Bonjour à tous,

Je viens vers vous pour un soucis de création de tunnel VPN IPSec.

Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.

Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.

Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?

Merci,

AMicalement,

Bonjour à tous.

J'ai un firewall Stormshield sur un site A et un autre sur un site B.

Actuellement un tunnel VPN IPSec est en place sur les deux Storms.

Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.

Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?

Bonjour,

je tente tant bien que mal d'établir une connexion ipsec d'un site A a un site B

j'ai bien paramétré les configurations ipsec mais je n'ai strictement aucun trafic qui active la connexion...

j'ai essayer de suivre la doc :
https://documentation.stormshield.eu/SNS_v1/fr/default.htm?turl=Documents%2Fconfigurationdusiteprincipal.htm

Cela parle uniquement de la configuration de la connexion ipsec et des règles de filtrages
et aucunement d'eventuelles règles de routage ou de NAT.

Ducoup est-ce normal ou le fais d'ajouter une connexion ipsec ajoute par défaut les règles de routage ?

Cordialement

Salut à tous,

Nous intégrons une nouvelle structure qui possède un Stormshield SN200 v3.2.1.

 J'essaye de monter un tunnel IPSEC avec notre Fortigate. (j'ai déja des tunnels en production sur ce pare-feu)

 La config sur le site du stormshield est:

livebox pro 192.168.1.1 <-> stormshield en bridge 192.168.1.240 <-> switch lan 192.168.1.0

Première question est-ce que l'on peut monter des tunnels en mode bridge ?

J'ai copier une config ikev1 psk qui tourne sur mon fortinet, mais le tunnel ne monte pas.

Surtout, je n'ai aucun trace sur le stormshield. Sur mon fortinet, je vois bien les traces d'initiator vers le stormshield, mais apparement, pas de réponse.

quelque screenshots:

Merci

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

• Sources : LAN_local,LAN_disant
• Destination : LAN_local,LAN_disant
• Service : rien mis à cette endroit
• Action : accepter
• Translation : rien mis à cette endroit
• Segment de chiffrement : 2 lignes
•     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
•     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

•   source : LAN_distant via Tunnel VPN IPsec, port : any
•   destination : Network_lan_local, port : any
•  
...

Bonjour,

Dans le cadre de tests de performances réalisés sur des boitiers Arkoon P-250XL, nous n'avons pas réussi à atteindre la valeur spécifiée dans les datasheet de l'équipement. 

Au maximum, nous avons réussi à obtenir 630Mb/s en UDP en unidirectionnel, en lieu et place des 1000Mb/s. 

Je n'ai malheureusement pas trouvé de réponse sur le site support d'arkoon les conditions à réunir pour obtenir ce débit.

D'autre part, toujours sur les datasheets, il est mentionné que le débit peut atteindre 6Gb/s en utilisant le chiffrement GCM en V6. Comment l'activer ? je n'ai également pas réussi à obtenir d'informations à ce sujet sur le support Arkoon.

Merci pour votre aide.

Vous trouverez ci-joint un petit récapitulatif des résultat et d'un schéma de maquette :

Maquette

2 x Arkoon P-250XL (version 6.0/9) composés chacun de :

• 1 x carte FO (multimode)
• 1 x carte FO (monomode)
• 1 x carte CUIVRE 8xGE
• 1 x carte CUIVRE 4xGE

4 x PC Portable

• Interface GE
• Distribution Debian
...

Bonjour,

Nous avons besoin d'effectuer des requêtes sur un serveur Active Directory situé sur un réseau "LAN-A" protégé par un cluster SN3000 depuis un réseau distant "LAN-B" situé derrière un cluster de SN500. Les deux appliance sont en version 2.3.2. Les LAN-A et LAN-B sont en VPN IPSec Lan to Lan.

Nous avons suivi la procédure décrite dans cette KB : https://kb.stormshield.eu/en/index.php/NETASQ_LDAP_query_via_IPSec_VPN . Elle a bien fonctionné. (Petit retour d'expérience : sur la règle de flux, nous avons dû forcer le trafic entrant via le Tunnel IPSec).

Seulement, nous avons configuré un serveur LDAP de secours qui est situé sur le même site. Je souhaitais donc savoir si il faut monter un deuxième VPN d'authentification pour ce dernier ou y a-t-il une astuce ?

