215 Membres 982 Contributions

Open Community

Discussions par mots clés : VPN

Résolue

[SN2000] Fichier de configuration OpenVPN

Posée par Julien Durand dans Fonctionnalités et système

Bonjour à tous,

Je rencontre un problème lors de la connexion de mes clients OpenVPN sur Windows.

Le VPN SSL monte très bien, cependant, impossible de faire de résolution DNS avant plusieurs minutes. Le NSLOOKUP fonctionne pourtant très bien.

Pour pallier à ce problème, je renseigne l'option "register-dns" dans le fichier de conf du client (openvpn_client.ovpn). Avec cette option, le client DNS Windows s'enregistre sur le serveur DNS fourni par le SNS, et l'accès aux ressources réseau via leur nom est possible.

Je souhaite donc intégrer l'option "register-dns" dans le fichier de conf du SNS, donc dans le fichier "openvpn_server.conf" (sous la forme de la ligne "push register-dns").

Mon problème est donc celui-ci : où le trouver ? (autre que dans /var/tmp/ ?)

Merci pour vos réponses éclairées !

Cordialement,

Julien

Résolue

Client Stormshield VPN SSL - Demande de mot de passe

Posée par Dimitri Raymond dans Securité

Bonjour,

Existe-t-il un moyen de demander le mot de passe d'un utilisateur systématiquement lorsque celui-ci essaie de se connecter au vpn ? Actuellement il doit le saisir une fois, et peut se déconnecter/reconnecter autant de fois qu'il le souhaite sans retaper son mot de passe à condition qu'il ne quitte pas le client Stormshield VPN 2.1.0.

Merci :)

Résolue

VPN et signatures algorithmes IKE SHA

Posée par Adrien Luye dans Securité

Bonjour à toutes et à tous,

Nous venons de monter un tunnel vpn ipsec en test avec deux boitiers Arkoon Fast360.

Nous avons eu des difficultés à faire passer un ping entre les hôtes à chaque extrémité.

Après avoir lu plusieurs postes, nous avons vu qu'il était parfois conseillé de changer la signature de l'algorithme IKE en SHA1 à la place de SHA256.

Après modifications, cela a effectivement fonctionné.

Ma question est la suivante : pourquoi ? Pourquoi la signature en SHA256 entraîne-t-elle une non-transmission des paquets à la sortie du tunnel?

Je vous remercie pour les réponses que vous pourrez m'apporter.

Résolue

problème VPN iphone

Posée par Thomas D dans Fonctionnalités et système

Bonjour à tous,

 

je suis nouveau ici ayant acquis récemment un Stormshield SN300.
Voilà, j'ai configuré un tunnel VPN afin que des utilisateurs à distances se connectent en IPSEC et aucun soucis avec certificat et IP fixe. Aucun soucis.

J'ai voulu depuis quelques jours ajouter une configuration pour les iphones, j'ai donc suivi le tuto de Netasq pour la config VPN iphone et là, c'est le drame. J'ai vraiment tout réalisé comme le tuto, à plusieurs reprises, et à chaque fois la même erreur lors de la connexion :

unable to get local issuer certificate.

J'ai pourtant créé un certificat racine, j'en ai créé un serveur pour le portail applicatif que j'ai signé avec mon CA créé...Bref, un casse tête.
Si quelqu'un aurait déjà config son iPhone/iPad en IPSEC...Merci :)

Résolue

Stormshield - Traces / logs

Posée par Jb dans Fonctionnalités et système

Bonjour,

Sur l'un de nos clusters SN, les requetes de notre serveur de supervsion "pourissent" les logs disponibles sur l'appliance et nous obligent à créer des filtres un peu complexes pour observer des traces toutes simples.

Nous avons compris que l'appliance logue tous les flux et que le niveau de trace d'une règle permet d'avoir des informations plus poussées ou de lever des alarmes.

Est-il possible, comme sur les boitiers Arkoons, de supprimer toute journalisation d'une règle de flux précise ? (ex: serveur de supervision) 

Configuration : Cluster HA SN3000, v2.2.1

Cordialement,

JB

Résolue

VPN sur IP privée

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

J'ai un pare-feu arkoon connecté au routeur de mon opérateur. Le réseau d'interconnexion est un réseau d'IP privées. L'IP principale de l'interface externe de mon pare-feu est donc privée. Le routeur de l'opérateur route les IP publiques vers cette IP privée du pare-feu.

Je souhaite mettre en place des tunnel VPN IPSEC. Or, pour cela, il faut que le tunnel aboutisse sur une IP publique.

