116 Membres 1127 Contributions

Open Community

Discussions par mots clés : vpn

Résolue

VPN IPSEC LAN 2 LAN en mode bridge

Posée par Aymeric D dans Fonctionnalités et système

 

 

 

Salut à tous,

Nous intégrons une nouvelle structure qui possède un Stormshield SN200 v3.2.1.

 J'essaye de monter un tunnel IPSEC avec notre Fortigate. (j'ai déja des tunnels en production sur ce pare-feu)

 La config sur le site du stormshield est:

livebox pro 192.168.1.1 <-> stormshield en bridge 192.168.1.240 <-> switch lan 192.168.1.0

Première question est-ce que l'on peut monter des tunnels en mode bridge ?

J'ai copier une config ikev1 psk qui tourne sur mon fortinet, mais le tunnel ne monte pas.

Surtout, je n'ai aucun trace sur le stormshield. Sur mon fortinet, je vois bien les traces d'initiator vers le stormshield, mais apparement, pas de réponse.

quelque screenshots:

 

Merci

Résolue

VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS

Posée par Guillaume dans Fonctionnalités et système

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

  • Sources : LAN_local,LAN_disant
  • Destination : LAN_local,LAN_disant
  • Service : rien mis à cette endroit
  • Action : accepter
  • Translation : rien mis à cette endroit
  • Segment de chiffrement : 2 lignes
  •     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
  •     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

  •   source : LAN_distant via Tunnel VPN IPsec, port : any
  •   destination : Network_lan_local, port : any
  •  
  • ...
Voir la suite
Résolue

Connexion VPN SSL impossible si accent dans le password

Posée par Didier Fourt dans Administration

Bonjour,

J'utilise le client Stormshiel 2.0 VPN SSL mais impossible d'établir une connexion si le mot de passe contient un accent.

J'ai le message suivant : "Unable to connect to UTM : User not allowed"

Mon firewall est un Stormshield SN710 v3.0.3

Pouvez-vous m'aider ?

Par la même occasion, impossible de trouver la version 2.1 du client sur mon interface client Stormshiel

Didier

Résolue

Stormshield, VPN et DHCP

Posée par Jean Korn dans Administration

Bonjour

Grâce à vos bons conseils, j'ai réussi à parametrer les 2 netasq pour qu'il communique ensemble.

j'ai donc :

Site n°1 : vlan_5 : 10.5.0.0/24
Site n°2 : vlan_5 : 192.168.5.0/24

 

Maintenant, comment faire pour que les hosts situés sur le site n°2 obtienne un IP. Le serveur DHCP etant situé sur le site n°1 ?

Merci pour vos precieux conseils.

Résolue

question VPN-SSL stormshield

Posée par Thomas Leclerc dans Securité

bonjour

j'imagine une configuration type pour mon reseau et je souhaites une confirmation concernant des fonctionnalités offertes ou non par les appliances stormshield SNS170 au nieau des tunnels VPN SSL. je m'adresse à la communauté car je ne trouve jusqu'ici pas la reponse à ces questions et pour l'instant cela freine mon projet. N'ayant pas une appliance à disposition pour tester par moi même, je ne peux pas declencher d'achat sans reponse à ces questions.

mon souhait : 

1 - le client VPN se lance à l'ouverture de session

2 - Le client detecte qu'il est ou non sur le LAN de l'entreprise 

2 - si le client n'est pas sur le LAN, le client se connecte tout seul à la passerelle stormshield (soit par un certificat client soit en recuperant les identifiants et mdp windows de l'utilisateur)

3 - une fois le tunnel établi tout le trafic reseau remonte à la passerelle stormshield, y compris les requetes DNS.

4 - le client vérifie regulierement le statut de la connection et tente...

Voir la suite
Résolue

Stormshield VPN Site à Site avec Livebox3

Posée par Peyot33 dans Administration

Bonjour à tous,

Je rencontre des difficultés pour faire un VPN site à site entre un Stormshield SN200 et une Livebox 3. (UPNP désactivé)

Je n'arrive pas à passer la Phase 1...

Firewall : 192.168.0.254, Date : 20:13, Niveau d'erreur : Information, Phase : 1, Source : Firewall_out, Adresse de la source : 37.xxx.xxx.xxx, Destination : GW-reims, Adresse de la destination : xxx.xxx.xxx.65, Message : Negotiation failed due to timeout, Identité du distant : , SPI entrant : , SPI sortant : , Cookie (entrant/sortant) : 0x7266a7df43afea79/0x75eafe00c6c470e1, Rôle : responder, Réseau distant : , Réseau local 

Les paramètres sont exactement les mêmes des 2 cotés comme vous pouvez le voir dans les screens shot.

