Salut à tous !
 
Configuration host-to-host
-----------------------------
Je galere comme pas possible pour faire du host-to-host.  
J'ai un client PGP sur un Win98 et mon Freeswan de l'autre.  
L'autre ce que je ping l'autre bécanne, le send s'incrémente mais pas le receive.
 
Voici le /etc/ipsec.conf de freeswan
 
# Essai
 
config setup
        interfaces="ipsec0=eth0"
        klipsdebug=none
        plutoload=%search
        plutostart=%search
 
#conn %default
        #keyungtries=0
        #authby=PSK
 
conn cl-se
        left="172.20.211.43"
        right="172.20.211.42"
        auto=add
 
 
 
INSTALLATION -> RESOLU
-----------------------------
J'ai une debian sarge.
 
-J'ai compilé un kernel 2.4.20 à la mimine.
-J'ai patché le kernel à partir des sources de la dernière version stable.
         * J'ai fais un make menugo -> où j'ai installé en dur les options IPSEC (po de message d'erreur)
         * J'ai fais un make kinstall (po de message d'erreur)
-J'ai redémarrer.
 
Mais j'ai ces messages au démarrage :
"
ipsec_setup : starting FreeS/WAN IPSEC 1.99...
ipsec_setup : insmod : ipsec : no module ipsec
ipsec_setup : kernel appears to lack KLIPS
ipsec_setup : OOPS, should have aborded! Brocken shell
"
 
et
 
/usr/local/sbin/ipsec
/etc/ipsec.conf  
/etc/ipsec.secrets
 
ont été créés.
 
Tout les fichiers sembles là.
 
Comment savoir si IPSEC a été bien installé ?

Voici ce que j'obtiens lorsque je fais un "ipsec verify"
 
Version check and ipsec on-path                   [OK]
Checking for KLIPS support in kernel              [FAILED]
Checking RSA private key (/etc/ipsec.secrets)     whack : Pluto is not running (no "/var/run/pluto.ctl" )          [FAILED]
DNS checks.
Looking for forward key for vpnserver          /usr/local/lib/ipsec/verify: line 96: host: command not found                                 [FAILED]
Does the machine have at least one non-private adress [OK]
 
 
Je suis dans la mouise ! Je sais pas quoi faire !  

Bah si t'as tout compilé en dur, c'est pas etonnant que le insmod ipsec foire...
 
Sinon, le probleme de pluto is not running me rappelle un truc, mais bon ca date de l'année dernière, alors bon...
 
Deja essaye de voir en mettant en module.

 
Ca m'a saoulé, j'ai fais un :
make clean; make bzImage (make modules; make modules_install
 
J'ai copier mon bzImage ds /boot et lilo
 
Au boot j'ai ces messages
 
ipsec_setup: Starting FreeS/WAN IPsec U1.96/K1.99
ipsec_setup: WARNING: ipsec0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/ipsec0/rp_filter = '1', should be 0)
ipsec_setup: WARNING: eth0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/eth0/rp_filter = '1', should be 0)
 
 
Qd je fais ipsec verify, j'obtiens ceci
 
Version check and ipsec on-path                   [OK]  
Checking for KLIPS support in kernel              [OK]  
Checking RSA private key (/etc/ipsec.secrets)     [OK]
Checking that pluto is running                    [FAILED]  
DNS checks.  
Looking for forward key for vpnserver   /usr/local/lib/ipsec/verify: line 96: host: command not found  [FAILED]  
Does the machine have at least one non-private adress [OK]  
 
Pour info, j'ai compiler en dur ds le noyau les options IPSEC.
 
 
Ca avance... mais il y encore qq problème.
 
 
Merci à ceux qui cherche à m'aidé !  

faut que tu fasses ca quelques part dans un de tes scripts de demarrage :

 
Ca je me souviens qu'on l'avait fait... en fait le routage c'est freeswan qui va le faire pour ces interfaces.

J'ai mis le fichier l'option spoofprotect=no ds le fichier /etc/network/options
 
Et je n'ai plus le message d'erreur au démarrage.
 
 
Par contre lorsque je fais un ipsec verify.
Rien n'a changé depuis la dernière fois !
 
Help  

On dirait qu'il appelle la commande host mais qu'il la trouve pas.
Deux possibilités : soit elle est pas installée (mouais...)
Soit elle est pas dans le PATH au moment de l'appel du script (re-mouais...).

La commande host n'était effectivement pas installé.
 
