224 Membres 1053 Contributions

Open Community

Discussions par mots clés : ipsec

Résolue

[P-80XL & P-250XL] Performances VPN IPSec

Posée par Laurent Tersal dans Matériels et performances

Bonjour,

Dans le cadre de tests de performances réalisés sur des boitiers Arkoon P-250XL, nous n'avons pas réussi à atteindre la valeur spécifiée dans les datasheet de l'équipement. 

Au maximum, nous avons réussi à obtenir 630Mb/s en UDP en unidirectionnel, en lieu et place des 1000Mb/s. 

Je n'ai malheureusement pas trouvé de réponse sur le site support d'arkoon les conditions à réunir pour obtenir ce débit.

D'autre part, toujours sur les datasheets, il est mentionné que le débit peut atteindre 6Gb/s en utilisant le chiffrement GCM en V6. Comment l'activer ? je n'ai également pas réussi à obtenir d'informations à ce sujet sur le support Arkoon.

Merci pour votre aide.

Vous trouverez ci-joint un petit récapitulatif des résultat et d'un schéma de maquette :

Maquette

2 x Arkoon P-250XL (version 6.0/9) composés chacun de :

  • 1 x carte FO (multimode)
  • 1 x carte FO (monomode)
  • 1 x carte CUIVRE 8xGE
  • 1 x carte CUIVRE 4xGE

4 x PC Portable

  • Interface GE
  • Distribution Debian
  • ...
Voir la suite
Résolue

Stormshield - Requete LDAP à travers un VPN IPSec

Posée par Jb dans Administration

Bonjour,

Nous avons besoin d'effectuer des requêtes sur un serveur Active Directory situé sur un réseau "LAN-A" protégé par un cluster SN3000 depuis un réseau distant "LAN-B" situé derrière un cluster de SN500. Les deux appliance sont en version 2.3.2. Les LAN-A et LAN-B sont en VPN IPSec Lan to Lan.

Nous avons suivi la procédure décrite dans cette KB : https://kb.stormshield.eu/en/index.php/NETASQ_LDAP_query_via_IPSec_VPN . Elle a bien fonctionné. (Petit retour d'expérience : sur la règle de flux, nous avons dû forcer le trafic entrant via le Tunnel IPSec).

Seulement, nous avons configuré un serveur LDAP de secours qui est situé sur le même site. Je souhaitais donc savoir si il faut monter un deuxième VPN d'authentification pour ce dernier ou y a-t-il une astuce ?

En vous remerciant par avance,

JB

Résolue

VPN IPSec avec Arkoon P-1206 et routeur DIGI WR21

Posée par Arnaud dans Securité

Bonjour,

Je souhaite connecter par un VPN en IPSec un routeur DIGI WR21 version Entreprise à un Arkoon P-1206.

J'ai comme configuration sur l'Arkoon :

Authentification par PSK

IKE : AES256 / SH1

ESP : AES256 / SH1

IP Local == Ark IP Fixe ........ INTERNET ..... DIGI IP Dynamique === IP Local

J'ai testé la configuration qui est OK avec le client VPN The Green Bow.

Coté DIGI cela coince, impossible qu'il se connect, la Phase 1 ne passe pas. (log IKE : Error stating new phase 1 negotiation )

Quelqu'un à déjà réalisé cette manipulation avec ce type de routeur ?

 

Résolue

VPN IPSec "avancé"

Posée par Adenan Daian dans Fonctionnalités et système

Bonour,

Je possède un netasq U120 en 8.1.7.1.

Je souhaite mettre en place un VPN IPSEC entre le réseau de mon client (X.X.X.X/24, que l'on nommera CLIENT) et mon réseau de production (Y.Y.Y.Y/24 que l'on nommera PRODUCTION) (pour l'instant rien de compliquer)

PRODUCTION héberge un serveur A qui est accessible par le réseau de mon client à travers le VPN. Le serveur A est répliqué en temps réelle vers le réseau BACKUP (Z.Z.Z.Z/24). Le serveur de BACKUP s'appelle serveur B.
Si le serveur A tombe en panne, le serveur B doit prendre le relais sans créer ou modifier le VPN existant, mais juste en activant une règle de translation d'adresse.

