cela fait 1 semaine que je me prend la tête sur mon VPN qui consiste
à relier 2 sites en VPN par l'intermédiaire de 2 routeurs Linksys
WRV200. De chaque coté je possède un modem ADSL D-Link (en Bridge),
une adresse IP fixe et donc le routeur. J'ai un réseau configuré en
192.168.1.x/255.255.255.0 et l'autre en 192.168.2.x./255.255.255.0
Mon ping fonctionne sur la passerelle distante mais impossible de
créer le tunnel VPN (le statut est Try to connect to Remote Gateway).
Je vous mets les logs d'un de mes routeurs:
380 [MON 12:25:33] "TunnelA" #22: [WRV200 Response:] Please check
your Local Secure Group, Remote Secure Group, and PFS setting of this
tunnel
381 [MON 12:25:33] "TunnelA" #22: sending encrypted notification
INVALID_ID_INFORMATION to 193.x.x.x:500
382 [MON 12:25:43] "TunnelA" #22: Quick Mode I1 message is
unacceptable because it uses a previously used Message ID 0x89337c5a
(perhaps this is a duplicated packet)
383 [MON 12:25:43] "TunnelA" #22: sending encrypted notification
INVALID_MESSAGE_ID to 193.x.x.x:500
384 [MON 12:26:03] "TunnelA" #22: Quick Mode I1 message is
unacceptable because it uses a previously used Message ID 0x89337c5a
(perhaps this is a duplicated packet)
385 [MON 12:26:03] "TunnelA" #22: sending encrypted notification
INVALID_MESSAGE_ID to 193.x.x.x:500
386 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Cannot respond
to IPsec SA request
387 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] No connection
is known for 192.168.1.0/32===217.x.x.x...193.x.x.x===192.168.2.0/32
388 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Can't establish
IPSec SA. This might be the asymmetric Secure Group setting.
389 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Please check
your Local Secure Group, Remote Secure Group, and PFS setting of this
tunnel
390 [MON 12:26:43] "TunnelA" #22: sending encrypted notification
INVALID_ID_INFORMATION to 193.x.x.x:500
391 [MON 12:26:52] "TunnelA" #22: Quick Mode I1 message is
unacceptable because it uses a previously used Message ID 0x8ad2738d
(perhaps this is a duplicated packet)
392 [MON 12:26:52] "TunnelA" #22: sending encrypted notification
INVALID_MESSAGE_ID to 193.x.x.x:500
393 [MON 12:27:13] "TunnelA" #22: Quick Mode I1 message is
unacceptable because it uses a previously used Message ID 0x8ad2738d
(perhaps this is a duplicated packet)
394 [MON 12:27:13] "TunnelA" #22: sending encrypted notification
INVALID_MESSAGE_ID to 193.x.x.x:500
Le NAT-Traversal et Global NAT-Traversal sont désactivés. Le PFS est
activé. Je passe par Encryption: 3DES et
Key Exchange Method:Auto (que ce choix)
Authentication: MD5 (Phase 1 et 2).
ISAKMP Key Lifetime(s):28800
Operation Mode: Main
IPSec Key Lifetime(s):3600
DH Group: Group 2-1024-bits
Est ce que quelqu'un est en mesure de m'aider car je vois pas trop!!!
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VANHULLEBUS Yvan
writes:
Bonjour,
Salut.
[....]
Je vous mets les logs d'un de mes routeurs: 380 [MON 12:25:33] "TunnelA" #22: [WRV200 Response:] Please check your Local Secure Group, Remote Secure Group, and PFS setting of this tunnel
Bah ici, a priori, on a deja un indice, quand meme.....
[reste des logs....]
La apres ca se complique, entre l'un qui considere qu'on est a la phase suivante, et l'autre qui dit "meuhnon, on est pas a la phase suivante"......
Le NAT-Traversal et Global NAT-Traversal sont désactivés.
