Bonjour,
 
J'ai un problème avec la configuration d'un Stormshield SN300 qui doit remplacer un Netasq U70 en V8.
Nous avons 3 agences en plus du siège (Nantes, Paris, Lyon et le siège à Montpellier)
J'ai déjà changé les U70 par des SN300 à Nantes et Paris sans problèmes, mais sur celui de Montpellier le VPN inter-site ne monte pas...
 
J'ai déjà essayé de refaire toute la config, j'ai comparé la config su SN300 et du U70, Du SN300 de MTP et de NTS, mais je ne trouve pas ce qui ne va pas.
Bien sûr, la prod se sert du VPN, je ne peux donc pas couper quand je veux (J'ai une fenêtre entre 12h et 12h30 et avant 8h30)
J'ai fait des TCPDump sur les deux boitiers (MTP-NTS) quand le lien essaie de monter et j'ai fait un screen du realtime monitor de MTP, mais n'étant pas forcément à l'aise avec le VPN, je ne sais pas s'il y a des infos à cacher avant de publier.
 
Les tcpdump sont au format :  
 

En italique les infos masquées.
 
Et pour le RT Monitor j'ai les colonnes (en plus de l'heure, le message ...) SPI entrant, SPI Sortant, Cookie, Rôle et réseau distant/local
 
Merci pour votre aide !
Matthieu

bonjour,
 
dans le RT dans tunnel vpn tu as quoi ? tu sécurises avec des clés psk ? ce serait bien de faire des screen en fait

Dans le RT, Je vois mes tunnels, il sont verts dans le sens aller, rouge dans le sens retour.
 
Je poste les screens dans 2 minutes  
 
 
Edit : Les screens :
 
Mes Tunnels :

 
La config à MTP:  

 
Les Correspondants à MTP :  


 
L'identification à MTP :  

 
La config à NTS :  

 
Les correspondants à NTS :  

 
L'identification à NTS :  

 
Le VPN est sécurisé avec des PSK.
 
Quand je fais des test, j'ai des messages "malformed cookie" et des timeouts

 
 
Merci

Verifies du côté des proposition de chiffrement en phase 1 et 2 sur tes boitiers (onglet profils de chiffrement) tu dois retrouver les memes propositions de chiffrement sur tes deux firewall sur les deux phases que sont IKE et IPSEC .
 
les points a vérifier sont :
 le diffie-helmann  
que les différentes propositions sont identiques sur les deux fw en dessous du choix du diffie helmann (ex sha2 256 et aes256 et ainsi de suite)
 
 
et la meme chose dans IPSEC
 
il se peut que cela vienne de ça  

Tout est pareil, j'ai du créer un profil "personnalisé" (qui n'est en fait que le "goodEncryption" de la V8, pour assurer la compatibilité avec les anciens appareils. Maintenant que nous n'en avons plus, je vais bientot changer le profil sur tous les boitiers.
Je viens de re-vérifier et les valeurs sont bien les mêmes

T'aurais moyen de faire un essai en strong encryption ?

J'ai fait un essai avec un profil pré-enregistré (GoodEncryption Pas le V8) et ça n'a pas fonctionné.
Ce soir je teste avec le Strong
 
Merci

Maintenant que nous n'en avons plus, je vais bientot changer le profil sur tous les boitiers.

au niveau de tes tunnels tu a bien mis:  
 
"Lan_source"   "Objet portant l'ip publique" "Lan_destination"  
 
?
 
tu es sur quel type d'acces sur place ? livebox pro ?

C'est bien ça
Les deux sites de test sont fibrés, le routeur fibre est en passerelle du FW.
Il porte l'adresse du FW -1 sur les deux sites "de test"  
 

peut-être également regarder du côté de ton routeur également s'il n'y aurait pas un firewall intégré qui ne laisserait pas passer ipsec ? meme si en théorie tu n'aurais meme pas de tunnel. Du coup au milieu ton Site_ de ton tunnel c'est quoi ? ton routeur ?

En fait les Site-XX sont définis dans les correspondants.
Dans les correspondants, les Firewall-XXX sont les ip EXT des autres sites.
 
Si le routeur bloquait IPSec, le tunnel actuel sur l'U70 ne serait pas monté je pense    
 
Merci de t’intéresser en tous cas  
 
EDIT : J'ai pas pu tester hier soir, au vu des "Alertes" dans l'Hérault. Je testerais ça la semaine prochaine :x

c'est pas faux ^^ j'avais oublié que t'as deja un u70 en prod . Pour moi sur le principe la conf de tes tunnels est ok (mais par forum interposé pas évident ) , je pense vraiment a un probleme de chiffrement, peut-être ajouter des propositions de chiffrement des deux côtés ? sinon la version de l'asq est la meme sur les deux boitiers ?

Il y à deux propals authentification/chiffrement pour la phase 1 (IKE), deux propals pour l'authentification phase 2 (IPSEC) et deux pour le chiffrement IPSEC.
 
Je pense à un problème avec le chiffrement/auth IKE vu que je ne passe pas en phase 2 ...
 
NTS est en 2.4.2 et MTP en 2.5, mais en 2.4.2 ça ne fonctionnait pas non plus

A quoi correspond SRV-MAIL-EXT? IP Publique de MTP?
Est ce la même IP que celle déclaré sur les firewalls distant?
 
N'aurais tu pas plusieurs connexions WAN sur MTP ou un pool d'adresse?

Salut,  
 
SRV-mail-ext est l'adresse publique de MTP effectivement
 
Le problème est résolu, j'avais une règle de NAT qui redirigeait le traffic entrant vers notre serveur de mail ... Effectivement, ça pouvait pas marcher  
 
Bref, merci pour l'aide quand même
 
A+
Matthieu