Open Community
Discussions par mots clés : ipsec
Ajouter un badge au post
Stormshield SNS4 - VPN IPSEC. Soucis de tunnels. help :)
Posée par Chuck Maurice dans Fonctionnalités et système
Bonjour la communauté,
Je fais face à un souci concernant un tunnel site-to-site IPSEC.
Je dois atteindre plusieurs machines faisant partie du même subnet distant via un tunnel.
Les machines ne sont joignables uniquement lorsque je monte un tunnel par machine et non pas plusieurs dans le même tunnel, ni même si elles sont réparties dans plusieurs tunnels.
Un seul tunnel peut monter à la fois. J'ai l'impression qu'il y a une sorte de concurrence.
Que puis-je faire à part faire des incantations de magie autour du boitier ?
Merci :)
Ajouter un badge au post
Création tunnel IPSec
Posée par Philippe T dans Fonctionnalités et système
Bonjour à tous,
Je viens vers vous pour un soucis de création de tunnel VPN IPSec.
Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.
Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.
Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?
Merci,
AMicalement,
Ajouter un badge au post
DHCP multiples à faire passer dans VTI Stormshield
Posée par Thomas Authier dans Administration
Bonjour à tous.
J'ai un firewall Stormshield sur un site A et un autre sur un site B.
Actuellement un tunnel VPN IPSec est en place sur les deux Storms.
Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.
Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?
Ajouter un badge au post
VPN IPSec Nomade
Posée par Dodga dans Fonctionnalités et système
Bonjour,
Suite à quelques tentatives de mises en service d'une connexion VPN en IPSec Nomade, j'aurais besoin de vos conseils car je n'ai pas de résultats positifs dans mes manoeuvres,
Matériel : SN210W en version 4.0.1
J'aurais donc voulu savoir pour ceux qui l'ont déjà mis en oeuvre, quels sont les paramètres à configurer ? Egalement si vous avez des clients VPN plutôt fiable ?
(Si vous avez le lien pour un tuto complet je suis preneur également ;) )
En vous remerciant par avance !
Cordialement,
Dodga
Ajouter un badge au post
ipsec site à site
Posée par Fighter 777 dans Administration
Bonjour,
je tente tant bien que mal d'établir une connexion ipsec d'un site A a un site B
j'ai bien paramétré les configurations ipsec mais je n'ai strictement aucun trafic qui active la connexion...
j'ai essayer de suivre la doc :
https://documentation.stormshield.eu/SNS_v1/fr/default.htm?turl=Documents%2Fconfigurationdusiteprincipal.htm
Cela parle uniquement de la configuration de la connexion ipsec et des règles de filtrages
et aucunement d'eventuelles règles de routage ou de NAT.
Ducoup est-ce normal ou le fais d'ajouter une connexion ipsec ajoute par défaut les règles de routage ?
Cordialement
Ajouter un badge au post
VPN IPSEC LAN 2 LAN en mode bridge
Posée par Anonyme dans Fonctionnalités et système
Salut à tous,
Nous intégrons une nouvelle structure qui possède un Stormshield SN200 v3.2.1.
J'essaye de monter un tunnel IPSEC avec notre Fortigate. (j'ai déja des tunnels en production sur ce pare-feu)
La config sur le site du stormshield est:
livebox pro 192.168.1.1 <-> stormshield en bridge 192.168.1.240 <-> switch lan 192.168.1.0
Première question est-ce que l'on peut monter des tunnels en mode bridge ?
J'ai copier une config ikev1 psk qui tourne sur mon fortinet, mais le tunnel ne monte pas.
Surtout, je n'ai aucun trace sur le stormshield. Sur mon fortinet, je vois bien les traces d'initiator vers le stormshield, mais apparement, pas de réponse.
quelque screenshots:
Merci
Ajouter un badge au post
multiple VPN vers une Peer Unique
Posée par Anonyme dans Trucs et Astuces
Bonjour,
L'objectif est de monter l'architecture suivante :
-2 Subnets sont connectés au Stormshield;
-Ces derniers doivent communiquer avec leur pair sur un site distant A' et B', via VPN.
-L'idée étant d'avoir un VPN distinct pour chaque subnet.
