233 Membres 1105 Contributions

Open Community

Discussions par mots clés : tunnel

Résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Résolue

Deny sur UDP500

Posée par Cana Conda dans Fonctionnalités et système

Bonjour,

J'ai une centaine de pare-feu (gamme NPA) qui se connecte par vpn a un concentrateur.

Sur cette centaine il y a environ la moitié ou le tunnel tombe de temps en temps (d'un côté mais pas de l'autre) et a du mal a remonter. Je peux voir dans les logs du concentrateur qu'il rejete en DENY le flux pour remonter le tunnel.

Comment ça ce fait ?

Merci d'avance.

 

Résolue

Tunnel et réseau sur même interface

Posée par Cana Conda dans Fonctionnalités et système

Bonjour,

J'ai un client nomade qui se connecte à mon arkoon. Le lien est monté sur l'ETH1.

Le tunnel est up et je vois qu'il y a des ping qui passe dans le tunnel (côté nomade) et qui arrive sur le pare-feu.

Le problème est que je ne vois pas ressortir mes pings qui devrait ressortir sur la même interface (ETH1)

Les flux sont configurés en full accept.

Est ce que c'est possible de faire ça ?

Monter son tunnel sur une interface et faire ressortir le flux sur la même interface.

 

Je vous remercie pour votre aide.

 

PS : Pare-feu en V5.0-28, Smart Connect v1.3

Résolue

Suggestion d'amélioration - Modification d'accès Internet principal et impact VPN

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur des appliances XPA (A210) en HA et version 5.0/19, j'ai modifié la configuration pour utiliser un accès Internet principal différent du précédent.

Aprèa avoir lu l'article 849 de la KB, il m'a semblé que cette modification n'impacterait pas les VPNs établis, d'autant qu'ils sont tous paramétrés avec une spécification explicite de l'accès Internet à utiliser.

J'ai donc lancé l'installation pendant les heures de production. Mal m'en a pris.

L'installation de cette configuration a provoqué des alertes de type 'Interface down' sur les deux interfaces  "HA virtuelles" d'accès Internet existantes, et sur les deux interfaces IPsec associées.

Tous les VPNs établis sont alors tombés, accompagnés d'alertes IKE de type :"x.x.x.x=====y.y.y.y[vpn xxx] is down , avec des détails variables (Delete notification received, Removed by administrator ou Terminated by administrator).

A l'issue de l'installation de cette configuration, les interfaces sont remontées...

Voir la suite
Messages d'alerte