Si vous avez une idée, elle serait la bienvenue. Merci d'avance

Résolue

VPN IPSec avec Arkoon P-1206 et routeur DIGI WR21

Posée par Arnaud dans Securité

Bonjour,

Je souhaite connecter par un VPN en IPSec un routeur DIGI WR21 version Entreprise à un Arkoon P-1206.

J'ai comme configuration sur l'Arkoon :

Authentification par PSK

IKE : AES256 / SH1

ESP : AES256 / SH1

IP Local == Ark IP Fixe ........ INTERNET ..... DIGI IP Dynamique === IP Local

J'ai testé la configuration qui est OK avec le client VPN The Green Bow.

Coté DIGI cela coince, impossible qu'il se connect, la Phase 1 ne passe pas. (log IKE : Error stating new phase 1 negotiation )

Quelqu'un à déjà réalisé cette manipulation avec ce type de routeur ?

 

Résolue

Problème fonctionnement VPN SSL Netasq

Posée par AlexandreR dans Fonctionnalités et système

Bonjour

Lors d'un ajout d'un serveur dans la config du VPN SSL, j'ai eu le message NOM DE SERVEUR INCORRECT.
Ne comprenant pas ce message et n'arrivant pas à déterminer ce qui posait problème, j'ai fait les opérations suivantes:
- reboot du firewall
- mise à jour
- reboot
- effacement de toute la configuration du VPN SSL

Maintenant, même si je ne mets qu'un seul serveur dans le VPN SSL, j'obtiens ce message (voir PJ). Je ne comprends pas d'où il vient ni comment y remdédier...

Appliance: Netasq U450
Version: 9.1.4.1

Merci et bonne semaine :)

Résolue

VPN IPSec "avancé"

Posée par Adenan Daian dans Fonctionnalités et système

Bonour,

Je possède un netasq U120 en 8.1.7.1.

Je souhaite mettre en place un VPN IPSEC entre le réseau de mon client (X.X.X.X/24, que l'on nommera CLIENT) et mon réseau de production (Y.Y.Y.Y/24 que l'on nommera PRODUCTION) (pour l'instant rien de compliquer)

PRODUCTION héberge un serveur A qui est accessible par le réseau de mon client à travers le VPN. Le serveur A est répliqué en temps réelle vers le réseau BACKUP (Z.Z.Z.Z/24). Le serveur de BACKUP s'appelle serveur B.
Si le serveur A tombe en panne, le serveur B doit prendre le relais sans créer ou modifier le VPN existant, mais juste en activant une règle de translation d'adresse.

Les réseaux BACKUP et PRODUCTION sont connectés sur le netasq dans 2 port différents

Est-il possible dans le netasq de créer une règle map qui redirige les requêtes à destination du serveur A vers le serveur B ?

Merci de votre aide.

Résolue

Deny sur UDP500

Posée par Cana Conda dans Fonctionnalités et système

Bonjour,

J'ai une centaine de pare-feu (gamme NPA) qui se connecte par vpn a un concentrateur.

Sur cette centaine il y a environ la moitié ou le tunnel tombe de temps en temps (d'un côté mais pas de l'autre) et a du mal a remonter. Je peux voir dans les logs du concentrateur qu'il rejete en DENY le flux pour remonter le tunnel.

Comment ça ce fait ?

Merci d'avance.

 

Résolue

VPN IPSEC NOMADE ARKOON FAST360

Posée par Jérémy Pfeiffer dans Administration

Bonjour à tous,

 

Suite à la mise en place d'un tunnel VPN nomade ipsec pour ipad (xauth), lorsque j'active le VPN tout fonctionne (Accès bureau distant, etc) vers l'extremité du tunnel mais je ne parviens plus à avoir de connexion web depuis le coté client ni de tout accès local.

 

En regardant mon route print de plus pres, tous les paquets sont systématiquement envoyés à travers le tunnel.  

 

Est-ce un problème de configuration ? 

 

D'avance merci,

Jérémy PFEIFFER

Résolue

Nouvelles versions, nouveau SHA256 : question sur la clé sysctl.net.ipv4.esp_rfc4868_trunc

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

 

Peut-on anticiper la perte des VPNs IPsec utilisant "SHA1" suite à l'upgrade d'une appliance en V5.0/30 ou V6.0/3 ?

J'explicite : les R.N de ces versions indiquent :

>>>La clé arkoon-config suivante permet de conserver l’ancienne implémentation de >>>l’algorithme SHA256 : sysctl.net.ipv4.esp_rfc4868_trunc = 0

Q: Peut-on paramétrer cette clé avant de procéder à l'upgrade, pour que lors de son démarrage dans la nouvelle version système, les VPNs se rétablissent immédiatement ?

Au passage : comment met-on cette clé en oeuvre ?

