219 Membres 1027 Contributions

Open Community

Discussions par mots clés : vpn

Résolue

question VPN-SSL stormshield

Posée par Thomas Leclerc dans Securité

bonjour

j'imagine une configuration type pour mon reseau et je souhaites une confirmation concernant des fonctionnalités offertes ou non par les appliances stormshield SNS170 au nieau des tunnels VPN SSL. je m'adresse à la communauté car je ne trouve jusqu'ici pas la reponse à ces questions et pour l'instant cela freine mon projet. N'ayant pas une appliance à disposition pour tester par moi même, je ne peux pas declencher d'achat sans reponse à ces questions.

mon souhait : 

1 - le client VPN se lance à l'ouverture de session

2 - Le client detecte qu'il est ou non sur le LAN de l'entreprise 

2 - si le client n'est pas sur le LAN, le client se connecte tout seul à la passerelle stormshield (soit par un certificat client soit en recuperant les identifiants et mdp windows de l'utilisateur)

3 - une fois le tunnel établi tout le trafic reseau remonte à la passerelle stormshield, y compris les requetes DNS.

4 - le client vérifie regulierement le statut de la connection et tente...

Voir la suite
Résolue

Stormshield VPN Site à Site avec Livebox3

Posée par Peyot33 dans Administration

Bonjour à tous,

Je rencontre des difficultés pour faire un VPN site à site entre un Stormshield SN200 et une Livebox 3. (UPNP désactivé)

Je n'arrive pas à passer la Phase 1...

Firewall : 192.168.0.254, Date : 20:13, Niveau d'erreur : Information, Phase : 1, Source : Firewall_out, Adresse de la source : 37.xxx.xxx.xxx, Destination : GW-reims, Adresse de la destination : xxx.xxx.xxx.65, Message : Negotiation failed due to timeout, Identité du distant : , SPI entrant : , SPI sortant : , Cookie (entrant/sortant) : 0x7266a7df43afea79/0x75eafe00c6c470e1, Rôle : responder, Réseau distant : , Réseau local 

Les paramètres sont exactement les mêmes des 2 cotés comme vous pouvez le voir dans les screens shot.

Si vous avez une idée, elle serait la bienvenue. Merci d'avance

Résolue

VPN IPSec avec Arkoon P-1206 et routeur DIGI WR21

Posée par Arnaud dans Securité

Bonjour,

Je souhaite connecter par un VPN en IPSec un routeur DIGI WR21 version Entreprise à un Arkoon P-1206.

J'ai comme configuration sur l'Arkoon :

Authentification par PSK

IKE : AES256 / SH1

ESP : AES256 / SH1

IP Local == Ark IP Fixe ........ INTERNET ..... DIGI IP Dynamique === IP Local

J'ai testé la configuration qui est OK avec le client VPN The Green Bow.

Coté DIGI cela coince, impossible qu'il se connect, la Phase 1 ne passe pas. (log IKE : Error stating new phase 1 negotiation )

Quelqu'un à déjà réalisé cette manipulation avec ce type de routeur ?

 

Résolue

Problème fonctionnement VPN SSL Netasq

Posée par AlexandreR dans Fonctionnalités et système

Bonjour

Lors d'un ajout d'un serveur dans la config du VPN SSL, j'ai eu le message NOM DE SERVEUR INCORRECT.
Ne comprenant pas ce message et n'arrivant pas à déterminer ce qui posait problème, j'ai fait les opérations suivantes:
- reboot du firewall
- mise à jour
- reboot
- effacement de toute la configuration du VPN SSL

Maintenant, même si je ne mets qu'un seul serveur dans le VPN SSL, j'obtiens ce message (voir PJ). Je ne comprends pas d'où il vient ni comment y remdédier...

Appliance: Netasq U450
Version: 9.1.4.1

Merci et bonne semaine :)

Résolue

VPN IPSec "avancé"

Posée par Adenan Daian dans Fonctionnalités et système

Bonour,

Je possède un netasq U120 en 8.1.7.1.

Je souhaite mettre en place un VPN IPSEC entre le réseau de mon client (X.X.X.X/24, que l'on nommera CLIENT) et mon réseau de production (Y.Y.Y.Y/24 que l'on nommera PRODUCTION) (pour l'instant rien de compliquer)

PRODUCTION héberge un serveur A qui est accessible par le réseau de mon client à travers le VPN. Le serveur A est répliqué en temps réelle vers le réseau BACKUP (Z.Z.Z.Z/24). Le serveur de BACKUP s'appelle serveur B.
Si le serveur A tombe en panne, le serveur B doit prendre le relais sans créer ou modifier le VPN existant, mais juste en activant une règle de translation d'adresse.