Global NAT-Traversal ????? C'est quoi, encore, ce truc ???? :-)
Le PFS est activé. Je passe par Encryption: 3DES et Key Exchange Method:Auto (que ce choix) Authentication: MD5 (Phase 1 et 2). ISAKMP Key Lifetime(s):28800 Operation Mode: Main IPSec Key Lifetime(s):3600 DH Group: Group 2-1024-bits
Est ce que quelqu'un est en mesure de m'aider car je vois pas trop!!!
Bah d'apres le log, c'est soit les identites (enfin, les "secure groups"), soit le groupe DH. Si ton groupe DH est bien le meme de chaque cote, et que t'as bien active le PFS des deux cotes (je suppose que ca utilisera automatiquement le groupe DH configure pour la phase 1), c'est que c'est au niveau des identites.
Comme ca dit "PFS", c'est que ca doit echouer en phase2, donc c'est tes extremites de trafic que tu dois verifier, ca doit etre la meme chose des 2 cotes, y compris le masque reseau.....
A +
VANHU.
dub_ced@hotmail.com writes:
Bonjour,
Salut.
[....]
Je vous mets les logs d'un de mes routeurs:
380 [MON 12:25:33] "TunnelA" #22: [WRV200 Response:] Please check
your Local Secure Group, Remote Secure Group, and PFS setting of this
tunnel
Bah ici, a priori, on a deja un indice, quand meme.....
[reste des logs....]
La apres ca se complique, entre l'un qui considere qu'on est a la
phase suivante, et l'autre qui dit "meuhnon, on est pas a la phase
suivante"......
Le NAT-Traversal et Global NAT-Traversal sont désactivés.
Global NAT-Traversal ?????
C'est quoi, encore, ce truc ???? :-)
Le PFS est
activé. Je passe par Encryption: 3DES et
Key Exchange Method:Auto (que ce choix)
Authentication: MD5 (Phase 1 et 2).
ISAKMP Key Lifetime(s):28800
Operation Mode: Main
IPSec Key Lifetime(s):3600
DH Group: Group 2-1024-bits
Est ce que quelqu'un est en mesure de m'aider car je vois pas trop!!!
Bah d'apres le log, c'est soit les identites (enfin, les "secure
groups"), soit le groupe DH.
Si ton groupe DH est bien le meme de chaque cote, et que t'as bien
active le PFS des deux cotes (je suppose que ca utilisera
automatiquement le groupe DH configure pour la phase 1), c'est que
c'est au niveau des identites.
Comme ca dit "PFS", c'est que ca doit echouer en phase2, donc c'est
tes extremites de trafic que tu dois verifier, ca doit etre la meme
chose des 2 cotes, y compris le masque reseau.....
Je vous mets les logs d'un de mes routeurs: 380 [MON 12:25:33] "TunnelA" #22: [WRV200 Response:] Please check your Local Secure Group, Remote Secure Group, and PFS setting of this tunnel
Bah ici, a priori, on a deja un indice, quand meme.....
[reste des logs....]
La apres ca se complique, entre l'un qui considere qu'on est a la phase suivante, et l'autre qui dit "meuhnon, on est pas a la phase suivante"......
Le NAT-Traversal et Global NAT-Traversal sont désactivés.
Global NAT-Traversal ????? C'est quoi, encore, ce truc ???? :-)
Le PFS est activé. Je passe par Encryption: 3DES et Key Exchange Method:Auto (que ce choix) Authentication: MD5 (Phase 1 et 2). ISAKMP Key Lifetime(s):28800 Operation Mode: Main IPSec Key Lifetime(s):3600 DH Group: Group 2-1024-bits
Est ce que quelqu'un est en mesure de m'aider car je vois pas trop!!!
Bah d'apres le log, c'est soit les identites (enfin, les "secure groups"), soit le groupe DH. Si ton groupe DH est bien le meme de chaque cote, et que t'as bien active le PFS des deux cotes (je suppose que ca utilisera automatiquement le groupe DH configure pour la phase 1), c'est que c'est au niveau des identites.
Comme ca dit "PFS", c'est que ca doit echouer en phase2, donc c'est tes extremites de trafic que tu dois verifier, ca doit etre la meme chose des 2 cotes, y compris le masque reseau.....
