J'ai eu beau chercher dans tous les précédents posts et tester toutes les
solutions proposées sur le forum, je ne parviens toujours pas à régler mon
pb. C'est pourquoi, je recrée un post expliquant l'intégralité du problème
ainsi que les solutions essayées.
J'ai appris pas mal de chose depuis mais cela ne suffit pas.
Voici un récapitulatif de l'architecture :
Le client est un PC portable sous Windows XP avec un Securemote de
checkpoint pour établir une liaison VPN. Il est protégé par un firewall
IPCop 1.3. puis par un modem routeur cisco SDSL. Sur le site distant, le
firewall checkpoint NG doit établir la liaison VPN.
Cette solution fonctionne très bien sans le firewall IPCop.
Normalement, IPCop laisse tout passer en sortie donc pas de réglages à faire
mis à part activer " Force Encapsulation UDP " et " Support IKE over TCP "
dans le client securemote.
Voici les logs du firewall checkpoint NG lorsque le VPN fonctionne bien :
Cela ne change strictement rien (je ne le vois pas en faisant un iptable -L. est ce normal ?).
Je maitrise absolument pas ton problème, mais je permet cette question : pourquoi ne pas passer par l'interface web ?
car la il manque la 'règle' qui dit le sens Red/Orange vers Green
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
bast
/sbin/iptables -I FORWARD -p 50 -j ACCEPT
/sbin/iptables -I FORWARD -p 51 -j ACCEPT
Cela ne change strictement rien (je ne le vois pas en faisant un iptable -L. est ce normal ?).
Je maitrise absolument pas ton problème, mais je permet cette question : pourquoi ne pas passer par l'interface web ?
car la il manque la 'règle' qui dit le sens Red/Orange vers Green
parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux donc pas faire ça avec l'interface graphique. De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.
/sbin/iptables -I FORWARD -p 50 -j ACCEPT
/sbin/iptables -I FORWARD -p 51 -j ACCEPT
Cela ne change strictement rien (je ne le vois pas en faisant un iptable
-L. est ce normal ?).
Je maitrise absolument pas ton problème, mais je permet cette question :
pourquoi ne pas passer par l'interface web ?
car la il manque la 'règle' qui dit le sens Red/Orange vers Green
parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux donc
pas faire ça avec l'interface graphique.
De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.
Cela ne change strictement rien (je ne le vois pas en faisant un iptable -L. est ce normal ?).
Je maitrise absolument pas ton problème, mais je permet cette question : pourquoi ne pas passer par l'interface web ?
car la il manque la 'règle' qui dit le sens Red/Orange vers Green
parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux donc pas faire ça avec l'interface graphique. De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.
j3CubL4H
essaye de transformer ton forward en input....car le spaquets sont à distination du FW... qu'en peneses-tu ?
JM.
"bast" a écrit dans le message de news: 40aa0e62$0$22120$
/sbin/iptables -I FORWARD -p 50 -j ACCEPT
/sbin/iptables -I FORWARD -p 51 -j ACCEPT
Cela ne change strictement rien (je ne le vois pas en faisant un iptable
-L. est ce normal ?).
Je maitrise absolument pas ton problème, mais je permet cette question : pourquoi ne pas passer par l'interface web ?
car la il manque la 'règle' qui dit le sens Red/Orange vers Green
parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux donc
pas faire ça avec l'interface graphique. De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.
essaye de transformer ton forward en input....car le spaquets sont à
distination du FW...
qu'en peneses-tu ?
JM.
"bast" <bast@ifrance.com> a écrit dans le message de news:
40aa0e62$0$22120$636a15ce@news.free.fr...
/sbin/iptables -I FORWARD -p 50 -j ACCEPT
/sbin/iptables -I FORWARD -p 51 -j ACCEPT
Cela ne change strictement rien (je ne le vois pas en faisant un
iptable
-L. est ce normal ?).
Je maitrise absolument pas ton problème, mais je permet cette question :
pourquoi ne pas passer par l'interface web ?
car la il manque la 'règle' qui dit le sens Red/Orange vers Green
parce qu' ESP et AH ne sont pas des ports mais des protocoles. Je peux
donc
pas faire ça avec l'interface graphique.
De plus, dans les logs du firewall, je vois pas les paquets ESP droppés.
As-tu déjà posé ta question sur ixus.net, forum ipcop ?
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus de réponse qu'ici.
Cedric Blancher
Le Wed, 19 May 2004 11:49:55 +0000, bast a écrit :
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus de réponse qu'ici.
Vu le nombre de choses qui t'ont été proposées, je pense qu'il va falloir se pencher de manière plus approfondie sur ton cas, genre regarder le ruleset IPCop de plus près, lancer un tcpdump de chaque côté pour identifier correctement les flux, etc. Mais pour se faire, il faudrait que ta boîte mail ne soit pas pleine pour pouvoir te contacter directement ;)))
Fait étrange, dans ma boîte, on m'a parlé hier d'un prospect/client qui a _exactement_ le même problème. Bizarre, non ?
-- BOFH excuse #392:
It's union rules. There's nothing we can do about it. Sorry.
Le Wed, 19 May 2004 11:49:55 +0000, bast a écrit :
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus
de réponse qu'ici.
Vu le nombre de choses qui t'ont été proposées, je pense qu'il va
falloir se pencher de manière plus approfondie sur ton cas, genre
regarder le ruleset IPCop de plus près, lancer un tcpdump de chaque
côté pour identifier correctement les flux, etc. Mais pour se faire, il
faudrait que ta boîte mail ne soit pas pleine pour pouvoir te contacter
directement ;)))
Fait étrange, dans ma boîte, on m'a parlé hier d'un prospect/client qui
a _exactement_ le même problème. Bizarre, non ?
