J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509
--
Rico
Il faut toujours tacher de former ses projets de façon à ce que leur
réussite même soit suivie de quelque avantage.
-+- Paul de Gondi - Cardinal de Retz, Mémoires -+-
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JKB
Le 18 Nov 2011 16:50:12 GMT, Eric Belhomme <rico-{nntp}@ricozome.net> écrivait :
bonjour,
Bonjour,
J'ai un lien ipsec en production depuis plusieurs mois entre la france et la tunisie qui s'est brutalement effondré ce matin, alors que aucun évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir la lumière. A priori, la négo IKE doit être possible, du moins je peux établir du traffic en 500/UDP, en revanche, je me demande comment être *sûr* que le traffic esp n'est pas bloqué quelque part ?
Tu ne peux pas. As-tu essayé de cracher la sortie d'un tcpdump avec les options qui vont bien pour voir ce qui se passe effectivement ? J'ai eu un problème similaire avec le Maroc récemment et dans mon cas, c'était esp qui passait à la trappe...
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de l'autre, avec auth en x509
Cordialement,
JKB
PS/ je t'ai envoyé un mail privé, mais j'ai l'impression que ton serveur débloque un peu (vu les réponses qu'il envoie à mon sendmail des familles).
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Le 18 Nov 2011 16:50:12 GMT,
Eric Belhomme <rico-{nntp}@ricozome.net> écrivait :
bonjour,
Bonjour,
J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?
Tu ne peux pas. As-tu essayé de cracher la sortie d'un tcpdump avec
les options qui vont bien pour voir ce qui se passe effectivement ?
J'ai eu un problème similaire avec le Maroc récemment et dans mon
cas, c'était esp qui passait à la trappe...
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509
Cordialement,
JKB
PS/ je t'ai envoyé un mail privé, mais j'ai l'impression que ton serveur
débloque un peu (vu les réponses qu'il envoie à mon sendmail des
familles).
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Le 18 Nov 2011 16:50:12 GMT, Eric Belhomme <rico-{nntp}@ricozome.net> écrivait :
bonjour,
Bonjour,
J'ai un lien ipsec en production depuis plusieurs mois entre la france et la tunisie qui s'est brutalement effondré ce matin, alors que aucun évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir la lumière. A priori, la négo IKE doit être possible, du moins je peux établir du traffic en 500/UDP, en revanche, je me demande comment être *sûr* que le traffic esp n'est pas bloqué quelque part ?
Tu ne peux pas. As-tu essayé de cracher la sortie d'un tcpdump avec les options qui vont bien pour voir ce qui se passe effectivement ? J'ai eu un problème similaire avec le Maroc récemment et dans mon cas, c'était esp qui passait à la trappe...
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de l'autre, avec auth en x509
Cordialement,
JKB
PS/ je t'ai envoyé un mail privé, mais j'ai l'impression que ton serveur débloque un peu (vu les réponses qu'il envoie à mon sendmail des familles).
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Bruno Tréguier
Le 18/11/2011 à 17:50, Eric Belhomme a écrit :
bonjour,
J'ai un lien ipsec en production depuis plusieurs mois entre la france et la tunisie qui s'est brutalement effondré ce matin, alors que aucun évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir la lumière. A priori, la négo IKE doit être possible, du moins je peux établir du traffic en 500/UDP, en revanche, je me demande comment être *sûr* que le traffic esp n'est pas bloqué quelque part ?
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de l'autre, avec auth en x509
Bonjour,
En complément de la réponse de JKB, une piste possible (ça m'est arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations, et il a besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste possible... ;-)
Cordialement,
-- Bruno Tréguier
Le 18/11/2011 à 17:50, Eric Belhomme a écrit :
bonjour,
J'ai un lien ipsec en production depuis plusieurs mois entre la france et
la tunisie qui s'est brutalement effondré ce matin, alors que aucun
évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de
modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire
qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir
la lumière. A priori, la négo IKE doit être possible, du moins je peux
établir du traffic en 500/UDP, en revanche, je me demande comment être
*sûr* que le traffic esp n'est pas bloqué quelque part ?
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de
l'autre, avec auth en x509
Bonjour,
En complément de la réponse de JKB, une piste possible (ça m'est
arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations, et il a
besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de
négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste
possible... ;-)
J'ai un lien ipsec en production depuis plusieurs mois entre la france et la tunisie qui s'est brutalement effondré ce matin, alors que aucun évenement n'a été fait d'un coté comme de l'autre : pas de reboot, ni de modification de config, ni quoi que ce soit...
Et depuis, pas moyen de rétablir le tunnel, racoon s'obstine à me dire qu'il n'a pas de SA pour initier la phase2 de l'établissement de cnx !
J'ai passé la journée à m'arracher les cheveux là-dessus, sans entrevoir la lumière. A priori, la négo IKE doit être possible, du moins je peux établir du traffic en 500/UDP, en revanche, je me demande comment être *sûr* que le traffic esp n'est pas bloqué quelque part ?
Sinon pour info, mes gateways sont en Debian Lenny d'un coté, Squeeze de l'autre, avec auth en x509
Bonjour,
En complément de la réponse de JKB, une piste possible (ça m'est arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations, et il a besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste possible... ;-)
Cordialement,
-- Bruno Tréguier
Eric Belhomme
Le Mon, 21 Nov 2011 07:12:33 +0100, Bruno Tréguier a écrit :
En complément de la réponse de JKB, une piste possible (ça m'est arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations, et il a besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste possible... ;-)
Epilogue :
En désespoir de cause, j'ai contacté le FAI Tunisien (Topnet) pour leur poser la question : "z'auriez pas du filtrage qq part chez vous ?" Ce à quoi ils me répondent que non bien entendu, pas de filtrage, mais ils me font redémarrer le routeur, et me disent rédémarrer leurs équipements de leur coté, et bizarrement, le tunnel monte à nouveau, comme par magie...
