IPSEC Zywall VPN Client et Bintec [RESOLU] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 12-03-2013 à 10:44:39
Hello,
De leur côté, vous avez les même réseaux déclarés, avec même type d'encryption phase 1 et 2, avec les même timing? il faut vraiment qu'il y ait la même chose de déclaré des 2 côtés, je pense que ce n'est pas un secret pour vous.. mais peut-être que de leur côté ce n'est pas le cas. s'il s'agit d'un problème de renégociation au niveau de la phase 1, peut-être regarder au niveau de l'activation du PFS(perfect forward secrecy)
Que disent les logs au niveau des SA?
Marsh Posté le 12-03-2013 à 11:19:59
Je pense que tout ça colle, voici les logs:
[VPNCONF] TGBIKE_STARTED received
2013-03-11 13:06:35 Default (SA cnxVpnSousmontoit-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
2013-03-11 13:06:35 Default (SA cnxVpnSousmontoit-P1) RECV phase 1 Main Mode [SA] [VID] [VID]
2013-03-11 13:06:35 Default (SA cnxVpnSousmontoit-P1) SEND phase 1 Main Mode [KEY_EXCH] [NONCE]
2013-03-11 13:06:36 Default (SA cnxVpnSousmontoit-P1) RECV phase 1 Main Mode [KEY_EXCH] [NONCE]
2013-03-11 13:06:36 Default (SA cnxVpnSousmontoit-P1) SEND phase 1 Main Mode [HASH] [ID] [NOTIFY]
2013-03-11 13:06:36 Default (SA cnxVpnSousmontoit-P1) RECV phase 1 Main Mode [HASH] [ID]
2013-03-11 13:06:36 Default phase 1 done: initiator id 192.168.10.100, responder id 109.x.x.x
2013-03-11 13:06:36 Default (SA cnxVpnSousmontoit-SMT-P2) SEND phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
2013-03-11 13:06:36 Default (SA cnxVpnSousmontoit-SMT-P2) RECV phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
2013-03-11 13:06:36 Default (SA cnxVpnSousmontoit-SMT-P2) SEND phase 2 Quick Mode [HASH]
2013-03-11 13:07:05 Default (SA cnxVpnSousmontoit-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
2013-03-11 13:07:05 Default (SA cnxVpnSousmontoit-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
Marsh Posté le 12-03-2013 à 11:56:25
Effectivement, de votre côté ça semble bien coller.
Avez-vous réussi à comparer vos configs et les réseaux déclarés suite au changement de la plage? je parle surtout de leur côté.
De leur côté, il accèdent correctement à votre LAN?
Marsh Posté le 13-03-2013 à 16:11:52
Bonjour, j'ai à nouveau contacté le support et nous avons trouvé la solution. Ils ont dû ouvrir le protocole ESP pour le flux de données crypté. Ceci explique que le tunnel montait bien, mais qu'aucune donnée ne passait.
Merci à vous charon_ pour l'intérêt porté à ce post.
Marsh Posté le 12-03-2013 à 10:39:09
Bonjour,
j'ai un soucis sur un réseau VPN IpSec entre un Zyxell firewall sur lequel les intervenants extérieurs se connectent via le client Zywall VPN Client Ipsec.
Il y a 115 utilisateurs qui se connectent d'un peu partout mais la ou je bloque c'est sur un site équipé de Bintec fournisseur Keyyo.
Sur le poste en question, le tunnel se monte bien mais les ping ne passent pas..
J'ai changer la plage ip qui est passé de 192.168.1.x à 192.168.10.x, la plage distante est 192.168.50.x
J'ai tenté depuis plusieurs poste et rien ne passe.
J'arrive à ping l'ip publique distante mais pas les poste sur la plage 192.168.50.x
Je ne sais plus ou chercher, d'après le fournisseur Keyyo qui gère le routeur, il n'y aurai aucun blocage..
Avez-vous des pistes de réflexion à proposer?
Merci par avance.
Message édité par ludo_conexys le 13-03-2013 à 16:13:10