-Les points de montage des VPN sont respectivement 2 VIP publiques A et B sur le stormshield.
-En revanche sur le site distant seule une IP publique est présentée (C);
Le but est donc de monter de VPN A et B comme suit :
VPN A :
-Local Network : Sub A
-Remote network : Sub A'
-Remote gateway : IP publique C
-Local gateway : IP publique A
VPN B:
-Local Network : Sub B
-Remote network : Sub B'
-Remote gateway/Peer ID : IP publique C
-Local gateway/Local ID : IP publique B
Les autres paramètres sont laissés à l'identique entre le VPN A et le VPN B.
Aujourd'hui après avoir passé plusieurs jours à trifouiller mes configurations VPN, j'en arrive à la conclusion suivante : Cette architecture n'est pas possible...
Voir la suiteAjouter un badge au post
VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS
Posée par Anonyme dans Fonctionnalités et système
Bonjour,
J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).
Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN
voila la config du VPN :
clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256
le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok
coté Arkoon :
- Sources : LAN_local,LAN_disant
- Destination : LAN_local,LAN_disant
- Service : rien mis à cette endroit
- Action : accepter
- Translation : rien mis à cette endroit
- Segment de chiffrement : 2 lignes
- source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
- source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel
coté stromshield :
regle 1
- source : LAN_distant via Tunnel VPN IPsec, port : any
- destination : Network_lan_local, port : any
- ...
Ajouter un badge au post
[P-80XL & P-250XL] Performances VPN IPSec
Posée par Anonyme dans Matériels et performances
Bonjour,
Dans le cadre de tests de performances réalisés sur des boitiers Arkoon P-250XL, nous n'avons pas réussi à atteindre la valeur spécifiée dans les datasheet de l'équipement.
Au maximum, nous avons réussi à obtenir 630Mb/s en UDP en unidirectionnel, en lieu et place des 1000Mb/s.
Je n'ai malheureusement pas trouvé de réponse sur le site support d'arkoon les conditions à réunir pour obtenir ce débit.
D'autre part, toujours sur les datasheets, il est mentionné que le débit peut atteindre 6Gb/s en utilisant le chiffrement GCM en V6. Comment l'activer ? je n'ai également pas réussi à obtenir d'informations à ce sujet sur le support Arkoon.
Merci pour votre aide.
Vous trouverez ci-joint un petit récapitulatif des résultat et d'un schéma de maquette :
Maquette
2 x Arkoon P-250XL (version 6.0/9) composés chacun de :
- 1 x carte FO (multimode)
- 1 x carte FO (monomode)
- 1 x carte CUIVRE 8xGE
- 1 x carte CUIVRE 4xGE
4 x PC Portable
- Interface GE
- Distribution Debian ...
Ajouter un badge au post
Stormshield - Requete LDAP à travers un VPN IPSec
Posée par Anonyme dans Administration
Bonjour,
Nous avons besoin d'effectuer des requêtes sur un serveur Active Directory situé sur un réseau "LAN-A" protégé par un cluster SN3000 depuis un réseau distant "LAN-B" situé derrière un cluster de SN500. Les deux appliance sont en version 2.3.2. Les LAN-A et LAN-B sont en VPN IPSec Lan to Lan.
Nous avons suivi la procédure décrite dans cette KB : https://kb.stormshield.eu/en/index.php/NETASQ_LDAP_query_via_IPSec_VPN . Elle a bien fonctionné. (Petit retour d'expérience : sur la règle de flux, nous avons dû forcer le trafic entrant via le Tunnel IPSec).
Seulement, nous avons configuré un serveur LDAP de secours qui est situé sur le même site. Je souhaitais donc savoir si il faut monter un deuxième VPN d'authentification pour ce dernier ou y a-t-il une astuce ?
En vous remerciant par avance,
JB
Ajouter un badge au post
VPN IPSec avec Arkoon P-1206 et routeur DIGI WR21
Posée par Anonyme dans Securité
Bonjour,
Je souhaite connecter par un VPN en IPSec un routeur DIGI WR21 version Entreprise à un Arkoon P-1206.
J'ai comme configuration sur l'Arkoon :
Authentification par PSK
IKE : AES256 / SH1
ESP : AES256 / SH1
IP Local == Ark IP Fixe ........ INTERNET ..... DIGI IP Dynamique === IP Local
J'ai testé la configuration qui est OK avec le client VPN The Green Bow.
Coté DIGI cela coince, impossible qu'il se connect, la Phase 1 ne passe pas. (log IKE : Error stating new phase 1 negotiation )
Quelqu'un à déjà réalisé cette manipulation avec ce type de routeur ?
Ajouter un badge au post
VPN IPSec "avancé"
Posée par Anonyme dans Fonctionnalités et système
Bonour,
Je possède un netasq U120 en 8.1.7.1.
Je souhaite mettre en place un VPN IPSEC entre le réseau de mon client (X.X.X.X/24, que l'on nommera CLIENT) et mon réseau de production (Y.Y.Y.Y/24 que l'on nommera PRODUCTION) (pour l'instant rien de compliquer)
PRODUCTION héberge un serveur A qui est accessible par le réseau de mon client à travers le VPN. Le serveur A est répliqué en temps réelle vers le réseau BACKUP (Z.Z.Z.Z/24). Le serveur de BACKUP s'appelle serveur B.
Si le serveur A tombe en panne, le serveur B doit prendre le relais sans créer ou modifier le VPN existant, mais juste en activant une règle de translation d'adresse.
Les réseaux BACKUP et PRODUCTION sont connectés sur le netasq dans 2 port différents
Est-il possible dans le netasq de créer une règle map qui redirige les requêtes à destination du serveur A vers le serveur B ?
Merci de votre aide.
Ajouter un badge au post
VPN IPSEC NOMADE ARKOON FAST360
Posée par Anonyme dans Administration
Bonjour à tous,
Suite à la mise en place d'un tunnel VPN nomade ipsec pour ipad (xauth), lorsque j'active le VPN tout fonctionne (Accès bureau distant, etc) vers l'extremité du tunnel mais je ne parviens plus à avoir de connexion web depuis le coté client ni de tout accès local.
En regardant mon route print de plus pres, tous les paquets sont systématiquement envoyés à travers le tunnel.
Est-ce un problème de configuration ?
D'avance merci,
Jérémy PFEIFFER
Ajouter un badge au post
tunnel IPSEC avec certificat
Posée par Anonyme dans Administration
Bonjour,
J'ai un problème a faire monter un tunnel IPSEC avec certificat entre 1 boitiers Netasq U450 et 2 boitiers clients ( 1 arkoon PSX-3 et un netasq U70)
Le Tunnel fonctionne très bien avec clés pré partagées, mais lorsque j'active le mode d'authentification ( pour le même tunnel IPSEC ) par certificat cela ne fonctionne plus.
Pour information la pki utilsé est celle du boitier ainsi que l'annuaire. Le profil IKE et IPSEC sont bien identique sur les 2 boitiers.
J'ai le message erreur suivant sur le boitier distant : No Valid ISAKMP-SA en phase 1 , coté boiter maitre j'ai un time out lors de la négociation.
J'ai vérifié par rapport à la doc Netasq qui propose un doc pour la création de tunnel IPSEC par certificat mais rien n'y fait.
Auriez vous une idée sur ce type de problème ?
Ajouter un badge au post
Nouvelles versions, nouveau SHA256 : question sur la clé sysctl.net.ipv4.esp_rfc4868_trunc
Posée par Anonyme dans Fonctionnalités et système
Bonjour,
Peut-on anticiper la perte des VPNs IPsec utilisant "SHA1" suite à l'upgrade d'une appliance en V5.0/30 ou V6.0/3 ?
J'explicite : les R.N de ces versions indiquent :
>>>La clé arkoon-config suivante permet de conserver l’ancienne implémentation de >>>l’algorithme SHA256 : sysctl.net.ipv4.esp_rfc4868_trunc = 0
Q: Peut-on paramétrer cette clé avant de procéder à l'upgrade, pour que lors de son démarrage dans la nouvelle version système, les VPNs se rétablissent immédiatement ?
Au passage : comment met-on cette clé en oeuvre ?
Merci pour vos réponses,
Ajouter un badge au post
pb flux vpn
Posée par Anonyme dans Securité
bonjour.
j'ai une connexion de ce type:
lan>>>arkoon>>>>>routeur>>>>>client nomade
Je voudrais que mon client nomade puisse se connecter au réseau lan via un vpn.
J'ai appliqué une configuration que j'ai trouvée sur le site thegreenbow:
http://www.thegreenbow.com/doc/tgbvpn_cg-arkoon-security-fast-360-fr.pdf
Le vpn entre mon client nomade et l'arkoon monte sans pb.
Par contre je n'ai pas de connexion possible (ping,SSH...)entre mon client nomade et mon réseau lan, tout en ayant ajouté une règle de flux "pass all" avec un segment chiffré comme indiqué dans la doc de l'arkoon et la doc thegreenbow.
j'utilise le client ipsec fourni par arkoon.
Votre aide me serait précieuse.
merci
Ajouter un badge au post
Message "DPD: Serious"
Posée par Anonyme dans Fonctionnalités et système
Bonjour.
J'ai dans mes /var/log/messages des lignes "DPD: Serious: could not find newest phase 1 state". Ce problème survient entre un PC client et un cluster de L1800.
Dans la procédure de diagnostic VPN, vous précisez que cela peut apparaitre "dans le cas de plusieurs liens VPN entre 2 passerelles VPN". Est ce le même problème entre 2 passerelles qu'entre un client et une passerelle?
J'ai vu que la solution était de placer la clé "ipsec.dpd.restart-by-peer = yes" dans le fichier /config_card/etc/arkoon-config.local.
Puis-je savoir quels sont les effets de cette clé sur le DPD?
Dans le fichier ipsec.conf, "dpdaction" est en "clear" par défaut. Quels sont les différences de comportement entre le mode "clear" et le mode "restart by peer"?
Autre point: le paragraphe sur ce problème dans la procédure de diagnostic en français mentionne que le service IPSec sera redémarré alors que dans la documentation en anglais, ce n'est pas précisé.Le service IPSec sera...
Voir la suiteAjouter un badge au post
Pb VPN IPsec ZYXEL
Posée par Ltaillan dans Fonctionnalités et système
Bonjour,
Je remplace un ZyXEL USG200 par une appliance P-XS3. J"ai pu remonter les tunnels en place sauf un dont la particularité est d'utiliser un local-id et un peer-id.
Sur le ZyXel le VPN en question à la conf suivante:
local-ip interface wan2
peer-ip 222.222.222.222 0.0.0.0
authentication pre-share
encrypted-keystring XXXXXX
local-id type ip 111.111.111.111
peer-id type ip 222.222.222.222
mode main
group2
transform-set 3des-md5 3des-md5
Sur mon hôte 222.222.222.222 j'ai renseigné l'ID IPsec avec son IP222.222.222.222
Sur mon applicance j'ai renseigné Authentification PSK/ID IPsec avec 111.111.111.111.
Le tunnel ne monte pas, je suis en v6.0/1.
Merci de votre aide.
Cordialement.
Ajouter un badge au post
QOS : Monitoring Tunnel VPN IPSEC
Posée par Anonyme dans Administration
Bonjour,
je souhaite visualiser sur mon accès internet la bande passante utilisée par mes tunnel vpn IPSEC.
J'ai déjà mis en place le monitoring en download et en upload sur divers protocoles (SMTP, HTTP, FTP), mais je n'ai pas de résultat pour les tunnels IPSEC.
Est ce que c'est possible ?
Merci d’avance pour votre aide
Ajouter un badge au post
VPN avec LiveBox Pro
Posée par Anonyme dans Fonctionnalités et système
Bonjour,
Dans le cadre d'un projet d'interconnexion de plusieurs magasins vers un site principal disposant d'un arkoon A20U (qui sera remplacé prochainement). Je souhaiterais savoir si vous avez déjà réalisé des VPN Ipsec avec des livebox pro ? si oui quels sont les paramètres que vous utilisez.
Pour des raisons économiques le client ne souhaite pas investir dans un VPN opérateur ni pour des boitiers d'extremité sachant que cela que chaque magasin ne dispose que d'un seul poste. Le client VPN Ipsec smart connect ne convient pas...
Merci de me faire partager vos expériences.