Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1735 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN NetASQ - Echec phase 2

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

VPN NetASQ - Echec phase 2

n°119414
still_at_w​ork
Posté le 12-03-2014 à 16:30:28  profilanswer
 

Bonjour à tous,
 
Après une après-midi de recherche, j'en appelle à votre savoir.
 
Sur un NetASQ 9.1 avec un client Shrewsoft, je n'arrive pas à établir un tunnel VPN (echec phase 2).
 
Voici les logs du NetASQ.
 

Code :
  1. 2014-03-12 16:20:49: DEBUG: getsainfo params: loc='0.0.0.0/0' rmt='10.10.0.0' peer='email@email.fr' client='80.215.X.X' id=4294967295
  2. 2014-03-12 16:20:49: DEBUG: evaluating sainfo: loc='172.31.16.0/20', rmt='10.10.0.0/20', peer='ANY', id=4294967295
  3. 2014-03-12 16:20:49: DEBUG: check and compare ids : value mismatch (IPv4_subnet)
  4. 2014-03-12 16:20:49: DEBUG: cmpid target: '0.0.0.0/0'
  5. 2014-03-12 16:20:49: DEBUG: cmpid source: '172.31.16.0/20'
  6. 2014-03-12 16:20:49: ERROR: failed to get sainfo.
  7. 2014-03-12 16:20:49: ERROR: failed to get sainfo.
  8. 2014-03-12 16:20:49: [80.215.96.65] ERROR: failed to pre-process ph2 packet (side: 1, status: 1).


 
Pourquoi ça bloque ?
 
Merci pour votre aide !


---------------
In my bed, but still_at_work.
mood
Publicité
Posté le 12-03-2014 à 16:30:28  profilanswer
 

n°119416
PsYKrO_Fre​d
Posté le 12-03-2014 à 17:08:56  profilanswer
 

As tu les regles de filtrage OK ? pour laisse passer les ports VPN Ipsec
La phase 1 est bien OK? tu es en mode agressif?
 
Les chiffrements de chaque coté tu as quoi ? aes, 3des par exemple?
L'authetification de chaque coté tu as quoi ? hmac_sha1, hmac_md( par exemple?
Tu as bien la même config de chaque coté ?

n°119452
still_at_w​ork
Posté le 14-03-2014 à 08:51:34  profilanswer
 

Pour les règles, c'est OK, la phase 1 aussi, c'est vraiment sur la phase 2 que ça plante.
 
Mode agressif, OK aussi des deux côtés.
 
Pour le netASQ, voici ce que j'ai :
 

Code :
  1. Paramètres d'authentification :
  2. Mode : AGGRESSIVE
  3. Type : psk
  4. Local ID :
  6. Profil de chiffrement IKE (Phase 1) :
  7. Diffie-Hellman : Group 2 (Modp 1024)
  8. Durée de vie : 21600
  9. Propositions : sha1/160,des/64
  11. Profil de chiffrement IPsec (Phase 2) :
  12. Perfect Forward Secrecy (PFS) : Group 2 (Modp 1024)
  13. Durée de vie : 3600
  14. Authentification : hmac_sha1/160
  15. Chiffrement : des/64


 
Pour le client :  
 

Code :
  1. Phase 1 :
  3. Exchange Type : Aggressive
  4. DH Exchange : Groupe 2
  5. Cipher Algorithm : des
  6. Hash Algorithm : sha1
  7. Key Life Time limit : 21600
  9. Phase 2 :
  11. Transform Algorithm : esp-des
  12. HMAC Algorithm : sha1
  13. PFS Exchange : group2
  14. Compress Algorithm : disabled
  15. Key Life Time limit : 3600


 
Ca semble concorder non ?


---------------
In my bed, but still_at_work.
n°119453
franck3119​5
je ne suis pas google !
Posté le 14-03-2014 à 09:27:51  profilanswer
 

Salut,
le HMAC sur le client peut ce régler entre 128 et 160 bits ?
Je ne vois que ça qui peut différer entre les deux.
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
n°119454
still_at_w​ork
Posté le 14-03-2014 à 09:53:23  profilanswer
 

J'ai forcé des deux côtés en 256, toujours le problème.


---------------
In my bed, but still_at_work.
n°119464
still_at_w​ork
Posté le 14-03-2014 à 11:54:31  profilanswer
 

Ca fonctionne nickel avec Thegreenbow, avec mêmes paramètres...
 
Il doit y avoir une option quelque part que j'ai pas vu...


---------------
In my bed, but still_at_work.
n°119476
Tolb
Posté le 14-03-2014 à 19:54:23  profilanswer
 

J'avais déjà eu ce souci. Et c'était du aux "bornes" réseaux.
http://nsa33.casimages.com/img/2014/03/14/140314075333543959.png
Ne pas mettre "Network_internals" dans "réseau local"
 
Dans shrew soft, onglet policy puis "remote network ressource" mettre le même réseau et même masque que "réseau local" sur le netasq >> cf screenshot

n°119499
still_at_w​ork
Posté le 17-03-2014 à 08:35:24  profilanswer
 

Même problème, c'est vraiment étrange...


---------------
In my bed, but still_at_work.
n°119562
Tolb
Posté le 20-03-2014 à 07:14:18  profilanswer
 

Faudrait voir toute la config.
Mais cela pourrait compromettre la sécurité...
J'ai déjà monter un vpn shrewsoft avec  un netasq 9.1 et cela fonctionne.
Tu le fais en psk, certificat?

n°119563
still_at_w​ork
Posté le 20-03-2014 à 08:13:48  profilanswer
 

En PSK, au niveau phase 1 et phase 2 ça coïncide entre le client et le serveur.
 
Je comprend pas ce qu'il se passe. Bref, c'est pas très grave, ça fonctionne avec TheGreenBow.  


---------------
In my bed, but still_at_work.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN NetASQ - Echec phase 2

 

Sujets relatifs
[resolu] NAT sur NetasqVPN ou teamviewer
Netasq U70 v8.1.6 - Load balancing.Petit problème de VPN (PPTP)
Site to Site VPN Fortinet avec plusieurs sous-reseauxVPN entre PC sous Clé 3G et PC sous réseau entreprise
VPN Cisco et NATConserver les logs Internet Netasq
probleme sur Netasq U70[RESOLU] VPN ipsec transport ou tunnel
Plus de sujets relatifs à : VPN NetASQ - Echec phase 2

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.032 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR