comment d
Le
Eric Belhomme
bonjour,
J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509
--
Rico
Il faut toujours tacher de former ses projets de façon à ce que leur
réussite même soit suivie de quelque avantage.
-+- Paul de Gondi - Cardinal de Retz, Mémoires -+-
J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509
--
Rico
Il faut toujours tacher de former ses projets de façon à ce que leur
réussite même soit suivie de quelque avantage.
-+- Paul de Gondi - Cardinal de Retz, Mémoires -+-
Poser une question
Eric Belhomme
Bonjour,
Tu ne peux pas. As-tu essayé de cracher la sortie d'un tcpdump avec
les options qui vont bien pour voir ce qui se passe effectivement ?
J'ai eu un problème similaire avec le Maroc récemment et dans mon
cas, c'était esp qui passait à la trappe...
Cordialement,
JKB
PS/ je t'ai envoyé un mail privé, mais j'ai l'impression que ton serveur
débloque un peu (vu les réponses qu'il envoie à mon sendmail des
familles).
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Bonjour,
En complément de la réponse de JKB, une piste possible (ça m'est
arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations, et il a
besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de
négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste
possible... ;-)
Cordialement,
--
Bruno Tréguier
Epilogue :
En désespoir de cause, j'ai contacté le FAI Tunisien (Topnet) pour leur
poser la question : "z'auriez pas du filtrage qq part chez vous ?"
Ce à quoi ils me répondent que non bien entendu, pas de filtrage, mais
ils me font redémarrer le routeur, et me disent rédémarrer leurs
équipements de leur coté, et bizarrement, le tunnel monte à nouveau,
comme par magie...
Harry Potter, c'est rigolo à lire, mais dans la vie vie, j'y crois moyen.
Du coup je me dis que je sais pas trop ce qui se passe sur leurs réseau,
à Topnet, mais c'est pas catholique, si je puis dire ;)
--
Rico
L'infini, Dieu est comme une droite sans limites,
le fini comme un cercle. Et c'est dans
ce cercle que l'homme, péniblement se meut.
-+- Pierre Reverdy (1889-1960) -+-
Bruno Tréguier a écrit :
C'est-à-dire ?
J'ai tapé trop vite, désolé, je voulais parler de la fragmentation des
paquets IKE. Les différentes implémentations auxquelles j'ai eu affaire
concernant cette extension d'IKE semblaient toutes plus ou moins
propriétaires (même celle de racoon n'est, paraît-il, qu'une adaptation
provenant d'un reverse engineering d'une pile Cisco), amenant du coup
des difficultés pour faire causer des piles IPSec d'origines
différentes, lorsque les tailles de clefs étaient trop importantes par
rapport au MTU...
Cordialement,
--
Bruno Tréguier