Harry Potter, c'est rigolo à lire, mais dans la vie vie, j'y crois moyen. Du coup je me dis que je sais pas trop ce qui se passe sur leurs réseau, à Topnet, mais c'est pas catholique, si je puis dire ;)
-- Rico L'infini, Dieu est comme une droite sans limites, le fini comme un cercle. Et c'est dans ce cercle que l'homme, péniblement se meut. -+- Pierre Reverdy (1889-1960) -+-
Le Mon, 21 Nov 2011 07:12:33 +0100, Bruno Tréguier a écrit :
En complément de la réponse de JKB, une piste possible (ça m'est
arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations, et il a
besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de
négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste
possible... ;-)
Epilogue :
En désespoir de cause, j'ai contacté le FAI Tunisien (Topnet) pour leur
poser la question : "z'auriez pas du filtrage qq part chez vous ?"
Ce à quoi ils me répondent que non bien entendu, pas de filtrage, mais
ils me font redémarrer le routeur, et me disent rédémarrer leurs
équipements de leur coté, et bizarrement, le tunnel monte à nouveau,
comme par magie...
Harry Potter, c'est rigolo à lire, mais dans la vie vie, j'y crois moyen.
Du coup je me dis que je sais pas trop ce qui se passe sur leurs réseau,
à Topnet, mais c'est pas catholique, si je puis dire ;)
--
Rico
L'infini, Dieu est comme une droite sans limites,
le fini comme un cercle. Et c'est dans
ce cercle que l'homme, péniblement se meut.
-+- Pierre Reverdy (1889-1960) -+-
Le Mon, 21 Nov 2011 07:12:33 +0100, Bruno Tréguier a écrit :
En complément de la réponse de JKB, une piste possible (ça m'est arrivé): un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations, et il a besoin d'un peu de place pour transbahuter les clefs... Sinon, pas de négociation IKE...
A prendre pour ce que c'est, hein, c'est à dire juste une piste possible... ;-)
Epilogue :
En désespoir de cause, j'ai contacté le FAI Tunisien (Topnet) pour leur poser la question : "z'auriez pas du filtrage qq part chez vous ?" Ce à quoi ils me répondent que non bien entendu, pas de filtrage, mais ils me font redémarrer le routeur, et me disent rédémarrer leurs équipements de leur coté, et bizarrement, le tunnel monte à nouveau, comme par magie...
Harry Potter, c'est rigolo à lire, mais dans la vie vie, j'y crois moyen. Du coup je me dis que je sais pas trop ce qui se passe sur leurs réseau, à Topnet, mais c'est pas catholique, si je puis dire ;)
-- Rico L'infini, Dieu est comme une droite sans limites, le fini comme un cercle. Et c'est dans ce cercle que l'homme, péniblement se meut. -+- Pierre Reverdy (1889-1960) -+-
Pascal Hambourg
Salut,
Bruno Tréguier a écrit :
un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations
C'est-à-dire ?
Salut,
Bruno Tréguier a écrit :
un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations
un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations
C'est-à-dire ?
Bruno Tréguier
Le 21/11/2011 à 19:44, Pascal Hambourg a écrit :
Salut,
Bruno Tréguier a écrit :
un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations
C'est-à-dire ?
J'ai tapé trop vite, désolé, je voulais parler de la fragmentation des paquets IKE. Les différentes implémentations auxquelles j'ai eu affaire concernant cette extension d'IKE semblaient toutes plus ou moins propriétaires (même celle de racoon n'est, paraît-il, qu'une adaptation provenant d'un reverse engineering d'une pile Cisco), amenant du coup des difficultés pour faire causer des piles IPSec d'origines différentes, lorsque les tailles de clefs étaient trop importantes par rapport au MTU...
Cordialement,
-- Bruno Tréguier
Le 21/11/2011 à 19:44, Pascal Hambourg a écrit :
Salut,
Bruno Tréguier a écrit :
un routeur, sur le chemin, avait été mal configuré au niveau de
u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la
fragmentation, du moins dans beaucoup de ses implémentations
C'est-à-dire ?
J'ai tapé trop vite, désolé, je voulais parler de la fragmentation des
paquets IKE. Les différentes implémentations auxquelles j'ai eu affaire
concernant cette extension d'IKE semblaient toutes plus ou moins
propriétaires (même celle de racoon n'est, paraît-il, qu'une adaptation
provenant d'un reverse engineering d'une pile Cisco), amenant du coup
des difficultés pour faire causer des piles IPSec d'origines
différentes, lorsque les tailles de clefs étaient trop importantes par
rapport au MTU...
un routeur, sur le chemin, avait été mal configuré au niveau de u MTU, ridiculement petit. Or, l'ESP n'aime pas du tout la fragmentation, du moins dans beaucoup de ses implémentations
C'est-à-dire ?
J'ai tapé trop vite, désolé, je voulais parler de la fragmentation des paquets IKE. Les différentes implémentations auxquelles j'ai eu affaire concernant cette extension d'IKE semblaient toutes plus ou moins propriétaires (même celle de racoon n'est, paraît-il, qu'une adaptation provenant d'un reverse engineering d'une pile Cisco), amenant du coup des difficultés pour faire causer des piles IPSec d'origines différentes, lorsque les tailles de clefs étaient trop importantes par rapport au MTU...