Les réseaux BACKUP et PRODUCTION sont connectés sur le netasq dans 2 port différents

Est-il possible dans le netasq de créer une règle map qui redirige les requêtes à destination du serveur A vers le serveur B ?

Merci de votre aide.

Résolue

VPN IPSEC NOMADE ARKOON FAST360

Posée par Jérémy Pfeiffer dans Administration

Bonjour à tous,

 

Suite à la mise en place d'un tunnel VPN nomade ipsec pour ipad (xauth), lorsque j'active le VPN tout fonctionne (Accès bureau distant, etc) vers l'extremité du tunnel mais je ne parviens plus à avoir de connexion web depuis le coté client ni de tout accès local.

 

En regardant mon route print de plus pres, tous les paquets sont systématiquement envoyés à travers le tunnel.  

 

Est-ce un problème de configuration ? 

 

D'avance merci,

Jérémy PFEIFFER

Résolue

tunnel IPSEC avec certificat

Posée par Olivier V dans Administration

Bonjour,

J'ai un problème a faire monter un tunnel IPSEC avec certificat entre 1 boitiers Netasq U450  et 2 boitiers clients ( 1 arkoon PSX-3 et un netasq U70)

Le Tunnel fonctionne très bien avec clés pré partagées, mais lorsque j'active le mode d'authentification ( pour le même tunnel IPSEC ) par certificat cela ne fonctionne plus.

Pour information la pki utilsé est celle du boitier ainsi que l'annuaire. Le profil IKE et IPSEC sont bien identique sur les 2 boitiers.

J'ai le message erreur suivant sur le boitier distant : No Valid ISAKMP-SA en phase 1 , coté boiter maitre j'ai un time out lors de la négociation.

J'ai vérifié par rapport à la doc Netasq qui propose un doc pour la création de tunnel IPSEC par certificat mais rien n'y fait.

Auriez vous une idée sur ce type de problème ?

 

 

Résolue

Nouvelles versions, nouveau SHA256 : question sur la clé sysctl.net.ipv4.esp_rfc4868_trunc

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

 

Peut-on anticiper la perte des VPNs IPsec utilisant "SHA1" suite à l'upgrade d'une appliance en V5.0/30 ou V6.0/3 ?

J'explicite : les R.N de ces versions indiquent :

>>>La clé arkoon-config suivante permet de conserver l’ancienne implémentation de >>>l’algorithme SHA256 : sysctl.net.ipv4.esp_rfc4868_trunc = 0

Q: Peut-on paramétrer cette clé avant de procéder à l'upgrade, pour que lors de son démarrage dans la nouvelle version système, les VPNs se rétablissent immédiatement ?

Au passage : comment met-on cette clé en oeuvre ?

Merci pour vos réponses,

 

Résolue

pb flux vpn

Posée par Yanou dans Securité

bonjour.

j'ai une connexion de ce type:

lan>>>arkoon>>>>>routeur>>>>>client nomade

Je voudrais que mon client nomade puisse se connecter au réseau lan via un vpn.

J'ai appliqué une configuration que j'ai trouvée sur le site thegreenbow:

http://www.thegreenbow.com/doc/tgbvpn_cg-arkoon-security-fast-360-fr.pdf

Le vpn entre mon client nomade et l'arkoon monte sans pb.

Par contre je n'ai pas de  connexion possible (ping,SSH...)entre mon client nomade et mon réseau lan, tout en ayant ajouté une règle de flux "pass all"  avec un segment chiffré comme indiqué dans la doc de l'arkoon et la doc thegreenbow.

j'utilise le client ipsec fourni par arkoon.

Votre aide me serait précieuse.

merci

 

Résolue

Message "DPD: Serious"

Posée par Steven dans Fonctionnalités et système

Bonjour.

J'ai dans mes /var/log/messages des lignes "DPD: Serious: could not find newest phase 1 state". Ce problème survient entre un PC client et un cluster de L1800.

