'interessent a ton topic, c'est qu'a mon avis peu l'ont mis en oeuvre.
 
Moi j'ai eu l'occasion de m'y frotter lors d'un projet d'etude, mais bon, on s'etait bien pris la tete a l'epoque pour le faire marcher (style plusieurs jours...).
 
A et pis tant que j'y pense, fait gaffe pour la lisaison Host, to Host, faut bien configurer tout ca, parce que par defaut les deux passerelles effectuant la liaison ne se voit pas, et ne sont pas visible du reseau opposé (enfin c'est un probleme qu'on decouvre quand on configure du Net-to-Net... bonjour la prise de tete !).
 
Bah bon courage alors !

n°241330
madsurfer
Boulet's eradicator
Posté le 26-03-2003 à 14:11:08  profilanswer
 

e_esprit a écrit :


Ca s'est normal, en fait ipsec0 sera l'interface (virtuelle) qui sera utilisé pour le routage vers l'autre cote du VPN.
 
Sinon, si y a si peu de personnes qui s'interessent a ton topic, c'est qu'a mon avis peu l'ont mis en oeuvre.
 
Moi j'ai eu l'occasion de m'y frotter lors d'un projet d'etude, mais bon, on s'etait bien pris la tete a l'epoque pour le faire marcher (style plusieurs jours...).
 
A et pis tant que j'y pense, fait gaffe pour la lisaison Host, to Host, faut bien configurer tout ca, parce que par defaut les deux passerelles effectuant la liaison ne se voit pas, et ne sont pas visible du reseau opposé (enfin c'est un probleme qu'on decouvre quand on configure du Net-to-Net... bonjour la prise de tete !).
 
Bah bon courage alors !


 
Comme tu l'avais prédis je galere comme pas possible pour faire du host-to-host.
J'ai un client PGPnet sur un Win98 et mon Freeswan de l'autre.
L'autre ce que je ping l'autre bécanne, le send s'incrémente mais pas le receive.
 
Quelle mer** !  :(

n°241442
e_esprit
Posté le 26-03-2003 à 18:55:14  profilanswer
 

avec Freeswan, il fallait declarer 4 regles de chaque coté :
reseau1 <=> reseau2
passerelle1 <=> reseau2
reseau1 <=> passerelle2
passerelle1 <=> passerelle2
 
Enfin ca c'etait si on voulait que les passerels puissent se voir et etre vu du reseau opposé. Dans la pratique on peut ne vouloir que la premiere...
 
Si ca peut t'aider...


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  [Problem configuration] Freeswan sous debian - urgent

 

Sujets relatifs
[Option incomprehensible] [Petit peut urgent] SquidServeur debian & process Zombie
PB debian 3.0 sur toshiba satellite 1400-153E[Pb install] Debian Woody
configuration du NAT sous linux pr se connecter à un poste windows...Vous me faites ch...R avec votre Debian .... je la telecharge ilico !!
Lopster 1.2.0 pour Debian ?resolu: urgent: question sur MlDonkey
debian woody+cd[Debian Sarge] Ma Webcam reste costamment allumée
Plus de sujets relatifs à : [Problem configuration] Freeswan sous debian - urgent


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR