Reply to this topicStart new topic
> Plus de VPN IpSec apres Reboot du FVS336G, 8 policies OK. Reboot = aucune policy ne fonctionne
tonton1714
posté mercredi 19 août 2009 à 16:20
Message #1


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Bonjour,
J'ai enfin réussi à paramétrer mon 336g pour faire de l'IPsec.
j'avais déja compris que ne pas passer par le VPN Wizard posait des Pbs.

Mais alors que mes 8 policies étaient opérationnelles, le reboot par le bouton M/a les a rendu inopérantes... à 2 mn d'intervalles sans aucune modification!!!

j'avais déja rencontré ce pb et après de multiple tests j'avais décidé de toutes les effacer et de les recréer par le wizard et c'était tout bon. je m'étais dit que les tâtonnements avait fait bugger le truc...

mais la...
si quelqu'un a déja rencontrer cela, et a une explication, je suis preneur

en attendant je vais les détruire et les refaire pour voir....

Tonton

ps :ca me semble tout de même un peu foireux comme appareil...
Go to the top of the page
 
+Quote Post
Prolag
posté mercredi 19 août 2009 à 21:20
Message #2


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



Bonjour,

Tu as quoi comme firmware sur ton FVS ?

Tu avais quoi au niveau des logs ?


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté jeudi 20 août 2009 à 10:45
Message #3


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ mercredi 19 août 2009 à 22:20) *
Bonjour,

Tu as quoi comme firmware sur ton FVS ?

Tu avais quoi au niveau des logs ?


Bonjour
Firmware 3.0.5 -25

Pour les logs FVS336G, je ne les ai pas gardés.
mais j'ai constaté qu'un reboot du pc client apportait qq chose :

et d'ailleurs, de mémoire je n'avais pas de logs des clients qui tentaient de se connecter.... (donc pb client? suite reboot 336G?)

j'explique :
Ne pouvant connecter sur aucune policy apres le reboot du 336G, j'ai refait une des policies et j'ai testé => toujours PB
j'ai supprimé toutes les policies, reboot, puis nouvelle policy => PB

après reboot du client, Connection OK sur cette nouvelle policy.

Je vais donc maintenant ajouter des policies 1 à 1, faire des reboot 336G + client et voire à quel moment ca coince...

je posterai l'avancement de mes tests dans la journée.

Tonton

Go to the top of the page
 
+Quote Post
tonton1714
posté jeudi 20 août 2009 à 11:47
Message #4


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (tonton1714 @ jeudi 20 août 2009 à 11:45) *
Bonjour
Firmware 3.0.5 -25

Pour les logs FVS336G, je ne les ai pas gardés.
mais j'ai constaté qu'un reboot du pc client apportait qq chose :

et d'ailleurs, de mémoire je n'avais pas de logs des clients qui tentaient de se connecter.... (donc pb client? suite reboot 336G?)

j'explique :
Ne pouvant connecter sur aucune policy apres le reboot du 336G, j'ai refait une des policies et j'ai testé => toujours PB
j'ai supprimé toutes les policies, reboot, puis nouvelle policy => PB

après reboot du client, Connection OK sur cette nouvelle policy.

Je vais donc maintenant ajouter des policies 1 à 1, faire des reboot 336G + client et voire à quel moment ca coince...

je posterai l'avancement de mes tests dans la journée.

Tonton



Voici les logs du 336G apres reboot. LE client a également été rebooté, et se connecte avec la même policy.

le "configuration read failed" me laisse perplexe..
Merci!

TonTon
2009 Aug 20 12:34:32 [FVS336G] [IKE] clock skew detected, restarting racoon _
2009 Aug 20 12:34:32 [FVS336G] [IKE] Duplicate ID : VPN_Eurofeedback_
2009 Aug 20 12:34:32 [FVS336G] [IKE] configuration read failed_
2009 Aug 20 12:38:13 [FVS336G] [IKE] Could not find configuration for 81.AAA.XX.YYY[500]_
- Last output repeated 3 times -
2009 Aug 20 12:39:12 [FVS336G] [IKE] sainfo identifier not found ("VPN_Eurofeedback0")_
2009 Aug 20 12:39:12 [FVS336G] [IKE] Failed to Delete the IPSec configuration with identifier "VPN_Eurofeedback0"_
2009 Aug 20 12:39:12 [FVS336G] [IKE] remote identifier not found ("Poste103")_
2009 Aug 20 12:39:12 [FVS336G] [IKE] Failed to Delete the IKE configuration with identifier "Poste103"_
2009 Aug 20 12:39:12 [FVS336G] [IKE] Adding IKE configuration with identifer "Poste103"_
2009 Aug 20 12:39:12 [FVS336G] [IKE] parse error is nothing, but yyerrorcount is 1._
2009 Aug 20 12:39:29 [FVS336G] [IKE] sainfo identifier not found ("VPN_Eurofeedback0")_
2009 Aug 20 12:39:29 [FVS336G] [IKE] Failed to Delete the IPSec configuration with identifier "VPN_Eurofeedback0"_
2009 Aug 20 12:39:29 [FVS336G] [IKE] no phase1 found for "Poste103"_
2009 Aug 20 12:39:29 [FVS336G] [IKE] IKE configuration with identifier "Poste103" deleted sucessfully_
2009 Aug 20 12:39:29 [FVS336G] [IKE] Adding IKE configuration with identifer "Poste103"_
2009 Aug 20 12:39:29 [FVS336G] [IKE] parse error is nothing, but yyerrorcount is 1._
2009 Aug 20 12:41:18 [FVS336G] [IKE] Remote configuration for identifier "p103_remote.com" found_
2009 Aug 20 12:41:18 [FVS336G] [IKE] Received request for new phase 1 negotiation: 81.AAA.XX.ZZZ[500]<=>81.AAA.XX.YYY[500]_
2009 Aug 20 12:41:18 [FVS336G] [IKE] Beginning Aggressive mode._
2009 Aug 20 12:41:18 [FVS336G] [IKE] Received unknown Vendor ID_
- Last output repeated 2 times -
2009 Aug 20 12:41:18 [FVS336G] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2009 Aug 20 12:41:18 [FVS336G] [IKE] Received unknown Vendor ID_
2009 Aug 20 12:41:18 [FVS336G] [IKE] Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02__
2009 Aug 20 12:41:18 [FVS336G] [IKE] For 81.AAA.XX.YYY[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02_
2009 Aug 20 12:41:33 [FVS336G] [IKE] The packet is retransmitted by 81.AAA.XX.YYY[500]._


Ce message a été modifié par tonton1714 - jeudi 20 août 2009 à 11:47.
Go to the top of the page
 
+Quote Post
Prolag
posté jeudi 20 août 2009 à 11:54
Message #5


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



C'est du VPN Site @ Site ? ou VPN Client ? (avec des clients VPN ?)


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté jeudi 20 août 2009 à 12:05
Message #6


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ jeudi 20 août 2009 à 12:54) *
C'est du VPN Site @ Site ? ou VPN Client ? (avec des clients VPN ?)



C'est du VPN Client (avec des clients VPN. )


Go to the top of the page
 
+Quote Post
Prolag
posté jeudi 20 août 2009 à 12:41
Message #7


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



Citation (tonton1714 @ jeudi 20 août 2009 à 13:05) *
C'est du VPN Client (avec des clients VPN. )

OK !

Pourquoi tu as donc 8 Policy ? huh.gif


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté jeudi 20 août 2009 à 12:43
Message #8


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ jeudi 20 août 2009 à 13:41) *
OK !

Pourquoi tu as donc 8 Policy ? huh.gif


c'est une façon d'indivdualiser les clients qui se connecte en cas de perte/ou vol de machine.
Je supprime la policy/et/ou PW sans impact sur les autres clients.

J'ai bon???
Tonton
Go to the top of the page
 
+Quote Post
Prolag
posté jeudi 20 août 2009 à 13:58
Message #9


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



Citation (tonton1714 @ jeudi 20 août 2009 à 13:43) *
c'est une façon d'indivdualiser les clients qui se connecte en cas de perte/ou vol de machine.
Je supprime la policy/et/ou PW sans impact sur les autres clients.

J'ai bon???
Tonton

Oui c'est une solution... mais la connexion n'est pas nomade ? (tu es obligé de choisir l'adresse IP distante ?

Car sinon le plus simple... c'est d'utiliser le Mode Config avec X Auth (authentification des utilisateurs VPN !)


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté jeudi 20 août 2009 à 14:54
Message #10


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ jeudi 20 août 2009 à 14:58) *
Oui c'est une solution... mais la connexion n'est pas nomade ? (tu es obligé de choisir l'adresse IP distante ?

Car sinon le plus simple... c'est d'utiliser le Mode Config avec X Auth (authentification des utilisateurs VPN !)


j'utilise le mode config pour attribuer une plage d'adresses, mais je ne me suis pas encore plongé dans la partie Xauth.

la notion de Xauth est au niveau de la policy et la "user_database" est celle définie dans l'onglet "Users" ou l'on peut cree des IPSecUSer. j'ai bon?

Et au niveau du client , c'est sur authentification phase 1 que l'on choisi presharedkey + Extend authentification?

MAis a quel moment le client est censé demandé l'ID et le mot de passe à l'utilisateur (déclaré dans la base du 336G), car il ne se passe rien....

Tonton
Go to the top of the page
 
+Quote Post
Prolag
posté jeudi 20 août 2009 à 16:53
Message #11


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



Normalement c'est cela !

tu dois avoir une fenetre qui apparait pour entrer le login & mot de passe ?


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté jeudi 20 août 2009 à 17:04
Message #12


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ jeudi 20 août 2009 à 17:53) *
Normalement c'est cela !

tu dois avoir une fenetre qui apparait pour entrer le login & mot de passe ?


Oui je l'ai maintenant....

Le client est capricieux, car après un changement de policy sur le 336G, et il faut rebooter la machine cliente pour que le client accepte les nouveaux paramètres...

L'xauth fonctionne sur la base local, j'essaye le radius (installé sur mon SBS2003), mais là :

à la place du "Entrez le nom et le mot de passe j'ai des caractères non lisibles, et l'authentification ne marche pas.

il faut d'abord que je teste le radius.

Merci de tes conseils qui me font comprendre le fonctionnement de la bète.

Ah tiens! , en suivant le connexion status, je m'apercois que des adresses clients ne sont pas libérées, et quand le même client se reconnecte, il emploie une nouvelle adresse mais garde aussi l'ancienne ( il y a des échanges de packets sur les 2 avec les mêmes valeurs) , zarbi, non?
Comment peut-on liberer des connexions???

TonTon
Go to the top of the page
 
+Quote Post
Prolag
posté jeudi 20 août 2009 à 19:59
Message #13


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



Pour ta configuration cliente, tu fais un reload des parametres ? (tu as un option dans le client)

Bizarre ton histoire de connexion

Tu quittes comment tes connexions ?

Ce message a été modifié par Prolag - jeudi 20 août 2009 à 19:59.


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté vendredi 21 août 2009 à 10:11
Message #14


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ jeudi 20 août 2009 à 20:59) *
Pour ta configuration cliente, tu fais un reload des parametres ? (tu as un option dans le client)

Bizarre ton histoire de connexion

Tu quittes comment tes connexions ?


Je ferme le tunnel avant de rebooter le 336G

je desactive la policy, la recharge, la réactive, mais rien tant que le poste n'est pas rebooté. Ce n'est pas très grave, car opération rare. mais bon...

pour les connexxions qui persiste je vais regarder si elle tombent toutes seules au bout du LifeTime SA (8 heures).

Voila!
Go to the top of the page
 
+Quote Post
Prolag
posté vendredi 21 août 2009 à 11:45
Message #15


Chef des Forums
Icône de groupe

Groupe : Administrateurs
Messages : 25 808
Inscrit : 16/03/2003
Lieu : Gu' City :)
Membre no 4

FAI: Free
Dégroupage: Oui (Partiel)
Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)



Tien nous au courant !

Tu as bien la derniere version du soft VPN ? (tu as testé sinon Shrew VPN ? biggrin.gif)


--------------------
Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°)
/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \
u__u u___u u__u u__u u___u u__u u__u u___u u__u
Go to the top of the page
 
+Quote Post
tonton1714
posté vendredi 21 août 2009 à 12:23
Message #16


Membre
Icône de groupe

Groupe : Membres
Messages : 72
Inscrit : 22/10/2008
Lieu : EVRY
Membre no 62 083

FAI: Orange
Dégroupage: Oui (Partiel)
Vitesse de Connexion: 2048 Kb



Citation (Prolag @ vendredi 21 août 2009 à 12:45) *
Tu as bien la derniere version du soft VPN ?


10.8.3 (build 6)


Citation (Prolag @ vendredi 21 août 2009 à 12:45) *
(tu as testé sinon Shrew VPN ? biggrin.gif)

non, connais pas. je vais voir. nuke.gifo

Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : mardi 16 septembre 2014 à 01:51