Posts Tagged ‘problème’

Pas de réseau

jeudi, janvier 14th, 2016

Après la mise en route du VPN et de votre authentification, vous vous rendez compte que vous n’avez pas de réseau.
Même un ping sur votre passerelle (172.20.252.254 si vous êtes dans le realm @ufc) ne passe pas.
Pourtant le système VPN vous a bien donné une ip (172.20.252.xxx si vous êtes dans le realm @ufc).

C’est un souci qui se produit parfois suite à plusieurs déconnexions et reconnexions de votre client VPN (SHREW, sous MACOSX ce problème ne s’est pas posé en ces termes).
Ces déconnexions/connexions peuvent être volontaire ou non c’est-à-dire qu’il est possible qu’elles passent inaperçues.

Pour résoudre le souci, il faut :
– se déconnecter du VPN
– fermer la fenêtre de connexion VPN (SHREW)
– stopper le démon iked et ipsecd
* sous linux faire sudo iked
* sous window dans une fenêtre cmd
net stop ipsecd
net stop iked
net start iked
net start ipsecd

puis refaire les opérations de connexion :
– relancer le démon iked
– relancer la fenêtre de connexion VPN (SHREW)
– se connecter au VPN

Sinon vous avez aussi la possibilité de relancer votre poste de travail.

Problème de connexion depuis l’ENSMM

jeudi, septembre 16th, 2010

L’ENSMM par sa politique de sécurité qui consiste à autoriser qu’une ou deux adresses publique pour le NAT des machines en classe privée en son sein, ne permet donc qu’a un seul client Windows/Mac de se connecter sur le serveur VPN1 (194.57.91.250). Pour éviter ce problème (NAT), nous pourrions utiliser le lien direct (ENSMM-UFC) qui à été mis en place pour les besoins du laboratoire FEMTO-ST, mais l’ENSMM refuse de router les classes d’adresses de l’UFC par ce biais. De fait, le VPN ne fonctionne pas de manière efficace entre l’ENSMM et l’UFC

Problème Linux : certificat non reconnu

jeudi, mars 19th, 2009

Un certificat non reconnu provoque est visible dans les logs du serveur /var/log/auth.log
Après la séquence de négociation correcte :
Mar 18 13:24:54 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: responding to Main Mode from unknown peer 172.21.7.202
Mar 18 13:24:54 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Mar 18 13:24:54 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: STATE_MAIN_R1: sent MR1, expecting MI2
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: STATE_MAIN_R2: sent MR2, expecting MI3

Et l’erreur proprement dite :
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=FR, ST=Franche-Comte, O=UFC, OU=CRI, CN=choucroute, E=vpn-master@univ-fcomte.fr'
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: no crl from issuer "C=FR, ST=Franche-Comte, L=Besancon, O=UFC, OU=CRI, CN=CAvpn, E=vpn-master@univ-fcomte.fr" found (strict=no)
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: no suitable connection for peer 'C=FR, ST=Franche-Comte, O=UFC, OU=CRI, CN=choucroute, E=vpn-master@univ-fcomte.fr'
Mar 18 13:24:55 debian pluto[6621]: "vpn-l2tp-XP"[1] 172.21.7.202 #1: sending encrypted notification INVALID_ID_INFORMATION to 172.21.7.202:500

L’interprétation de l’erreur est assez simple puisque nous voyons que le certificat de choucroute contient OU=CRI ce qui n’est pas une valeur attendu (LINUX, XP, MACOS)

Problème Linux : Certificat cacert.pem

vendredi, février 27th, 2009

Si vous avez le message suivant dans vos log /var/log/auth.log :
Feb 27 11:42:14 cri-29 pluto[6156]: "ufc-vpn" #1: issuer cacert not found
... pluto[6156]: "ufc-vpn" #1: X.509 certificate rejected
... pluto[6156]: "ufc-vpn" #1: no RSA public key known for '194.57.91.250'

C’est que le fichier /etc/ipsec.d/cacerts/cacert.pem n’est pas le bon ou qu’il n’est pas dans ce répertoire.
Pour vérifier le cacert :
openssl x509 -in /etc/ipsec.d/cacerts/cacert.pem -noout -subject
qui vous donne :
subject= /C=FR/ST=Franche-Comte/L=Besancon/O=UFC/OU=CRI/CN=CA-vpn/
emailAddress=vpn-master@univ-fcomte.fr

