Connection VPN IPsec avec Shrew VPN Access Manager.



  • Bonjour à tous.

    Je souhaite mettre en place une connexion VPN entre un client (Windows 7 64 bits) et mon réseau local (192.168.90.0/24) protégé par pfSense v1.2.3-RELEASE. Ce dernier se trouve derrière un modem NetGear DG834 (192.168.1.1) sur lequel tous les ports sont ouverts.

    J'ai donc suivi le IPsec Road Warrior/Mobile Client How-To, avec la version du client Shrew (2.1.7) pour qu'il soit compatible avec Windows 7 64 bits.

    Lors de ma tentative de connexion depuis l'extérieur, j'ai le message suivant "negotiation timeout occurred" affiché par Shrew.

    Rien dans le log d'IPsec à part ma création de service IPsec :

    
    Jan 20 15:19:38 	racoon: [Self]: INFO: 192.168.1.10[500] used as isakmp port (fd=17)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 192.168.90.254[500] used as isakmp port (fd=16)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 192.168.117.1[500] used as isakmp port (fd=14)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 192.168.1.10[500] used as isakmp port (fd=17)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 192.168.90.254[500] used as isakmp port (fd=16)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Jan 20 15:19:38 	racoon: [Self]: INFO: 192.168.117.1[500] used as isakmp port (fd=14)
    Jan 20 15:19:38 	racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Jan 20 15:19:38 	racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
    Jan 20 15:19:38 	racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
    

    Merci par avance de votre aide !

    Fabrice.



  • La page des tutoriels indiquée ne donne qu'un lien pour vpn roadwarrior mais c'est pour OpenVPN (qui est excellent pour faire un client VPN).

    Si vraiment il faut faire de l'ipsec (dont je ne vois pas bien l'intérêt pour un roadwarrior), j'irais plutôt chercher sur la page :

    http://doc.pfsense.org/index.php/VPN_Capability_IPsec

    Il y a un lien pour ipsec roadwarrior dans lequel est mentionné un lien pour "Ipsec troubleshooting".

    Comme disent les anglophones, "devil're in the detail", bien vérifier chaque item de la configuration.

    (Ais-je déjà dit que je préfère OpenVPN pour faire un roadwarrior ?)



  • Merci pour la réponse !

    En ce qui concerne le choix d'OpenVPN ou IPSec, ce dernier l'a été par défaut…
    Malgré toute ma bonne volonté, je n'ai pu me connecté avec le client OpenVPN (probablement encore un problème de paramétrage ou un conflit avec Windows 7 64 bits)

    
    Jan 20 19:32:57 	openvpn[56716]: User/82.127.51.16:58215 [User] Inactivity timeout (--ping-restart), restarting
    Jan 20 19:30:53 	openvpn[56716]: 82.127.51.16:58215 [User] Peer Connection Initiated with 82.127.51.16:58215
    Jan 20 19:30:51 	openvpn[56716]: 82.127.51.16:58215 LZO compression initialized
    Jan 20 19:30:51 	openvpn[56716]: 82.127.51.16:58215 Re-using SSL/TLS context
    

    Je vais revérifier une troisième fois mes paramètres avant de passer sur un client 32 bits sous Windows XP Pro, et je retenterai OpenVPN, avec un peu de chance et beaucoup d'abnégation…

    Fabrice.



  • Pour information le client Openvpn fonctionne sous Windows 7. Dans le cas récent que j'ai traité je ne sais plus si c'est en 32 bits ou en 64bits. Attention paramétrage du client (droits en exécution) pour faire fonctionner l'option Push-route.



  • La version 2.1 d'OpenVPN est sensé avoir résolu la nécessité d'être Administrateur local des versions précédentes.
    Elle fonctionne avec un Windows 7 64 bits (j'ai un pc sous ce système).

    Attention à l'ajout de paramètres dans le fichier de conf côté client : il est impératif que ce soit bien coordonné !
    (Exemple type : lzo actif d'un côté et pas de l'autre = échec de la connexion !).

    Il est bien évident qu'OpenVPN utilise des clés lesquelles doivent faire partie d'une (petite) PKI local.
    Bien suivre les tutos d'initialisation du système (et particulièrement noter les noms de clés créés).
    C'est un peu fastidieux car manuel mais, ensuite quelle facilité !



  • Merci pour toutes ces réponses.

    Pour la création des clés par la méthode citée pour OpenVPN, j'ai bien sûr modifié dans les fichiers (vars.bat,etc…) le chemin à corriger (Program files (x86)) que le logiciel n'a pas retenu...
    Mes clés semblent bonnes, mais je reprendrai la méthode point par point, quitte à le faire vérifier par un collègue lundi.

    Je vous tiendrai au courant.

    Encore merci.

    Fabrice.



  • Bonjour à tous.

    Après deux échecs consécutifs de création de certificats, j'ai finalement réussi à utiliser OpenVPN au profit d'IPSec.

    Merci encore à tous ceux qui ont patiemment voulu répondre à mes inquiétudes.  ;)

    Fabrice.


Locked