 
Voici maintenant le message que j'obtiens, qd je fais ipsec verify
 
Version check and ipsec on-path                   [OK]  
Checking for KLIPS support in kernel              [OK]  
Checking RSA private key (/etc/ipsec.secrets)     [OK]  
Checking that pluto is running                    [FAILED]  
DNS checks.  
Looking for forward key for vpnserver   vpnserver.chu.lan\000 does not exist, try again
Does the machine have at least one non-private adress [OK]
 
 
Je n'ai guere avancé !    
 
Ce qui m'inquite le plus c'est l'histoire du pluto

T'as bien configure tes clefs des deux cotés ?
sur la machine 1 la clef de la machine 2, sur la machine 2 la clef de la machine 1 ?
 

J'ai encore rien configuré.  
Je pensais le faire lorsque je n'aurais plus de failed quand je fais un ipsec_verify.
 
Je n'ai encore configuré aucune clé.
 

Alors ca vient peut etre bien de la...

Excuse moi ! Mais je suis débutant.
 
Mon fichier /etc/ipsec.secrets dispose de blabla commenté.
 
D'après ce que j'ai compris il faut que je créé une paire de clef pour l'authentification grace au protocole RSA.
 
Si j'ai bien compris, je génére la paire de clef en faisant :
 
ipsec rsasigkey --verbose 2048 > /root/clef
 
Ensuite je copie la /root/clef entre les 2 accolades du /etc/ipsec.secrets
 
 
 
Mon IPSEC client est quand à lui sous windows 98.
Certains conseil PGPnet. J'ai pas d'accès FTP sur ce post. Je l'installerais lundi.
 
Pour le client il faut inversé le left et le right si j'ai bien commpris.
 
Et sa devrait etre OK.
 
 
Ca se passe comme ça ?

Enfin pluto devrait fonctionner sans faire tt ça d'apres la doc

Ouep c'est ca.
Par contre j'ai amais essaye de faire de l'IPsec entre une machine linux et une Windows... alors de l'autre cote je sais pas comment ca se passe...
 
Pour pluto, apparemment, si ton /etc/ipsec.conf est pas configuré, ca peut pas trop marché, mais bon...
Sinon, t'as pas des messages d'erreur dans tes logs a ce propos ?

Normalement IPSEC est un standard, donc le client soit sous win ou nux ça devrait pas poser de problème.
 
Pour l'instant je vais essayé de faire du Host to Host.
Parce que le but de mon stage c'est de faire du LAN to Host.  
 
Merci t'es sympa de m'aider !  
 
Comment cela se fait il qu'il y ait aussi peu de monde qui soit intéresser par mon topic ?  
 
Ipswan est répandu comme implémentation normalement.

Dans le /var/log/message il ne semble pas y avoir de message de pb freeswan à première vu.  
 
Puis qd je fais un ifconfig j'ai eth0 et ipsec0 qui s'affiche.

Ca s'est normal, en fait ipsec0 sera l'interface (virtuelle) qui sera utilisé pour le routage vers l'autre cote du VPN.
 
Sinon, si y a si peu de personnes qui s'interessent a ton topic, c'est qu'a mon avis peu l'ont mis en oeuvre.
 
Moi j'ai eu l'occasion de m'y frotter lors d'un projet d'etude, mais bon, on s'etait bien pris la tete a l'epoque pour le faire marcher (style plusieurs jours...).
 
A et pis tant que j'y pense, fait gaffe pour la lisaison Host, to Host, faut bien configurer tout ca, parce que par defaut les deux passerelles effectuant la liaison ne se voit pas, et ne sont pas visible du reseau opposé (enfin c'est un probleme qu'on decouvre quand on configure du Net-to-Net... bonjour la prise de tete !).
 
Bah bon courage alors !

 
Comme tu l'avais prédis je galere comme pas possible pour faire du host-to-host.
J'ai un client PGPnet sur un Win98 et mon Freeswan de l'autre.
L'autre ce que je ping l'autre bécanne, le send s'incrémente mais pas le receive.
 
Quelle mer** !  

avec Freeswan, il fallait declarer 4 regles de chaque coté :
reseau1 <=> reseau2
passerelle1 <=> reseau2
reseau1 <=> passerelle2
passerelle1 <=> passerelle2
 
Enfin ca c'etait si on voulait que les passerels puissent se voir et etre vu du reseau opposé. Dans la pratique on peut ne vouloir que la premiere...
 
Si ca peut t'aider...