Le protocole IKE d’échange des certificats entre le serveur et le client ne supporte pas, de la part du serveur, une fragmentation des paquets contenant le certificat. Ainsi, avec une clef de certificat de taille 1024 bits, tout se passe bien, mais si l’on en crée une de 4096 bits, le serveur est incapable de négocier avec le client une connexion IPSEC.
Les serveurs VPN sont donc équipés de certificats avec des clefs de 1024 bits.
Tags: certificat, ipsec, taille
d’après de récente recherche, il semble que ce soit un problème de MTU et pas de taille du certificat. La carte réseau (de ce serveur tout neuf) effectuant correctement sont travail, ce qui n’est pas le cas de la machine de test.
Nous allons effectuer d’autre test avant de déterminer la marche à suivre pour éliminer le problème.
confirmation des essais sur place et via ADSL. Notre problème est un problème de MTU. Avec deux certificats de 4096, les échanges se passent correctement du moment que le MTU du serveur et que celui du client soient en phases avec les MTU des routeurs en vis à vis.
Dans le cas du serveur, le MTU réseau (donné par le routeur) n’était pas en phase.
Après remise en place du MTU du serveur et ajustement du MTU négocié par PPP/L2TP, tout fonctionne correctement.
Beaucoup plus tard…
les différents essais à ce propos (règlage MTU or not MTU) nous donnent :
– clef 4096 octets avec MTU réglé pile poil => des fois ca marche, des fois non
– clef 4096 octets avec MTU généraliste => des fois ca marche des fois non
– clef 1024 octets avec MTU généraliste => 100% de réussite
Attention, lorsque nous parlons de MTU généraliste c’est celui de la carte réseau. Dans IPSEC on essaie de forcer le MTU à 1400 pour éviter lors de l’imbrication des couches DATA -> PPP -> L2TP -> UDP1701 -> IPSEC un dépassement du MTU de la carte réseau et donc une fragmentation du paquet.
Lorsque le serveur recois lors de l’échange des clefs deux paquets au lieu d’un seul, il drop le tout ce qui conduit à un arrêt de la négociation et donc un echec de la connexion.
Il est donc impératif d’avoir des clefs qui permettent un échange de clef avec un seul paquet => taille des clefs de 1024octets