--
BOFH excuse #392:
It's union rules. There's nothing we can do about it. Sorry.
Le Wed, 19 May 2004 11:49:55 +0000, bast a écrit :
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus de réponse qu'ici.
Vu le nombre de choses qui t'ont été proposées, je pense qu'il va falloir se pencher de manière plus approfondie sur ton cas, genre regarder le ruleset IPCop de plus près, lancer un tcpdump de chaque côté pour identifier correctement les flux, etc. Mais pour se faire, il faudrait que ta boîte mail ne soit pas pleine pour pouvoir te contacter directement ;)))
Fait étrange, dans ma boîte, on m'a parlé hier d'un prospect/client qui a _exactement_ le même problème. Bizarre, non ?
-- BOFH excuse #392:
It's union rules. There's nothing we can do about it. Sorry.
Batman
As-tu déjà posé ta question sur ixus.net, forum ipcop ?
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus de réponse qu'ici.
Ah ok, désolé alors, c'est bête la machine capable de supporter ipcop 1.3 m'a laché récemment, je tourne avec une 1.2 (ipchains), je te serait pas d'un grand secours
sinon, autre solution, - sous l'interface web, - forwarding de port 'normal tcp ou udp' du port 50 et 51 - ensuite en root sous ipcop : (de mémoire) iptables-save (je sais plus quelles paramètres) - tu retire les regles faites sous l'interface web - tu essaye de trouver les règles qui t'interressent(via le fichier texte créé par iptables-save, tu tente de modifier le mode tcp/udp en celui qui t'interresse)
y'a surement mieux comme méthode, mais sans avoir de machine dispos ou semblable, j'ai du mal à mieux faire
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
As-tu déjà posé ta question sur ixus.net, forum ipcop ?
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus
de réponse qu'ici.
Ah ok, désolé alors, c'est bête la machine capable de supporter ipcop 1.3
m'a laché récemment, je tourne avec une 1.2 (ipchains), je te serait pas
d'un grand secours
sinon, autre solution,
- sous l'interface web,
- forwarding de port 'normal tcp ou udp' du port 50 et 51
- ensuite en root sous ipcop : (de mémoire) iptables-save (je sais plus
quelles paramètres)
- tu retire les regles faites sous l'interface web
- tu essaye de trouver les règles qui t'interressent(via le fichier texte
créé par iptables-save, tu tente de modifier le mode tcp/udp en celui qui
t'interresse)
y'a surement mieux comme méthode, mais sans avoir de machine dispos ou
semblable, j'ai du mal à mieux faire
--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free
As-tu déjà posé ta question sur ixus.net, forum ipcop ?
oui j'ai mis exactement ce post sur le forum d'ixus mais il n'y a pas plus de réponse qu'ici.
Ah ok, désolé alors, c'est bête la machine capable de supporter ipcop 1.3 m'a laché récemment, je tourne avec une 1.2 (ipchains), je te serait pas d'un grand secours
sinon, autre solution, - sous l'interface web, - forwarding de port 'normal tcp ou udp' du port 50 et 51 - ensuite en root sous ipcop : (de mémoire) iptables-save (je sais plus quelles paramètres) - tu retire les regles faites sous l'interface web - tu essaye de trouver les règles qui t'interressent(via le fichier texte créé par iptables-save, tu tente de modifier le mode tcp/udp en celui qui t'interresse)
y'a surement mieux comme méthode, mais sans avoir de machine dispos ou semblable, j'ai du mal à mieux faire
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
bast
sinon, autre solution, - sous l'interface web, - forwarding de port 'normal tcp ou udp' du port 50 et 51 il ne s'agit pas de port mais de protocoles 50 et 51 et on a pas la
possibilité (à ma connaissance) de faire un forward de protocole dans l'interface graphique...
merci quand même.
- ensuite en root sous ipcop : (de mémoire) iptables-save (je sais plus quelles paramètres) - tu retire les regles faites sous l'interface web - tu essaye de trouver les règles qui t'interressent(via le fichier texte créé par iptables-save, tu tente de modifier le mode tcp/udp en celui qui t'interresse)
y'a surement mieux comme méthode, mais sans avoir de machine dispos ou semblable, j'ai du mal à mieux faire
sinon, autre solution,
- sous l'interface web,
- forwarding de port 'normal tcp ou udp' du port 50 et 51
il ne s'agit pas de port mais de protocoles 50 et 51 et on a pas la
possibilité (à ma connaissance) de faire un forward de protocole dans
l'interface graphique...
merci quand même.
- ensuite en root sous ipcop : (de mémoire) iptables-save (je sais plus
quelles paramètres)
- tu retire les regles faites sous l'interface web
- tu essaye de trouver les règles qui t'interressent(via le fichier texte
créé par iptables-save, tu tente de modifier le mode tcp/udp en celui qui
t'interresse)
y'a surement mieux comme méthode, mais sans avoir de machine dispos ou
semblable, j'ai du mal à mieux faire
sinon, autre solution, - sous l'interface web, - forwarding de port 'normal tcp ou udp' du port 50 et 51 il ne s'agit pas de port mais de protocoles 50 et 51 et on a pas la
possibilité (à ma connaissance) de faire un forward de protocole dans l'interface graphique...
merci quand même.
- ensuite en root sous ipcop : (de mémoire) iptables-save (je sais plus quelles paramètres) - tu retire les regles faites sous l'interface web - tu essaye de trouver les règles qui t'interressent(via le fichier texte créé par iptables-save, tu tente de modifier le mode tcp/udp en celui qui t'interresse)
y'a surement mieux comme méthode, mais sans avoir de machine dispos ou semblable, j'ai du mal à mieux faire