Dans la procédure de diagnostic VPN, vous précisez que cela peut apparaitre "dans le cas de plusieurs liens VPN entre 2 passerelles VPN". Est ce le même problème entre 2 passerelles qu'entre un client et une passerelle?

J'ai vu que la solution était de placer la clé "ipsec.dpd.restart-by-peer = yes" dans le fichier /config_card/etc/arkoon-config.local.

 

Puis-je savoir quels sont les effets de cette clé sur le DPD?

Dans le fichier ipsec.conf, "dpdaction" est en "clear" par défaut. Quels sont les différences de comportement entre le mode "clear" et le mode "restart by peer"?

 

Autre point: le paragraphe sur ce problème dans la procédure de diagnostic en français mentionne que le service IPSec sera redémarré alors que dans la documentation en anglais, ce n'est pas précisé.Le service IPSec sera...

Voir la suite
Résolue

Pb VPN IPsec ZYXEL

Posée par Ltaillan dans Fonctionnalités et système

Bonjour,

Je remplace un ZyXEL USG200 par une appliance P-XS3. J"ai pu remonter les tunnels en place sauf un dont la particularité est d'utiliser un local-id et un peer-id.

Sur le ZyXel le VPN en question à la conf suivante:

 local-ip interface wan2
 peer-ip 222.222.222.222 0.0.0.0
 authentication pre-share
 encrypted-keystring XXXXXX
 local-id type ip 111.111.111.111
 peer-id type ip 222.222.222.222
 mode main
 group2
 transform-set 3des-md5 3des-md5


Sur mon hôte 222.222.222.222 j'ai renseigné l'ID IPsec avec son IP222.222.222.222

Sur mon applicance j'ai renseigné Authentification PSK/ID IPsec avec 111.111.111.111.

Le tunnel ne monte pas, je suis en v6.0/1.

 

Merci de votre aide.

 

Cordialement.

Résolue

QOS : Monitoring Tunnel VPN IPSEC

Posée par Julien dans Administration

Bonjour,

je souhaite visualiser sur mon accès internet la bande passante utilisée par mes tunnel vpn IPSEC.

J'ai déjà mis en place le monitoring en download et en upload sur divers protocoles (SMTP, HTTP, FTP), mais je n'ai pas de résultat pour les tunnels IPSEC.

Est ce que c'est possible ?

Merci d’avance pour votre aide

 

Résolue

VPN avec LiveBox Pro

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Dans le cadre d'un projet d'interconnexion de plusieurs magasins vers un site principal disposant d'un arkoon A20U (qui sera remplacé prochainement). Je souhaiterais savoir si vous avez déjà réalisé des VPN Ipsec avec des livebox pro ? si oui quels sont les paramètres que vous utilisez.

Pour des raisons économiques le client ne souhaite pas investir dans un VPN opérateur ni pour des boitiers d'extremité sachant que cela que chaque magasin ne dispose que d'un seul poste. Le client VPN Ipsec smart connect ne convient pas...

Merci de me faire partager vos expériences.

Résolue

Suggestion d'amélioration - Modification d'accès Internet principal et impact VPN

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur des appliances XPA (A210) en HA et version 5.0/19, j'ai modifié la configuration pour utiliser un accès Internet principal différent du précédent.

Aprèa avoir lu l'article 849 de la KB, il m'a semblé que cette modification n'impacterait pas les VPNs établis, d'autant qu'ils sont tous paramétrés avec une spécification explicite de l'accès Internet à utiliser.

J'ai donc lancé l'installation pendant les heures de production. Mal m'en a pris.

L'installation de cette configuration a provoqué des alertes de type 'Interface down' sur les deux interfaces  "HA virtuelles" d'accès Internet existantes, et sur les deux interfaces IPsec associées.

Tous les VPNs établis sont alors tombés, accompagnés d'alertes IKE de type :"x.x.x.x=====y.y.y.y[vpn xxx] is down , avec des détails variables (Delete notification received, Removed by administrator ou Terminated by administrator).

A l'issue de l'installation de cette configuration, les interfaces sont remontées...

Voir la suite
Messages d'alerte