comment d

Le
Eric Belhomme
bonjour,

J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit

Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !

J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?

Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509

--
Rico
Il faut toujours tacher de former ses projets de façon à ce que leur
réussite même soit suivie de quelque avantage.
-+- Paul de Gondi - Cardinal de Retz, Mémoires -+-
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JKB
Le #23978691
Le 18 Nov 2011 16:50:12 GMT,
Eric Belhomme
bonjour,



Bonjour,

J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit...

Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !

J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?



Tu ne peux pas. As-tu essayé de cracher la sortie d'un tcpdump avec
les options qui vont bien pour voir ce qui se passe effectivement ?
J'ai eu un problème similaire avec le Maroc récemment et dans mon
cas, c'était esp qui passait à la trappe...

Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509



Cordialement,

JKB

PS/ je t'ai envoyé un mail privé, mais j'ai l'impression que ton serveur
débloque un peu (vu les réponses qu'il envoie à mon sendmail des
familles).

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Bruno Tréguier
Le #23987581
Le 18/11/2011 à 17:50, Eric Belhomme a écrit :
bonjour,

J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit...

Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !

J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?

Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509



Bonjour,

En complément de la réponse de JKB, une piste possible (ça m'est
arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations, et il a
besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de
négociation IKE...

A prendre pour ce que c'est, hein, c'est à dire juste une piste
possible... ;-)

Cordialement,

--
Bruno Tréguier
Eric Belhomme
Le #23987941
Le Mon, 21 Nov 2011 07:12:33 +0100, Bruno Tréguier a écrit :

En complément de la réponse de JKB, une piste possible (ça m'est
arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations, et il a
besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de
négociation IKE...

A prendre pour ce que c'est, hein, c'est à dire juste une piste
possible... ;-)



Epilogue :

En désespoir de cause, j'ai contacté le FAI Tunisien (Topnet) pour leur
poser la question : "z'auriez pas du filtrage qq part chez vous ?"
Ce à quoi ils me répondent que non bien entendu, pas de filtrage, mais
ils me font redémarrer le routeur, et me disent rédémarrer leurs
équipements de leur coté, et bizarrement, le tunnel monte à nouveau,
comme par magie...

Harry Potter, c'est rigolo à lire, mais dans la vie vie, j'y crois moyen.
Du coup je me dis que je sais pas trop ce qui se passe sur leurs réseau,
à Topnet, mais c'est pas catholique, si je puis dire ;)

--
Rico
L'infini, Dieu est comme une droite sans limites,
le fini comme un cercle. Et c'est dans
ce cercle que l'homme, péniblement se meut.
-+- Pierre Reverdy (1889-1960) -+-
Pascal Hambourg
Le #23989581
Salut,

Bruno Tréguier a écrit :

un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations



C'est-à-dire ?
Bruno Tréguier
Le #23991901
Le 21/11/2011 à 19:44, Pascal Hambourg a écrit :
Salut,

Bruno Tréguier a écrit :

un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations



C'est-à-dire ?



J'ai tapé trop vite, désolé, je voulais parler de la fragmentation des
paquets IKE. Les différentes implémentations auxquelles j'ai eu affaire
concernant cette extension d'IKE semblaient toutes plus ou moins
propriétaires (même celle de racoon n'est, paraît-il, qu'une adaptation
provenant d'un reverse engineering d'une pile Cisco), amenant du coup
des difficultés pour faire causer des piles IPSec d'origines
différentes, lorsque les tailles de clefs étaient trop importantes par
rapport au MTU...

Cordialement,

--
Bruno Tréguier
Publicité
Poster une réponse
Anonyme