Merci pour vos réponses,

 

Résolue

Problème de syslog

Posée par brunoT dans Fonctionnalités et système

Bonjour,

J'utilise plusieurs petites appliances S90 et S150 pour connecter des localisations distantes à notre site central. Ces appliances n'ont qu'un rôle: tout chiffrer en IPSec pour l'interconnexion LAN to LAN. Pour cela, outre bien entendu la définition du tunnel et de la communauté VPN, j'ai 2 règles, l'une en entrée, l'autre en sortie, qui comportent chacune un "segment de chiffrement" demandant au trafic de passer par le tunnel en question.

J'ai toutefois une exception: une règle pour "syslog": nous avons dans chaque localisation un serveur, et je préfère ne pas encombrer la ligne avec les logs, et les garder en local. J'ai donc défini, dans la politique de journalisation, un serveur local, et j'ai activé la journalisation via syslog.

Or, la journalisation n'a pas lieu, et quand je fais un tcpdump du port syslog sur l'appliance, je vois les messages suivants (qui arrivent en grand nombre):

<134>IP-Logs: AKLOG - id=firewall time="2014-03-03 15:02:35"...

Voir la suite
Résolue

VPN et filtrage mac adresse

Posée par Dej dans Fonctionnalités et système

Bonsoir, j'ai lu dans le forum que le moyen d'utiliser le filtrage par mac adress était de reserver une IP dans le DHCP à l'adresse mac du client...

Est-il possible de filtrer les clients nomades qui utilisent le vpn avec cette méthode, sachant que l'arkoon n'a pas le role dhcp dans ma config

Merci

Résolue

VPN après migration vers 6.0

Posée par Lra dans Fonctionnalités et système

Bonjour,

Je effectué une mise à jour de 5.2 vers 6.0.
 Tout s'est très bien passé à part que je les tunnels VPn ne se montent plus (je ne les vois plus dans le monitoring)

Ai-je raté une étape configuration?

Merci pour votre aide.

CordialementLea

Résolue

VPN Iphone

Posée par AlexandreR dans Fonctionnalités et système

Bonjour

Je tente d'établir un VPN entre mon iphone et un PXS3 en 6.0/1.

J'ai un souci au niveau du paramètre GROUPE de l'iphone, je ne sais pas quoi mettre!

J'ai cru voir (mais je ne retrouve pas le message) qu'un utilisateur a réussi à le faire...

Une idée?

Merci d'avance

Alex

Résolue

Pb VPN suite migration vers P-SX3

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai migré dernièrement un A20R (4.0.17) vers un P-SX3 chez un de me mes clients et depuis le tunnel VPN vers le site distant ne monte plus.  L'arkoon est en 5.0.27, de l'autre coté c'est un sonicwall TZ100. le tunnel se négocie en AES128 SHA1 DH2 avec un secret partagé. J'ai les logs ci dessous :

 #84: starting keying attempt 21 of an unlimited number

"conn_1" #85: initiating Main Mode to replace #84

"conn_1" #85: ignoring unknown Vendor ID payload [5b362bc820f60007]

"conn_1" #85: received Vendor ID payload [RFC 3947] method set to=110

"conn_1" #85: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)

"conn_1" #85: STATE_MAIN_I2: sent MI2, expecting MR2

"conn_1" #85: ignoring unknown Vendor ID payload [404bf439522ca3f6]

"conn_1" #85: ignoring Vendor ID payload [XAUTH]

"conn_1" #85: received Vendor ID payload [Dead Peer Detection]

"conn_1" #85: I did not send a certificate because I do not have one.

"conn_1" #85: NAT-Traversal: Result using ...

Voir la suite
Résolue

VPN avec LiveBox Pro

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Dans le cadre d'un projet d'interconnexion de plusieurs magasins vers un site principal disposant d'un arkoon A20U (qui sera remplacé prochainement). Je souhaiterais savoir si vous avez déjà réalisé des VPN Ipsec avec des livebox pro ? si oui quels sont les paramètres que vous utilisez.

Pour des raisons économiques le client ne souhaite pas investir dans un VPN opérateur ni pour des boitiers d'extremité sachant que cela que chaque magasin ne dispose que d'un seul poste. Le client VPN Ipsec smart connect ne convient pas...

Merci de me faire partager vos expériences.

Résolue

Relevés VPN + Connexions simultanées

Posée par Arthur36 dans Administration

Bonjour à tous,

Débutant Arkoon, je travaille en ce moment sur l'étude d'une appliance A800, sur laquelle est configuré un VPN reliant un réseau local à un réseau secondaire.

Savez-vous svp s'il existe un moyen de connaître le débit en temps réel de ce VPN, sous forme d'historique, ou via un moniteur ?

Dans la meme lignée, est-il possible d'afficher un historique des "pics" du nombre de connexions simultanées ?

 

 

Messages d'alerte