Comment puis je procéder ?

Merci d'avance pour vos réponses...

Résolue

Tunnel IPSEC problème phase 2

Posée par Olivier V dans Fonctionnalités et système

Bonjour,

J'ai un comportement étrange quand je monte un tunnel entre 2 boitiers Netasq qui sont en version 9.1.4 et qui se trouve sur internet

Le tunnel IPSEC qui est en clé pré-partagé monte. Les services au extrémités du tunnel arrivent à se joindre mais avec un débit pas terrible. Mais ce qui étrange c'est que la phase 2 du tunnel se renégocie en permanence. Le boitier distant renvoie constamment des messages de type "Received Delete SA" pour supprimer le tunnel.  Environ tous les 5 à 10 secondes.

Ci-joint un exemple de ce que j'ai dans le RealTime Monitor. Au bout de plusieurs minutes j'ai plus de 20 lignes.

Avez-vous une idée sur les causes probables de l'envoie constant de message "Received delete SA" en phase 2.

 

Résolue

Tunnel et réseau sur même interface

Posée par Cana Conda dans Fonctionnalités et système

Bonjour,

J'ai un client nomade qui se connecte à mon arkoon. Le lien est monté sur l'ETH1.

Le tunnel est up et je vois qu'il y a des ping qui passe dans le tunnel (côté nomade) et qui arrive sur le pare-feu.

Le problème est que je ne vois pas ressortir mes pings qui devrait ressortir sur la même interface (ETH1)

Les flux sont configurés en full accept.

Est ce que c'est possible de faire ça ?

Monter son tunnel sur une interface et faire ressortir le flux sur la même interface.

 

Je vous remercie pour votre aide.

 

PS : Pare-feu en V5.0-28, Smart Connect v1.3

Résolue

Monter un VPN A2100 / S150 avec clé partagée

Posée par Anonyme dans Fonctionnalités et système

Bonjour,
Je me présente, je suis Guillaume, administrateur réseau et j'ai une question.
Je souhaite monter 2 VPN en utilisant des clés partagées, entre :
 - site principal (A2100) / Burkina (S150)
 - site principal (A2100) / Ghana (S150)

A noter que
 - l'adresse IP publique côté site principal est statique. J'utilise la même @ pour les 2 VPN.
 - les adresses IP publiques côté filialles sont dynamiques.

La premiere tentative pour monter le tunnel site principal - Burkina a fonctionné.
La deuxieme tentative n'a pas fonctionné et dans le monitoring, l'@ IP publique du Burkina essayait de monter le tunnel VPN du Ghana.

Pour moi, l'A2100 ne sait pas de quel S150 vient la demande, et quel VPN monter.
Quelles sont les alternatives en sachant qu'il est impératif
 - d'utiliser une clé partagée (même si l'utilisation d'un certificats règle le problème)
 - je ne peux pas avoir d'@ IP publique fixe sur les sites distants (renseigner l'adresse IP distance dans l'arkoon...

Voir la suite
Résolue

tunnel IPSEC avec certificat

Posée par Olivier V dans Administration

Bonjour,

J'ai un problème a faire monter un tunnel IPSEC avec certificat entre 1 boitiers Netasq U450  et 2 boitiers clients ( 1 arkoon PSX-3 et un netasq U70)

Le Tunnel fonctionne très bien avec clés pré partagées, mais lorsque j'active le mode d'authentification ( pour le même tunnel IPSEC ) par certificat cela ne fonctionne plus.

Pour information la pki utilsé est celle du boitier ainsi que l'annuaire. Le profil IKE et IPSEC sont bien identique sur les 2 boitiers.

J'ai le message erreur suivant sur le boitier distant : No Valid ISAKMP-SA en phase 1 , coté boiter maitre j'ai un time out lors de la négociation.

J'ai vérifié par rapport à la doc Netasq qui propose un doc pour la création de tunnel IPSEC par certificat mais rien n'y fait.

Auriez vous une idée sur ce type de problème ?

 

 

Résolue

5.0/28 avec plusieurs topologies VPN nomades

Posée par t2laé dans Fonctionnalités et système

Bonjour,

 

J'ai actuellement un cluster de P-S4 en 5.0/28 qui me sert d'arrivée VPN.

 

Jusqu'à présent je n'avais que des topologies VPN avec des gateway dont je connais l'ip publique. Pas de soucis particulier.

J'ai dû rajouter sur ma conf, une topologie (notée A) dont l'ip publique de la gateway distante change tous les X temps. J'ai du coup configuré un hôte nomade en lui poussant un certificat pour l'authent (plus tout ce qu'il fallait) et tout est monté, et le changement d'ip était également bien géré.

 

J'ai rencontré un pb lorsque j'ai rajouté une second topologie VPN (notée B) avec une gateway distante ayant une ip publique dynamique.

 

En effet, B fonctionnait bien, le problème s'est présenté lorsque A a renouvellé son ip publique.

 

Dans les log j'ai bien vu que le cluster répondait à la nouvelle ip, sauf que c'était l'identifiant de connexion de B qui répondait et bouclait sur le fait qu'ils n'étaient pas d'accord sur les algos de...

Voir la suite
Résolue

VPN Lan to Lan arkoon/netgear

Posée par Sw3r dans Securité

Bonjour,

J'ai besoin d'aide sur une problématique que je rencontre, je m'explique:

J'ai actuellement sur mon réseau un arkoon p80xl. Je dois monter un VPN avec un boitier netgear Prosafe FVS336GV2. Jusque la pas de soucis.

Cependant le client est en adressage ip 192.168.0.0/24

J'ai déjà un VPN avec l'adressage ip du client. Quand je monte le VPN je fais tombé imédiatement mon autre VPN qui a le même sous réseau.

Mon client ne sais absolument pas comment translater son adresse réseau pour que :

exemple: un poste en 192.168.0.2 rentre dans le VPN et soit transformé en 192.168.210.2 ect

Ma question : Avez vous déjà rencontré le problème si oui qui a une solution :(

 

Merci pour votre aide

Résolue

Petite question VPN

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Ma topologie VPN est la suivante :

192.168.0.0/25 (LAN A)> 10.2.1.5/24 (appliance A) > 10.2.4.1/24 (Appliance B) > 192.168.0.128/25 (LAN B)

Le tunnel fonctionne très bien entre ma machine d'adminisration (LAN A > 192.168.0.100) vers mon ESX (LAN B > 192.168.0.221).

 

Maintenant j'aimerais savoir s'il est possible d'administrer mes switchs qui sont dans autre LAN qu'on nommera LAN C (192.168.4.0/24) sans tunnel VPN supplémentaire à partir de mon LAN A ou si je suis obligé de créer un tunnel spécifique.

 

Mes LAN B et C sont directement connectés sur un même routeur.

Adresse VLAN B : 192.168.0.135/25

Adresse VLAN C : 192.168.4.5/24

 

J'espère avoir été clair.

 

Merci.

 

 

Résolue

Problème tunnel VPN

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Après avoir paramétré mes arkoons pour monter un tunnel vpn avec certificat x509, je vois bien celui-ci qui est UP dans l'arkoon monitoring avec la bonne topologie.

Le problème est que je n'arrive pas à voir les hôtes qui sont derrière mon LAN distant (ping,ssh) depuis mon lan local.

Toujours dans mon arkoon monitoring (local et distant), je vois tous les flux qui sont accéptés (icmp, ssh, ntp, ...) en entrant et sortant.

J'ai vérifié en minarkconf via le arping (sur appliance distante) pour voir si mes hôtes distants sont là et ils me répondent bien.

Je suis aussi en "PASS ALL" au niveau de mes régles de flux.

Je précise que je passe par une AMC et que la version utilisée est la V6.0/3 (AMC et appliance de type S150 et S250)

Merci d'avance pour votre aide.

Résolue

Nouvelles versions, nouveau SHA256 : question sur la clé sysctl.net.ipv4.esp_rfc4868_trunc

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

 

Peut-on anticiper la perte des VPNs IPsec utilisant "SHA1" suite à l'upgrade d'une appliance en V5.0/30 ou V6.0/3 ?

J'explicite : les R.N de ces versions indiquent :

>>>La clé arkoon-config suivante permet de conserver l’ancienne implémentation de >>>l’algorithme SHA256 : sysctl.net.ipv4.esp_rfc4868_trunc = 0

Q: Peut-on paramétrer cette clé avant de procéder à l'upgrade, pour que lors de son démarrage dans la nouvelle version système, les VPNs se rétablissent immédiatement ?

Au passage : comment met-on cette clé en oeuvre ?

Merci pour vos réponses,

 

Résolue

Routage dans VPN

Posée par [yn] sam dans Administration

Bonjour,

J'ai actuellement cette topologie en place :

PC1 -> Arkoon1 -> VPN IPSEC Certificat (sur Internet) -> Arkoon2 -> VPN IPSEC PSK (sur Internet) -> Routeur Cisco -> PC2

Avec des tunnels VPN entre Arkkon1 et Arkoon2, et Arkoon2 et Routeur Cisco.

Le PC1 arrive bien à joindre le réseau LAN de Arkoon2, et le réseau LAN de Arkoon2 arrive bien à joindre le PC2.

Ma question : comment faire en sorte que le PC1 puisse joindre le PC2 ?

J'ai testé la topologie en étoile, mais le Cisco ne peux pas être ajouté (utilisation d'un PSK). Impossible d'ajouter une route vers LAN PC2 sur Arkoon1, car il me dit que l'Arkoon2 n'est pas joignable.

Merci de vos réponses ou suggestions.

Samuel

Résolue

pb flux vpn

Posée par Yanou dans Securité

bonjour.

j'ai une connexion de ce type:

lan>>>arkoon>>>>>routeur>>>>>client nomade

Je voudrais que mon client nomade puisse se connecter au réseau lan via un vpn.

J'ai appliqué une configuration que j'ai trouvée sur le site thegreenbow:

http://www.thegreenbow.com/doc/tgbvpn_cg-arkoon-security-fast-360-fr.pdf

Le vpn entre mon client nomade et l'arkoon monte sans pb.

Par contre je n'ai pas de  connexion possible (ping,SSH...)entre mon client nomade et mon réseau lan, tout en ayant ajouté une règle de flux "pass all"  avec un segment chiffré comme indiqué dans la doc de l'arkoon et la doc thegreenbow.

j'utilise le client ipsec fourni par arkoon.

Votre aide me serait précieuse.

merci

 

Résolue

Configuration VPN sur P-XS3

Posée par Damien P. dans Fonctionnalités et système

Bonjour à tous,

 

Ma société a fait d'aquisition d'un Arkoon P-XS3 remplaçant du bon vieux S90.

Cette applicance est dédiée à l'utilisation du VPN. J'ai fait toute la configuration coté VPN, le tunnel monte parfaitement ( Client VPN TheGreenBow IPSec VPN 5.5 ).

Mon problème est le suivant j'ai l'impression que le traffic ne passe pas, les client ont  besoin de se connecter à un groupe de serveur en remote desktop. Ces mêmes serveurs utilisent l'appliance pour se connecter à un internet. ( Accès serveur mail en autre ... )

Dans la console Arkoon monitoring je ne vois pas de traffic bloqué ... Pourant j'ai bien créé une règle concernant le VPN en tête de liste (#1) ( IP virtuelles dédiés au VPN vers le réseau serveur).

Je précise que je suis en version 6, pour le support du SSL3, et que j'ai deja installé 3 autres appliances pour couvrir les mêmes besoins.

Si quelqu'un à une idée ... ou a été confronté au même problème ...

Merci par avance.

Voir la suite
Résolue

VPN Tombe mais ne remonte pas

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Par cette belle journée (en tout cas pour nous dans l'Est) je rencontre un rpoblème avec un P1206 en V6. le P1206 à une dizaine de vpn IPSEC site à site monté. Mais j'ai un vpn avec un Zyxel USG 20 qui tombe à raison de 1 fois par jour. Le problème est que je ne peux le remonter ni depuis le zyxel ni depuis l'arkoon. Le zyxel est situé derrière un routeur FT. Les ports 500 et 4500 sont ouverts en sortie mais pas en entrant car FT ne veut pas les ouvir (firewall mutualisé). Quand le vpn tombe , je n'ai pas de message dans la console des alertes. Je vois que le zyxel tente de remonter le vpn mais d'info sur l'arkoon. Je redémarre les services IPSEC de l'arkoon , tous les VPN remontent SAUF celui avec le zyxel. Je reboot l'arkoon et la SUPER le vpn remonte.

Avez vous une idée d'ou cela peut provenir ?

Merci à bientôt.

Résolue

Monitoring des VPN, ou en est-on ?

Posée par David t. dans Fonctionnalités et système

Bonjour,

 

Je gère un parc de plusieurs appliances avec becoup de VPN IPsec montés. Actuellement je n'ai pas la possibilité de monitorer ses VPN autrement que par les alertes IKE.

 

Y-a-t-il dans la V6 la possibilité de récupérer en SNMP les statistiques de bande passante des règles de QoS ? De monitorer simplement l'état des VPN ?

 

Car faire le tri dans les alertes ike est un peu galère...

 

Merci d'avance pour vos réponses,

David T.

Messages d'alerte