Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Sécurité

Pb IPCop 1.3 et Checkpoint encore et toujours...

Le
bast
Bonjour,

J'ai eu beau chercher dans tous les précédents posts et tester toutes les
solutions proposées sur le forum, je ne parviens toujours pas à régler mon
pb. C'est pourquoi, je recrée un post expliquant l'intégralité du problème
ainsi que les solutions essayées.

J'ai appris pas mal de chose depuis mais cela ne suffit pas.

Voici un récapitulatif de l'architecture :

Le client est un PC portable sous Windows XP avec un Securemote de
checkpoint pour établir une liaison VPN. Il est protégé par un firewall
IPCop 1.3. puis par un modem routeur cisco SDSL. Sur le site distant, le
firewall checkpoint NG doit établir la liaison VPN.

Cette solution fonctionne très bien sans le firewall IPCop.

Normalement, IPCop laisse tout passer en sortie donc pas de réglages à faire
mis à part activer " Force Encapsulation UDP " et " Support IKE over TCP "
dans le client securemote.

Voici les logs du firewall checkpoint NG lorsque le VPN fonctionne bien :

# snoop -d interface host address_fw
Using device /dev/eri (promiscuous mode)
adress_publiq -> fw UDP DP0 SP0 LEN$4
fw -> adress_publiq UDP DP0 SP0 LEN6
adress_publiq -> fw UDP DP0 SP0 LEN"0
fw -> adress_publiq UDP DP0 SP0 LEN2
adress_publiq -> fw UDP DP0 SP0 LENv
fw -> adress_publiq UDP DP0 SP0 LENx0
fw -> adress_publiq UDP DP0 SP0 LENx0
fw -> adress_publiq UDP DP0 SP0 LENx0
fw -> adress_publiq UDP DP0 SP0 LEN„
adress_publiq -> fw UDP DP0 SP0 LEN„
fw -> adress_publiq UDP DP0 SP0 LEN’
fw -> adress_publiq UDP DP0 SP0 LEN’
adress_publiq -> fw UDP DP0 SP0 LEN’
fw -> adress_publiq UDP DP0 SP0 LEN2
adress_publiq -> fw UDP DP0 SP0 LENv
fw -> adress_publiq UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LENu6
fw -> adress_publiq UDP DP0 SP0 LEN2
adress_publiq -> fw UDP DP0 SP0 LENh
adress_publiq -> fw UDP DP0 SP0 LENh
adress_publiq -> fw UDP DP0 SP0 LENh
adress_publiq -> fw ESP SPI=0x46b71215 Replay=1
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=1
adress_publiq -> fw ESP SPI=0x46b71215 Replay=2
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=2
adress_publiq -> fw ESP SPI=0x46b71215 Replay=3
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=3
adress_publiq -> fw ESP SPI=0x46b71215 Replay=4
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=4
adress_publiq -> fw ESP SPI=0x46b71215 Replay=5
fw -> adress_publiq ESP SPI=0xf6f5d862 Replay=5


Maintenant, voici la même chose avec le firewall IPCop :

snoop -d interface host address_fw
Using device /dev/eri (promiscuous mode)
adress_publiq -> fw UDP DP0 SP0 LEN$4
fw -> adress_publiq UDP DP0 SP0 LEN6
adress_publiq -> fw UDP DP0 SP0 LEN"0
fw -> adress_publiq UDP DP0 SP0 LEN2
adress_publiq -> fw UDP DP0 SP0 LENv
fw -> adress_publiq UDP DP0 SP0 LENx0
fw -> adress_publiq UDP DP0 SP0 LENx0
fw -> adress_publiq UDP DP0 SP0 LENx0
fw -> adress_publiq UDP DP0 SP0 LEN„
adress_publiq -> fw UDP DP0 SP0 LEN„
fw -> adress_publiq UDP DP0 SP0 LEN’
fw -> adress_publiq UDP DP0 SP0 LEN’
adress_publiq -> fw UDP DP0 SP0 LEN’
fw -> adress_publiq UDP DP0 SP0 LEN2
adress_publiq -> fw UDP DP0 SP0 LENv
fw -> adress_publiq UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LEN0
adress_publiq -> fw UDP DP0 SP0 LENQ6
fw -> adress_publiq UDP DP0 SP0 LEN2
adress_publiq -> fw UDP DP0 SP0 LENh
adress_publiq -> fw UDP DP0 SP0 LENh
adress_publiq -> fw UDP DP0 SP0 LENh


On constate donc que le flux ESP ne passe pas ou ne sort pas. je ne sais
pas.

J'ai donc forwarder l'ESP (50) et l'AH (51) du coté d'IPCop avec les
commandes :

/sbin/iptables -I FORWARD -p 50 -j ACCEPT

/sbin/iptables -I FORWARD -p 51 -j ACCEPT

Cela ne change strictement rien (je ne le vois pas en faisant un iptable -L.
est ce normal ?).

Donc du coup, j'ai épuisé toutes les solutions du forum et cela ne
fonctionne toujours pas.

Si quelqu'un d'autre a une idée, cela m'enlèverait une bonne épine du pied.

J'insiste sur le fait que la solution fonctionne très bien si j'enlève juste
IPCop donc à priori ça vient de là.

Merci d'avance.

Sébastien.
Lire les 9 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Batman
Le #232758

Bonjour,

/sbin/iptables -I FORWARD -p 50 -j ACCEPT

/sbin/iptables -I FORWARD -p 51 -j ACCEPT

Cela ne change strictement rien (je ne le vois pas en faisant un iptable
-L. est ce normal ?).


Je maitrise absolument pas ton problème, mais je permet cette question :
pourquoi ne pas passer par l'interface web ?

car la il manque la 'règle' qui dit le sens Red/Orange vers Green

--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free

Répondre en citant
bast
Le #232735
/sbin/iptables -I FORWARD -p 50 -j ACCEPT

/sbin/iptables -I FORWARD -p 51 -j ACCEPT

Cela ne change strictement rien (je ne le vois pas en faisant un iptable
-L. est ce normal ?).


Je maitrise absolument pas ton problème, mais je permet cette question :
pourquoi ne pas passer par l'interface web ?

car la il manque la 'règle' qui dit le sens Red/Orange vers Green


parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux donc
pas faire ça avec l'interface graphique.
De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.


Répondre en citant
j3CubL4H
Le #232732
essaye de transformer ton forward en input....car le spaquets sont à
distination du FW...
qu'en peneses-tu ?

JM.

"bast" 40aa0e62$0$22120$
/sbin/iptables -I FORWARD -p 50 -j ACCEPT

/sbin/iptables -I FORWARD -p 51 -j ACCEPT

Cela ne change strictement rien (je ne le vois pas en faisant un
iptable



-L. est ce normal ?).


Je maitrise absolument pas ton problème, mais je permet cette question :
pourquoi ne pas passer par l'interface web ?

car la il manque la 'règle' qui dit le sens Red/Orange vers Green


parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux
donc

pas faire ça avec l'interface graphique.
De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.




Répondre en citant
bast
Le #232701
"j3CubL4H" 40aa1475$0$30066$
essaye de transformer ton forward en input....car le spaquets sont à
distination du FW...
qu'en peneses-tu ?

JM.


Je viens d'essayer, pas mieux... dommage, j'y avais cru.

Répondre en citant
Batman
Le #232616

essaye de transformer ton forward en input....car le spaquets sont à


Je viens d'essayer, pas mieux... dommage, j'y avais cru.


As-tu déjà posé ta question sur ixus.net, forum ipcop ?

--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free


Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme