-351 Membres 1347 Contributions

Open Community

Discussions par mots clés : tunnel

Non résolue

cannot reach DNS 192.168.0.248 as it's private network

Posée par Antoine Poussard dans Matériels et performances

Hello everyone,
We have a VPN SSL setup in our office, using StormShield. We have setup 11 connection (windws&mac&linux) with succes. But, in one MacOS things went wrong.We use TunnelBlick. The connection works, but it display "cannot reach DNS 192.168.0.248 as it's private network"But :
- Internet works
- Whatismyip gives the office IP (and not the remote IP)
- ping to LAN equipment (gateway, DNS, and a desktop) DOESNT work (timeout)We tried :
- Refresh DNS cache from macOS
- change the internet connection (using cellphone 4G)

- we can ping another computer from the same sub-network

Non résolue

The GreenBow avec Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je recherche 1 coup de main sur 1 problème que je n'arrive pas à comprendre.

Je veux administrer 1 Netasq v9 et les serveurs placés derrière depuis 1 PC d'admin, via un Tunnel VPN. Pour cela j'ai The GreenBow. J'arrive à monter le Tunnel, mais je n'arrive à rien.

Je ne peux pas administrer mon NetAsq depuis le PC via le Tunnel. l'IP du PC est bien autorisé pour le Webadmin. Les flux passent bien dans le Tunnel. L'écoute réalisé sur le Netasq (tcpdump enc0) montre bien le SYN, le SYN/ACK, mais jamais le ACK. Pourtant le Ping de fonctionne.

Lorsque je coupe le Tunnel, tout fonctionne.

Un autre comportement que je ne comprend pas. En activant le slot "Pass All" j'arrive à joindre les serveurs (Bureau à distance) situés derrière le NetAsq, avec le Tunnel ouvert.

Si j'active le slot ou se trouve mes règles de flux, toujours avec le Tunnel ouvert, j'ai le même fonctionnement qu'avec le WebAdmin (SYN, SYN/ACK, mais pas de ACK)

Quelqu'un aurait-il 1 idée pour m'aider...

Voir la suite
Résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Résolue

Deny sur UDP500

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai une centaine de pare-feu (gamme NPA) qui se connecte par vpn a un concentrateur.

Sur cette centaine il y a environ la moitié ou le tunnel tombe de temps en temps (d'un côté mais pas de l'autre) et a du mal a remonter. Je peux voir dans les logs du concentrateur qu'il rejete en DENY le flux pour remonter le tunnel.

Comment ça ce fait ?

Merci d'avance.

 

Résolue

Tunnel et réseau sur même interface

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai un client nomade qui se connecte à mon arkoon. Le lien est monté sur l'ETH1.

Le tunnel est up et je vois qu'il y a des ping qui passe dans le tunnel (côté nomade) et qui arrive sur le pare-feu.

Le problème est que je ne vois pas ressortir mes pings qui devrait ressortir sur la même interface (ETH1)

Les flux sont configurés en full accept.

Est ce que c'est possible de faire ça ?

Monter son tunnel sur une interface et faire ressortir le flux sur la même interface.

 

Je vous remercie pour votre aide.

 

PS : Pare-feu en V5.0-28, Smart Connect v1.3

Résolue

Suggestion d'amélioration - Modification d'accès Internet principal et impact VPN

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Sur des appliances XPA (A210) en HA et version 5.0/19, j'ai modifié la configuration pour utiliser un accès Internet principal différent du précédent.

Aprèa avoir lu l'article 849 de la KB, il m'a semblé que cette modification n'impacterait pas les VPNs établis, d'autant qu'ils sont tous paramétrés avec une spécification explicite de l'accès Internet à utiliser.

J'ai donc lancé l'installation pendant les heures de production. Mal m'en a pris.

L'installation de cette configuration a provoqué des alertes de type 'Interface down' sur les deux interfaces  "HA virtuelles" d'accès Internet existantes, et sur les deux interfaces IPsec associées.

Tous les VPNs établis sont alors tombés, accompagnés d'alertes IKE de type :"x.x.x.x=====y.y.y.y[vpn xxx] is down , avec des détails variables (Delete notification received, Removed by administrator ou Terminated by administrator).

A l'issue de l'installation de cette configuration, les interfaces sont remontées...

Voir la suite
Messages d'alerte