En vous remerciant par avance,

JB

Bonjour,

Je souhaite connecter par un VPN en IPSec un routeur DIGI WR21 version Entreprise à un Arkoon P-1206.

J'ai comme configuration sur l'Arkoon :

Authentification par PSK

IKE : AES256 / SH1

ESP : AES256 / SH1

IP Local == Ark IP Fixe ........ INTERNET ..... DIGI IP Dynamique === IP Local

J'ai testé la configuration qui est OK avec le client VPN The Green Bow.

Coté DIGI cela coince, impossible qu'il se connect, la Phase 1 ne passe pas. (log IKE : Error stating new phase 1 negotiation )

Quelqu'un à déjà réalisé cette manipulation avec ce type de routeur ?

Bonour,

Je possède un netasq U120 en 8.1.7.1.

Je souhaite mettre en place un VPN IPSEC entre le réseau de mon client (X.X.X.X/24, que l'on nommera CLIENT) et mon réseau de production (Y.Y.Y.Y/24 que l'on nommera PRODUCTION) (pour l'instant rien de compliquer)

PRODUCTION héberge un serveur A qui est accessible par le réseau de mon client à travers le VPN. Le serveur A est répliqué en temps réelle vers le réseau BACKUP (Z.Z.Z.Z/24). Le serveur de BACKUP s'appelle serveur B.
Si le serveur A tombe en panne, le serveur B doit prendre le relais sans créer ou modifier le VPN existant, mais juste en activant une règle de translation d'adresse.

Les réseaux BACKUP et PRODUCTION sont connectés sur le netasq dans 2 port différents

Est-il possible dans le netasq de créer une règle map qui redirige les requêtes à destination du serveur A vers le serveur B ?

Merci de votre aide.

Bonjour à tous,

Suite à la mise en place d'un tunnel VPN nomade ipsec pour ipad (xauth), lorsque j'active le VPN tout fonctionne (Accès bureau distant, etc) vers l'extremité du tunnel mais je ne parviens plus à avoir de connexion web depuis le coté client ni de tout accès local.

En regardant mon route print de plus pres, tous les paquets sont systématiquement envoyés à travers le tunnel.  

Est-ce un problème de configuration ? 

D'avance merci,

Jérémy PFEIFFER

Bonjour,

J'ai un problème a faire monter un tunnel IPSEC avec certificat entre 1 boitiers Netasq U450  et 2 boitiers clients ( 1 arkoon PSX-3 et un netasq U70)

Le Tunnel fonctionne très bien avec clés pré partagées, mais lorsque j'active le mode d'authentification ( pour le même tunnel IPSEC ) par certificat cela ne fonctionne plus.

Pour information la pki utilsé est celle du boitier ainsi que l'annuaire. Le profil IKE et IPSEC sont bien identique sur les 2 boitiers.

J'ai le message erreur suivant sur le boitier distant : No Valid ISAKMP-SA en phase 1 , coté boiter maitre j'ai un time out lors de la négociation.

J'ai vérifié par rapport à la doc Netasq qui propose un doc pour la création de tunnel IPSEC par certificat mais rien n'y fait.

Auriez vous une idée sur ce type de problème ?

Bonjour,

Peut-on anticiper la perte des VPNs IPsec utilisant "SHA1" suite à l'upgrade d'une appliance en V5.0/30 ou V6.0/3 ?

J'explicite : les R.N de ces versions indiquent :

>>>La clé arkoon-config suivante permet de conserver l’ancienne implémentation de >>>l’algorithme SHA256 : sysctl.net.ipv4.esp_rfc4868_trunc = 0

Q: Peut-on paramétrer cette clé avant de procéder à l'upgrade, pour que lors de son démarrage dans la nouvelle version système, les VPNs se rétablissent immédiatement ?

Au passage : comment met-on cette clé en oeuvre ?

Merci pour vos réponses,

bonjour.

j'ai une connexion de ce type:

lan>>>arkoon>>>>>routeur>>>>>client nomade

Je voudrais que mon client nomade puisse se connecter au réseau lan via un vpn.

J'ai appliqué une configuration que j'ai trouvée sur le site thegreenbow:

http://www.thegreenbow.com/doc/tgbvpn_cg-arkoon-security-fast-360-fr.pdf

Le vpn entre mon client nomade et l'arkoon monte sans pb.

