Configuration serveur : connexion client XP/VISTA

mai 15th, 2008

Depuis la sortie de VISTA SP1, la connexion IPSEC ne s’effectue plus correctement car il manque une commande (forceencaps=yes) dans la configuration des connexions pour les clients XP/VISTA.

Si, dans la configuration du serveur nous modifions légèrement la connexion pour les clients XP/VISTA en ajoutant :
conn vpn-l2tp-XP
# force l'encapsulation en UDP
forceencaps=yes
alors la connexion d’un VISTA SP1 fonctionne.
De fait, il faudra faire attention en cas de problème de connexion à bien ajouter dans REGEDIT la valeur (pour VISTA) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
(pour XP) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec valeur DWORD AssumeUDPEncapsulationContextOnSendRule à 2 comme cela est spécifié dans l’article Problème VISTA/XP SP2 : modification de la base de registre

Pour le moment nous avons deux choix au niveau du serveur :
– imposer la manipulation de regedit pour les clients XP et garder un type de connexion commune pour XP et VISTA
– régénérer des certificats pour les clients VISTA et créer une connexion spécifique pour VISTA et conserver la connexion XP actuelle.
Le choix sera déterminé semaine 21 suivant les essais faits avec XP SP2 et SP3 et VISTA sans SP1 et avec SP1. Pour le moment seuls les clients XP SP2 et VISTA sans SP1 peuvent utiliser les serveurs IPSEC.

Les résultats des tests démontrent que pour Windows XP SP1/SP2 et SP3 nous pouvons conserver la même configuration client et serveur => aucun changement à effectuer sur les postes clients XP ni de changement de certificat.

Pour Windows VISTA sans SP1 ou avec SP1, il faut mettre à jour la base de registre.

Tags: , , , , , ,
Posted in informations techniques, problèmes utilisateurs | No Comments »

Problème mail : utilisation d’un client mail à travers le VPN

mai 15th, 2008

Si vous êtes à l’extérieur de l’UFC et que vous utilisez un client de messagerie (par exemple le client de messagerie installé sur votre poste personnel à la maison), vous allez être confronté à un problème : l’adresse IP que vous fournit le serveur VPN est en classe privée, vous ne pouvez donc pas vous connecter à votre fournisseur d’accès (provider) privé.
– Pour remédier à cela vous pouvez reconfigurer votre client de messagerie avec les indications suivantes. Attention, cette solution ne fonctionnera plus si vous vous connectez en dehors d’une connexion VPN.
– L’autre solution est de ne se servir de sa messagerie personnelle qu’en dehors de la connexion VPN.

Tags: , , , ,
Posted in problèmes utilisateurs | No Comments »

Problème WIFI SSID vpn-ufc : DNS / adresse IP

mai 15th, 2008

Attention, lorsque vous configurez l’adresse du serveur VPN en utilisant le SSID vpn-ufc présent sur les bornes de l’Université de Franche-Comté, vous ne devez pas mettre le nom du serveur mais son adresse IP.
ex : 194.57.91.251 au lieu de test.vpn.univ-fcomte.fr
ex : 194.57.91.250 au lieu de vpn1.univ-fcomte.fr

En effet, ce SSID ufc-vpn n’a accès qu’aux serveurs VPN et donc n’a pas accès aux différents serveurs de nom (que ce soit ceux de l’UFC ou de votre provider).

Tags: , ,
Posted in problèmes utilisateurs | No Comments »

Problème Windows : Zone Alarm

mai 13th, 2008

Zone Alarm peut vous poser des soucis de connexion car établir un VPN est une action de connexion sur un site distant via un logiciel non enregistré par Zone Alarm.
blocage du serveur VPN

Pour cela il suffit d’ajouter le serveur dans les machines autorisées pour une connexion (ajout d’une adresse IP) :
déblocage du serveur VPN

Le même problème surviendra pour les accès sur des réseaux intérieurs à l’UFC via le VPN :
blocage d\'un réseau

il faudra encore une fois ajouter ce réseau à la liste des réseaux sécurisés :
déblocage d\'un réseau

Tags: , ,
Posted in problèmes utilisateurs | No Comments »

IPSEC et taille du certificat serveur

mai 7th, 2008

Le protocole IKE d’échange des certificats entre le serveur et le client ne supporte pas, de la part du serveur, une fragmentation des paquets contenant le certificat. Ainsi, avec une clef de certificat de taille 1024 bits, tout se passe bien, mais si l’on en crée une de 4096 bits, le serveur est incapable de négocier avec le client une connexion IPSEC.
Les serveurs VPN sont donc équipés de certificats avec des clefs de 1024 bits.

Tags: , ,
Posted in informations techniques | 3 Comments »

Problème VISTA/XP SP2 : modification de la base de registre

mai 5th, 2008

George Ou a trouvé un problème sous VISTA (et sous XP service pack 2) lors de la connexion d’un client sur openswan à travers un NAT. Le problème empêche la connexion VPN IPSEC de s’établir.
problème de connexion
windows VISTA erreur 800

L’article Configuration serveur : connexion client XP/VISTA donne des précisions importantes sur ce sujet.

Pour corriger cela (si vous avez lu l’article en lien, seul VISTA a besoin d’un changement de la base de registre) un article est paru chez microsoft.
En ce qui nous concerne, il faut ouvrir la base de registre, naviguer jusqu’à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
(ou avec XP SP2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec) et créer le DWORD (32-bit) AssumeUDPEncapsulationContextOnSendRule avec la valeur 2

Pour une prise en compte de la nouvelle base de registre, redémarrer Windows.

Tags: , , ,
Posted in Informations utilisateurs | No Comments »

LINUX serveur : script

mai 2nd, 2008

Un script spécifique lors de la création d’un lien PPPXX à été écrit pour éliminer dans IPTABLES (mangle) les restes des connexions mal fermé. Le problème est l’accumulation dans la tabe mangle de connexion lié au même PPP alors que la connexion en cours à besoin d’un ajout en cours pour sa propre connexion PPP.

Le script effectue donc une élimination de toutes les lignes dans mangle traitant du PPP en cours ; ensuite il y a ajout de la bonne ligne PPP dans la table mangle.

Le fichier se trouve dans : ip-pre-up.d/vpn-pre-connect

Tags: , , ,
Posted in informations techniques | No Comments »

LINUX : L2TP contre XL2TP

mai 2nd, 2008

Ces deux programmes permettent d’identifier par une surcouche à PPP un utilisateur à travers un lien IPSEC actif.

Au cours des travaux de mise en oeuvre du projet VPN, nous avons souvent oscillé entre les deux, pour plusieurs raisons :

– L2TP n’est plus maintenur officielement

– XL2TP est maintenu

– pour un client L2TP permet une authentification sans passer par un fichier pap-secret avec un mot de passe en clair

– L2TP est en standard dans les distributions LINUX

– L2TP à été modifié est un repository au LIFC le maintient à jour

Lors des tests beta, nous avons remarquer que L2TP du côté serveur tombait régulièrement sans raison et sans information dans les fichiers de logs.

Le serveur est donc recofiguré avec XL2TP.

Côté client L2TP peu être maintenu.

Tags: , ,
Posted in informations techniques | No Comments »

Problème windows : erreur 629

avril 25th, 2008

Suite à une erreur de connexion, si on essaye de se reconnecté trop vite on obtient un message d’erreur.
erreur windows 629
Il suffit d’attendre quelques minutes (3 mns normalement) et de reprendre l’opération de connexion.

Tags: ,
Posted in problèmes utilisateurs | No Comments »

« Older Entries
Newer Entries »