Les réseaux BACKUP et PRODUCTION sont connectés sur le netasq dans 2 port différents

Est-il possible dans le netasq de créer une règle map qui redirige les requêtes à destination du serveur A vers le serveur B ?

Merci de votre aide.

Résolue

Deny sur UDP500

Posée par Cana Conda dans Fonctionnalités et système

Bonjour,

J'ai une centaine de pare-feu (gamme NPA) qui se connecte par vpn a un concentrateur.

Sur cette centaine il y a environ la moitié ou le tunnel tombe de temps en temps (d'un côté mais pas de l'autre) et a du mal a remonter. Je peux voir dans les logs du concentrateur qu'il rejete en DENY le flux pour remonter le tunnel.

Comment ça ce fait ?

Merci d'avance.

 

Résolue

VPN IPSEC NOMADE ARKOON FAST360

Posée par Jérémy Pfeiffer dans Administration

Bonjour à tous,

 

Suite à la mise en place d'un tunnel VPN nomade ipsec pour ipad (xauth), lorsque j'active le VPN tout fonctionne (Accès bureau distant, etc) vers l'extremité du tunnel mais je ne parviens plus à avoir de connexion web depuis le coté client ni de tout accès local.

 

En regardant mon route print de plus pres, tous les paquets sont systématiquement envoyés à travers le tunnel.  

 

Est-ce un problème de configuration ? 

 

D'avance merci,

Jérémy PFEIFFER

Résolue

Nouvelles versions, nouveau SHA256 : question sur la clé sysctl.net.ipv4.esp_rfc4868_trunc

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

 

Peut-on anticiper la perte des VPNs IPsec utilisant "SHA1" suite à l'upgrade d'une appliance en V5.0/30 ou V6.0/3 ?

J'explicite : les R.N de ces versions indiquent :

>>>La clé arkoon-config suivante permet de conserver l’ancienne implémentation de >>>l’algorithme SHA256 : sysctl.net.ipv4.esp_rfc4868_trunc = 0

Q: Peut-on paramétrer cette clé avant de procéder à l'upgrade, pour que lors de son démarrage dans la nouvelle version système, les VPNs se rétablissent immédiatement ?

Au passage : comment met-on cette clé en oeuvre ?

Merci pour vos réponses,

 

Résolue

Problème de syslog

Posée par brunoT dans Fonctionnalités et système

Bonjour,

J'utilise plusieurs petites appliances S90 et S150 pour connecter des localisations distantes à notre site central. Ces appliances n'ont qu'un rôle: tout chiffrer en IPSec pour l'interconnexion LAN to LAN. Pour cela, outre bien entendu la définition du tunnel et de la communauté VPN, j'ai 2 règles, l'une en entrée, l'autre en sortie, qui comportent chacune un "segment de chiffrement" demandant au trafic de passer par le tunnel en question.

J'ai toutefois une exception: une règle pour "syslog": nous avons dans chaque localisation un serveur, et je préfère ne pas encombrer la ligne avec les logs, et les garder en local. J'ai donc défini, dans la politique de journalisation, un serveur local, et j'ai activé la journalisation via syslog.

Or, la journalisation n'a pas lieu, et quand je fais un tcpdump du port syslog sur l'appliance, je vois les messages suivants (qui arrivent en grand nombre):

<134>IP-Logs: AKLOG - id=firewall time="2014-03-03 15:02:35"...

Voir la suite
Résolue

VPN et filtrage mac adresse

Posée par Dej dans Fonctionnalités et système

Bonsoir, j'ai lu dans le forum que le moyen d'utiliser le filtrage par mac adress était de reserver une IP dans le DHCP à l'adresse mac du client...

Est-il possible de filtrer les clients nomades qui utilisent le vpn avec cette méthode, sachant que l'arkoon n'a pas le role dhcp dans ma config

Merci

Résolue

VPN après migration vers 6.0

Posée par Lra dans Fonctionnalités et système

Bonjour,

Je effectué une mise à jour de 5.2 vers 6.0.
 Tout s'est très bien passé à part que je les tunnels VPn ne se montent plus (je ne les vois plus dans le monitoring)

Ai-je raté une étape configuration?

Merci pour votre aide.

CordialementLea

Résolue

VPN Iphone

Posée par AlexandreR dans Fonctionnalités et système

Bonjour

Je tente d'établir un VPN entre mon iphone et un PXS3 en 6.0/1.

J'ai un souci au niveau du paramètre GROUPE de l'iphone, je ne sais pas quoi mettre!