Par contre je n'ai pas de  connexion possible (ping,SSH...)entre mon client nomade et mon réseau lan, tout en ayant ajouté une règle de flux "pass all"  avec un segment chiffré comme indiqué dans la doc de l'arkoon et la doc thegreenbow.

j'utilise le client ipsec fourni par arkoon.

Votre aide me serait précieuse.

merci

Bonjour.

J'ai dans mes /var/log/messages des lignes "DPD: Serious: could not find newest phase 1 state". Ce problème survient entre un PC client et un cluster de L1800.

Dans la procédure de diagnostic VPN, vous précisez que cela peut apparaitre "dans le cas de plusieurs liens VPN entre 2 passerelles VPN". Est ce le même problème entre 2 passerelles qu'entre un client et une passerelle?

J'ai vu que la solution était de placer la clé "ipsec.dpd.restart-by-peer = yes" dans le fichier /config_card/etc/arkoon-config.local.

Puis-je savoir quels sont les effets de cette clé sur le DPD?

Dans le fichier ipsec.conf, "dpdaction" est en "clear" par défaut. Quels sont les différences de comportement entre le mode "clear" et le mode "restart by peer"?

Autre point: le paragraphe sur ce problème dans la procédure de diagnostic en français mentionne que le service IPSec sera redémarré alors que dans la documentation en anglais, ce n'est pas précisé.Le service IPSec sera...

Bonjour,

Je remplace un ZyXEL USG200 par une appliance P-XS3. J"ai pu remonter les tunnels en place sauf un dont la particularité est d'utiliser un local-id et un peer-id.

Sur le ZyXel le VPN en question à la conf suivante:

 local-ip interface wan2
 peer-ip 222.222.222.222 0.0.0.0
 authentication pre-share
 encrypted-keystring XXXXXX
 local-id type ip 111.111.111.111
 peer-id type ip 222.222.222.222
 mode main
 group2
 transform-set 3des-md5 3des-md5

Sur mon hôte 222.222.222.222 j'ai renseigné l'ID IPsec avec son IP222.222.222.222

Sur mon applicance j'ai renseigné Authentification PSK/ID IPsec avec 111.111.111.111.

Le tunnel ne monte pas, je suis en v6.0/1.

Merci de votre aide.

Cordialement.

Bonjour,

je souhaite visualiser sur mon accès internet la bande passante utilisée par mes tunnel vpn IPSEC.

J'ai déjà mis en place le monitoring en download et en upload sur divers protocoles (SMTP, HTTP, FTP), mais je n'ai pas de résultat pour les tunnels IPSEC.

Est ce que c'est possible ?

Merci d’avance pour votre aide

Bonjour,

Dans le cadre d'un projet d'interconnexion de plusieurs magasins vers un site principal disposant d'un arkoon A20U (qui sera remplacé prochainement). Je souhaiterais savoir si vous avez déjà réalisé des VPN Ipsec avec des livebox pro ? si oui quels sont les paramètres que vous utilisez.

Pour des raisons économiques le client ne souhaite pas investir dans un VPN opérateur ni pour des boitiers d'extremité sachant que cela que chaque magasin ne dispose que d'un seul poste. Le client VPN Ipsec smart connect ne convient pas...

Merci de me faire partager vos expériences.

Bonjour,

Sur des appliances XPA (A210) en HA et version 5.0/19, j'ai modifié la configuration pour utiliser un accès Internet principal différent du précédent.

Aprèa avoir lu l'article 849 de la KB, il m'a semblé que cette modification n'impacterait pas les VPNs établis, d'autant qu'ils sont tous paramétrés avec une spécification explicite de l'accès Internet à utiliser.

J'ai donc lancé l'installation pendant les heures de production. Mal m'en a pris.

L'installation de cette configuration a provoqué des alertes de type 'Interface down' sur les deux interfaces  "HA virtuelles" d'accès Internet existantes, et sur les deux interfaces IPsec associées.

Tous les VPNs établis sont alors tombés, accompagnés d'alertes IKE de type :"x.x.x.x=====y.y.y.y[vpn xxx] is down , avec des détails variables (Delete notification received, Removed by administrator ou Terminated by administrator).

A l'issue de l'installation de cette configuration, les interfaces sont remontées...