Posts Tagged ‘linux’

Compilation du client VPN sur GENTOO

mercredi, octobre 5th, 2022

Alexis Praga (CHU Besançon) nous signal ce point sur la compilation du client Strongswan sur une distribution Linux Gentoo.

j’ai pu faire fonctionner également le VPN sous Gentoo en utilisant votre tutorial (network-manager et son plugin). Il faut cependant installer strongswan en tant que root et avec toutes les options :

USE="caps constraints curl debug dhcp eap farp gcrypt gmp networkmanager openssl pam pkcs11 sqlite strongswan_plugins_addrblock strongswan_plugins_aesni strongswan_plugins_blowfish strongswan_plugins_bypass-lan strongswan_plugins_ccm strongswan_plugins_chapoly strongswan_plugins_ctr strongswan_plugins_error-notify strongswan_plugins_forecast strongswan_plugins_gcm strongswan_plugins_ha strongswan_plugins_ipseckey strongswan_plugins_kdf strongswan_plugins_led strongswan_plugins_lookip strongswan_plugins_newhope strongswan_plugins_ntru strongswan_plugins_rdrand strongswan_plugins_save-keys strongswan_plugins_systime-fix strongswan_plugins_unbound strongswan_plugins_unity strongswan_plugins_vici strongswan_plugins_whitelist strongswan_plugins_xauth-noauth systemd -ldap -mysql -non-root (-selinux) (-strongswan_plugins_padlock)" emerge

Options nécessaires

mercredi, avril 6th, 2022

Sur une installation manuelle ou sur une mise à jour, il est possible que les deux options (entourées de rouge sur l’image suivante) de la connexion VPN soient invalidées.

Sans une revalidation de ces options, votre connexion au serveur VPN ne fonctionnera pas.

(Merci à Stéphane Daumas pour sa patience et l’ensemble des tests que nous avons effectués avec lui).

Problème d’importation de “.vpn” sous Linux depuis Zimbra (ou autre mailer)

mercredi, octobre 4th, 2017

Si vous avez une erreur lors du lancement de la connexion VPN ou si SHREW vous demande une authentification du certificat, c’est que vous pouvez avoir l’erreur d’importation.

Sous Linux, nous retrouvons le répertoire “Téléchargement” qui est le plus souvent le répertoire par défaut de sauvegarde des pièces jointes des courriers électroniques.
Or votre certificat vous est envoyé par courrier électronique.
Si vous essayez d’importer depuis SHREW le “.vpn” qui se trouve dans le répertoire “Téléchargement“, celui-ci sera mal importé.
Cette erreur d’importation vient du logiciel SHREW qui gère mal les accents lors du choix du fichier à importer.

Il vous suffit de déplacer le “.vpn” dans votre répertoire principal et de réimporter le certificat.
Les erreurs ne devraient alors plus se reproduire.

Pas de réseau

jeudi, janvier 14th, 2016

Après la mise en route du VPN et de votre authentification, vous vous rendez compte que vous n’avez pas de réseau.
Même un ping sur votre passerelle (172.20.252.254 si vous êtes dans le realm @ufc) ne passe pas.
Pourtant le système VPN vous a bien donné une ip (172.20.252.xxx si vous êtes dans le realm @ufc).

C’est un souci qui se produit parfois suite à plusieurs déconnexions et reconnexions de votre client VPN (SHREW, sous MACOSX ce problème ne s’est pas posé en ces termes).
Ces déconnexions/connexions peuvent être volontaire ou non c’est-à-dire qu’il est possible qu’elles passent inaperçues.

Pour résoudre le souci, il faut :
– se déconnecter du VPN
– fermer la fenêtre de connexion VPN (SHREW)
– stopper le démon iked et ipsecd
* sous linux faire sudo iked
* sous window dans une fenêtre cmd
net stop ipsecd
net stop iked
net start iked
net start ipsecd

puis refaire les opérations de connexion :
– relancer le démon iked
– relancer la fenêtre de connexion VPN (SHREW)
– se connecter au VPN

Sinon vous avez aussi la possibilité de relancer votre poste de travail.

Erreur de librairie lors de l’installation de SHREW (Linux)

lundi, janvier 11th, 2016

Suite à une réinstallation et la découverte de ce bug, Ernest Chiarello nous indique la marche à suivre.

Dans les sources de ubuntu, il la version 2.2.1 de Shrew existe.

# dpkg --list | grep -i shrew
ii ike 2.2.1+dfsg-2ubuntu1 amd64 Shrew Soft VPN client - Daemon and libraries
ii ike-qtgui 2.2.1+dfsg-2ubuntu1 amd64 Shrew Soft VPN client - Connection manager

Si iked se lance sans souci, vous pouvez avoir un problème avec qikea

$ qikea &
[1] 3856
qikea: error while loading shared libraries: libss_ike.so.2.2.1: cannot open shared object file: No such file or directory

Effectivement on vérifie se manque par :

$ ldd `which qikea`
libss_ike.so.2.2.1 => not found
libss_idb.so.2.2.1 => not found
libss_ith.so.2.2.1 => not found
libss_log.so.2.2.1 => not found

Mais nous pouvons corriger en demandant à ldd de rajouter les librairies utilisées par iked, en créant un fichier /etc/ld.so.conf.d/iked.conf comme suggéré ici : http://comments.gmane.org/gmane.network.vpn.shrew.user/3195

# cat /etc/ld.so.conf.d/iked.conf
/usr/lib/x86_64-linux-gnu/ike

Il faut terminer en lançant :

# ldconfig

Enfin, il faut noter que l’interface graphique qikea est disponible dans l’environnement utilisateur. (internet->shrew).
il n’est donc pas nécessaire de la lancer depuis une console, à moins d’avoir besoin de debugguer.