Problème Linux : Opensuse 11

mardi, janvier 20th, 2009

Les versions d’opensuse 11 ne prennent pas en compte l’application de la route vers le serveur VPN lors de l’établissement du cannal VPN. De fait la liaison finit par s’interrompre au bout de quelques minutes (lié au timeout des connexions).
Il faut donc ajouter manuellement la route :
route add -host le_serveur_vpn gw votre_passerelle_actuelle

problème serveur : les utilisateurs ont un problème de routage asymétrique

mardi, janvier 6th, 2009

Si les utilisateurs ont un problème de route asymétrique entre l’envoie d’un paquet et sa réception ce qui entraîne une rupture de connexion de la part du FireWall, il faut commencer par regarder la configuration des interfaces car c’est à cet endroit que nous effectuons un routage.
Pour rappel, le FireWall divise en quatre grandes classes l’ensemble des classe IP de l’UFC (chacune à sa VRF).
Sur le FW, plusieurs de ces classes sont réunis et il faut faire extrêmement attention à ne pas créer sur la machine VPN un routage inter-classe qui entraînera pour le moins un dysfonctionnement pour l’utilisateur (au pire un dysfonctionnement d’une partie du réseau de l’UFC).
Avec le code suivant :
auto eth0.168
iface eth0.168 inet static
address 172.20.16.220
netmask 255.255.255.0
network 172.20.16.0
broadcast 172.20.16.255
up ip route add default via 172.20.16.254 dev eth0.168 table admin.pres
up ip rule add fwmark 18 table admin.pres
down ip rule del fwmark 18
down ip route del table admin.pres

Nous avons deux règles très importantes :
la première :
up ip route add default via 172.20.16.254 dev eth0.168 table admin.pres
qui implique une route par défaut pour tous les utilisateurs VPN du tag 18 (admin.pres).
la seconde :
up ip rule add fwmark 18 table admin.pres
car c’est par elle que l’on affecte au client le tag 18.

Si le code dans le fichier /etc/network/interfaces ressemble à
up ip route add default via 172.20.16.254 dev eth0.168 table admin.pres
ip up rule add fwmark 18 table admin.pres

Tous les clients de ce réseaux ne seront pas affecté au tag 18 et donc tout leur trafic transitera par l’interface de routage par défaut de la machine qui est sans aucun doute dans une VRF distincte et donc entraînera un dysfonctionnement des connexion de ces clients vers l’extérieur de leur réseau de connexion.

Problème MacOS Léopard

mercredi, novembre 12th, 2008

Sous Léopard, si vous modifier la configuration du VPN après l’avoir valider une première fois, vous aurez sans doute un au lancement un fenêtre qui s’affiche avec le message “pppd wants to connect to vpn1.univ-fcomte.fr on udp port 1701“. Si vous cliquez sur le bouton Allow, une boîte apparaît avec le message “Connexion à Internet : le secret partagé IPsec est manquant” alors que vous n’avez pas configuré le VPN avec une clef partagé mais bien avec un échange de certificat.
Ce problème est un bug de l’OS de Léopard.
Pour remettre en ordre le VPN, il faut
– détruire la configuration du VPN
– détruire la configuration du WIFI (Airport)
– recréer la configuration Airport
– recréer la configuration VPN
Attention, lors de cette dernière étape, il faut créer une nouvelle connexion VPN (ufc-vpn par exemple) et ne pas utiliser la connexion “defaut”. Prendre soin de configurer tous les éléments, y compris “route par défaut par le VPN“.
Une fois fait, ne toucher plus à cette configuration, vous risquez de devoir tout recommencer dans le cas contraire.

image1

image2

image3

image4

image5

image6

image7

problème windows : impossible de trouver un certificat valide

mercredi, septembre 3rd, 2008

Si l’erreur à la connexion VPN est : “Impossible de trouver un certificat valide”, vous devez suivre les instructions suivantes :
– enlever tous les certificats de la machine
– enlever les autorités de certification
– remettre le certificat que l’on vous a donné (VPN UFC)
– remettre les autorités de certification (normalement celui du VPN UFC est dans le certificat délivré => automatique)

Re-essayez une connexion VPN

Problème Windows : Zone Alarm

mardi, mai 13th, 2008

Zone Alarm peut vous poser des soucis de connexion car établir un VPN est une action de connexion sur un site distant via un logiciel non enregistré par Zone Alarm.
blocage du serveur VPN

Pour cela il suffit d’ajouter le serveur dans les machines autorisées pour une connexion (ajout d’une adresse IP) :
déblocage du serveur VPN

Le même problème surviendra pour les accès sur des réseaux intérieurs à l’UFC via le VPN :
blocage d\'un réseau

il faudra encore une fois ajouter ce réseau à la liste des réseaux sécurisés :
déblocage d\'un réseau

Problème VISTA/XP SP2 : modification de la base de registre

lundi, mai 5th, 2008

George Ou a trouvé un problème sous VISTA (et sous XP service pack 2) lors de la connexion d’un client sur openswan à travers un NAT. Le problème empêche la connexion VPN IPSEC de s’établir.
problème de connexion
windows VISTA erreur 800

L’article Configuration serveur : connexion client XP/VISTA donne des précisions importantes sur ce sujet.

Pour corriger cela (si vous avez lu l’article en lien, seul VISTA a besoin d’un changement de la base de registre) un article est paru chez microsoft.
En ce qui nous concerne, il faut ouvrir la base de registre, naviguer jusqu’à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
(ou avec XP SP2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec) et créer le DWORD (32-bit) AssumeUDPEncapsulationContextOnSendRule avec la valeur 2

Pour une prise en compte de la nouvelle base de registre, redémarrer Windows.