Problème VPN (IPSec)



  • Bonjour à tous,

    J’ai récemment changé le routeur de l’entreprise dans laquelle j’effectue mon stage par un routeur pfSense (l’ancien étant un routeur Zywall 35 vieillissant). La configuration réseau comprend 2 WAN, une liaison ADSL et une autre SDSL, 1 LAN et 1 DMZ.

    Lors de la migration je n’ai pas eu de problème particulier si ce n’est que 2 des 18 sites distants refusent de se connecter en VPN. Les connexions nomades fonctionnent.

    J’établis les VPN sur la connexion SDSL en utilisant le protocole IPSec. Tous les sites distants ont une configuration réseaux identique. Ils sont connectés à internet via une ligne orange et un routeur Zywall 5. Les 18 VPN sont configuré de la même manière seulement 2 refuse la connexion.

    Voici les logs d’ipsec ou j’essaie de connecter un de ces deux sites, « Dépôt SMH » :

    Feb 23 12:56:02 racoon: [Depot SMH]: [89.87.XX.XX] ERROR: unknown Informational exchange received.
    Feb 23 12:56:02 racoon: [Depot SMH]: INFO: respond new phase 1 negotiation: 89.87.XX.XX[500]<=>89.87.XX.XX[500]
    Feb 23 12:56:02 racoon: INFO: begin Aggressive mode.
    Feb 23 12:56:02 racoon: INFO: received Vendor ID: DPD
    Feb 23 12:56:02 racoon: [Depot SMH]: [89.87.XX.XX] NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Feb 23 12:56:06 racoon: NOTIFY: the packet is retransmitted by 89.87.XX.XX[500] (1).
    Feb 23 12:56:12 racoon: ERROR: failed to get sainfo.
    Feb 23 12:56:14 racoon: NOTIFY: the packet is retransmitted by 89.87.XX.XX[500] (1).
    Feb 23 12:56:19 racoon: [217.128.XX.XX] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Feb 23 12:56:23 racoon: [217.128.XX.XX] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Feb 23 12:56:30 racoon: NOTIFY: the packet is retransmitted by 89.87.XX.XX[500] (1).
    Feb 23 12:56:31 racoon: [217.128.XX.XX] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Feb 23 12:56:32 racoon: [Depot SMH]: [89.87.XX.XX] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 89.87.XX.XX[0]->89.87.XX.XX[0]
    Feb 23 12:56:32 racoon: INFO: delete phase 2 handler.

    Par contre lorsque que j’essaie de connecter ces 2 sites non plus en utilisant la connexion SDSL mais ADSL ça fonctionne. Âpres quelque manipulation j’ai coupé une des liaisons VPN qui fonctionnait sur l’SDSL pour effectuer quelques tests mais lorsque que j’ai voulu la reconnecter le tunnel ne voulait plus se recréer. Par contre même constat si je fait passer par l’ADSL la liaison fonctionne.

    Je ne sais pas vraiment quoi faire face à ce cas de figure, j’ai effectué quelques recherches sur le forum et j’ai eu comme début d’élément de réponse que ça pouvait être ma carte réseau (physique) qui ne supporterait pas toutes les connexions, mais étant dans l’impossibilité de la changer avant demain je voulais savoir si quelqu’un avait déjà eu ce genre de soucis.

    Merci de votre aide !



  • Pourriez vous éventuellement augmenter ou modifier de part et d'autre le lifetime pour phase 1 et phase 2 ?



  • J’ai déjà essayé en mettant 28800 en lifetime (au lieu de 3600 par defaut pour la phase 2) pour les phase 1 et 2, serait-il nécessaire d’augmenter plus que cela ?



  • Au cas ou quelqu’un aurait le même souci, de mon coté c’est résolu. La première idée était la bonne, ma carte réseau ne supportait pas autant de connexion, ou elle devait être tout simplement défectueuse.

    En changeant la carte toutes les connexions ce sont montées.


Log in to reply