J'ai cru voir (mais je ne retrouve pas le message) qu'un utilisateur a réussi à le faire...

Une idée?

Merci d'avance

Alex

Résolue

Pb VPN suite migration vers P-SX3

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai migré dernièrement un A20R (4.0.17) vers un P-SX3 chez un de me mes clients et depuis le tunnel VPN vers le site distant ne monte plus.  L'arkoon est en 5.0.27, de l'autre coté c'est un sonicwall TZ100. le tunnel se négocie en AES128 SHA1 DH2 avec un secret partagé. J'ai les logs ci dessous :

 #84: starting keying attempt 21 of an unlimited number

"conn_1" #85: initiating Main Mode to replace #84

"conn_1" #85: ignoring unknown Vendor ID payload [5b362bc820f60007]

"conn_1" #85: received Vendor ID payload [RFC 3947] method set to=110

"conn_1" #85: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)

"conn_1" #85: STATE_MAIN_I2: sent MI2, expecting MR2

"conn_1" #85: ignoring unknown Vendor ID payload [404bf439522ca3f6]

"conn_1" #85: ignoring Vendor ID payload [XAUTH]

"conn_1" #85: received Vendor ID payload [Dead Peer Detection]

"conn_1" #85: I did not send a certificate because I do not have one.

"conn_1" #85: NAT-Traversal: Result using ...

Voir la suite
Résolue

VPN avec LiveBox Pro

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Dans le cadre d'un projet d'interconnexion de plusieurs magasins vers un site principal disposant d'un arkoon A20U (qui sera remplacé prochainement). Je souhaiterais savoir si vous avez déjà réalisé des VPN Ipsec avec des livebox pro ? si oui quels sont les paramètres que vous utilisez.

Pour des raisons économiques le client ne souhaite pas investir dans un VPN opérateur ni pour des boitiers d'extremité sachant que cela que chaque magasin ne dispose que d'un seul poste. Le client VPN Ipsec smart connect ne convient pas...

Merci de me faire partager vos expériences.

Résolue

Relevés VPN + Connexions simultanées

Posée par Arthur36 dans Administration

Bonjour à tous,

Débutant Arkoon, je travaille en ce moment sur l'étude d'une appliance A800, sur laquelle est configuré un VPN reliant un réseau local à un réseau secondaire.

Savez-vous svp s'il existe un moyen de connaître le débit en temps réel de ce VPN, sous forme d'historique, ou via un moniteur ?

Dans la meme lignée, est-il possible d'afficher un historique des "pics" du nombre de connexions simultanées ?

 

 

Résolue

vpn bandwith monitoring tool

Posée par Nicolan

Good afternoon,

one our customer asked us a tool to monitor his ipsec site to site vpn tunnels, to gather realtime informations about bandwith usage and, if possible, understanding who's using most bandwith. 
I've tried first the ACC , but i did not find and realtime bandwith usage graph or monitor;
then i've tested Splunk , configuring as the syslog collector for all events generated by the Arkoon appliance and i was successfull : i can now see top 10 ip sources/destinations and protocols  for a particular subnet
I was trying to get my result using SNMP events to Splunk to generate some graphs based on ip address but i could not get through. 

ANY kind of help would be REALLY appreciated! :)

Résolue

VPN with iPad

Posée par mmonte dans Fonctionnalités et système

Do you know if exist a way to establish a VPN client-to-lan trough an Arkoon appliance and an iPad v5?

I see that the only IPSEC option on iPad is CISCO compliant....

Résolue

Suggestion d'amélioration - Modification d'accès Internet principal et impact VPN

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur des appliances XPA (A210) en HA et version 5.0/19, j'ai modifié la configuration pour utiliser un accès Internet principal différent du précédent.

Aprèa avoir lu l'article 849 de la KB, il m'a semblé que cette modification n'impacterait pas les VPNs établis, d'autant qu'ils sont tous paramétrés avec une spécification explicite de l'accès Internet à utiliser.

J'ai donc lancé l'installation pendant les heures de production. Mal m'en a pris.

L'installation de cette configuration a provoqué des alertes de type 'Interface down' sur les deux interfaces  "HA virtuelles" d'accès Internet existantes, et sur les deux interfaces IPsec associées.

Tous les VPNs établis sont alors tombés, accompagnés d'alertes IKE de type :"x.x.x.x=====y.y.y.y[vpn xxx] is down , avec des détails variables (Delete notification received, Removed by administrator ou Terminated by administrator).

A l'issue de l'installation de cette configuration, les interfaces sont remontées...

Voir la suite
Messages d'alerte