Problème de connexion depuis l’ENSMM

jeudi, septembre 16th, 2010

L’ENSMM par sa politique de sécurité qui consiste à autoriser qu’une ou deux adresses publique pour le NAT des machines en classe privée en son sein, ne permet donc qu’a un seul client Windows/Mac de se connecter sur le serveur VPN1 (194.57.91.250). Pour éviter ce problème (NAT), nous pourrions utiliser le lien direct (ENSMM-UFC) qui à été mis en place pour les besoins du laboratoire FEMTO-ST, mais l’ENSMM refuse de router les classes d’adresses de l’UFC par ce biais. De fait, le VPN ne fonctionne pas de manière efficace entre l’ENSMM et l’UFC

Linux/Windows : déconnexion de la liaison VPN

dimanche, juillet 12th, 2009

Dans certain cas, il y a perte de connexion VPN sans erreur visible dans les fichiers de logs.

Deux pistes :

– coupure temporaire du lien réseau (qui peut arriver avec le WIFI, ou plus rarement une panne de l’opérateur) ;

– surcharge importante du lien par un ordinateur tièrce (si votre portable est en VPN que votre machine de bureau sans VPN effectue un gros transfert de fichier en utilisant toute la bande passante).

Linux : outils

mardi, avril 28th, 2009

Dans la boite à outils que propose Linux nous pouvons trouver :
iwconfig
dhclient

iwconfig permet de voir la configuration d’une interface WIFI …
iwconfig eth1
eth1 IEEE 802.11b ESSID:"ufc-personnels" Nickname:"ipw2100"
...

… ou de la reconfigurer :

iwconfig eth1 essid ufc-vpn

iwconfig eth1
eth1 IEEE 802.11b ESSID:"ufc-vpn" Nickname:"ipw2100"
...

et l’outils dhclient vous permet de récupérer via DHCP une adresse IP :

dhclient
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth1/00:04:23:96:c2:09
Sending on LPF/eth1/00:04:23:96:c2:09
Listening on LPF/eth0/00:06:1b:d8:c4:cb
Sending on LPF/eth0/00:06:1b:d8:c4:cb
Sending on Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 4
DHCPOFFER from 172.21.7.254
DHCPREQUEST on eth1 to 255.255.255.255 port 67
DHCPACK from 172.21.7.254
bound to 172.21.7.231 -- renewal in 5416 seconds.

Problème Linux : certificat non reconnu

jeudi, mars 19th, 2009

Un certificat non reconnu provoque est visible dans les logs du serveur /var/log/auth.log
Après la séquence de négociation correcte :
Mar 18 13:24:54 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: responding to Main Mode from unknown peer 172.21.7.202
Mar 18 13:24:54 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Mar 18 13:24:54 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: STATE_MAIN_R1: sent MR1, expecting MI2
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: STATE_MAIN_R2: sent MR2, expecting MI3

Et l’erreur proprement dite :
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, ST=Franche-Comte, O=UFC, OU=CRI, CN=choucroute, E=vpn-master@univ-fcomte.fr'
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: no crl from issuer "C=FR, ST=Franche-Comte, L=Besancon, O=UFC, OU=CRI, CN=CAvpn, E=vpn-master@univ-fcomte.fr" found (strict=no)
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: no suitable connection for peer 'C=FR, ST=Franche-Comte, O=UFC, OU=CRI, CN=choucroute, E=vpn-master@univ-fcomte.fr'
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: sending encrypted notification INVALID_ID_INFORMATION to 172.21.7.202:500

L’interprétation de l’erreur est assez simple puisque nous voyons que le certificat de choucroute contient OU=CRI ce qui n’est pas une valeur attendu (LINUX, XP, MACOS)

Problème Linux : Certificat cacert.pem

vendredi, février 27th, 2009

Si vous avez le message suivant dans vos log /var/log/auth.log :
Feb 27 11:42:14 cri-29 pluto[6156]: "ufc-vpn" #1: issuer cacert not found
... pluto[6156]: "ufc-vpn" #1: X.509 certificate rejected
... pluto[6156]: "ufc-vpn" #1: no RSA public key known for '194.57.91.250'

C’est que le fichier /etc/ipsec.d/cacerts/cacert.pem n’est pas le bon ou qu’il n’est pas dans ce répertoire.
Pour vérifier le cacert :
openssl x509 -in /etc/ipsec.d/cacerts/cacert.pem -noout -subject
qui vous donne :
subject= /C=FR/ST=Franche-Comte/L=Besancon/O=UFC/OU=CRI/CN=CA-vpn/
emailAddress=vpn-master@univ-fcomte.fr