Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2077 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Pb phase 2 VPN Netasq

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Pb phase 2 VPN Netasq

n°61065
Juprod
Arkoon
Posté le 04-12-2009 à 14:32:06  profilanswer
 

bonjour à tous,
bon voila mon souci, je travaille sur Arkoon mais on vient de récupérer un client avec un Netasq f200, le boitier me semble pas mal du tout mais je n'arrive pas à monter mon lien VPN. La phase 1 est Ok mais la phase 2 bloque et je n'arrive pas à trouver ou malgrés mes recherches sur internet.
 
voila le log du client Safenet :
 
12-04: 14:17:26.156  
12-04: 14:17:26.156 My Connections\sct - Initiating IKE Phase 1 (IP ADDR=*.*.*.*)
12-04: 14:17:27.296 My Connections\sct - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
12-04: 14:17:27.734 My Connections\sct - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 2x, VID)
12-04: 14:17:27.734 My Connections\sct - Peer is NAT-T draft-02 capable
12-04: 14:17:27.734 My Connections\sct - NAT is detected for Client
12-04: 14:17:27.734 My Connections\sct - Floating to IKE non-500 port
12-04: 14:17:27.734 My Connections\sct - Peer supports Dead Peer Detection Version 1.0
12-04: 14:17:27.734 My Connections\sct - Dead Peer Detection enabled
12-04: 14:17:30.031 My Connections\sct - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
12-04: 14:17:30.031 My Connections\sct - Established IKE SA
12-04: 14:17:30.031    MY COOKIE c5 f5 e0 78 f8 4d 93 f6
12-04: 14:17:30.031    HIS COOKIE 91 cc 16 a5 c4 bb c8 27
12-04: 14:17:30.218 Virtual Interface constructed for local interface 10.0.0.1
12-04: 14:17:30.265 Virtual Interface added: 10.0.0.1/255.0.0.0 on ISDN "SafeNet VA miniport".
12-04: 14:17:30.390 My Connections\sct - Initiating IKE Phase 2 with Client IDs (message id: FD6B536)
12-04: 14:17:30.390   Initiator = IP ADDR=10.0.0.1, prot = 0 port = 0
12-04: 14:17:30.390   Responder = IP SUBNET/MASK=172.24.42.12/255.255.254.0, prot = 0 port = 0
12-04: 14:17:30.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-04: 14:17:30.390 My Connections\sct - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:STATUS_INITIAL_CONTACT)
12-04: 14:17:45.390 My Connections\sct - QM re-keying timed out. Retry count: 1
12-04: 14:17:45.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(Retransmission)
12-04: 14:18:00.390 My Connections\sct - QM re-keying timed out. Retry count: 2
12-04: 14:18:00.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(Retransmission)
12-04: 14:18:15.390 My Connections\sct - QM re-keying timed out. Retry count: 3
12-04: 14:18:15.390 My Connections\sct - SENDING>>>> ISAKMP OAK QM *(Retransmission)
12-04: 14:18:30.390 My Connections\sct - Exceeded 3 re-keying attempts (message id: FD6B536)
12-04: 14:18:30.390 My Connections\sct - Disconnecting IKE SA negotiation
12-04: 14:18:30.390 My Connections\sct - Deleting IKE SA (IP ADDR=*.*.*.*)
12-04: 14:18:30.390    MY COOKIE c5 f5 e0 78 f8 4d 93 f6
12-04: 14:18:30.390    HIS COOKIE 91 cc 16 a5 c4 bb c8 27
12-04: 14:18:30.406 My Connections\sct - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)
12-04: 14:18:30.531 Interface lost: 10.0.0.1
12-04: 14:18:30.546 Filter table loaded.
 
si l'un d'entre vous à une idée je suis preneur.
 
Merci

mood
Publicité
Posté le 04-12-2009 à 14:32:06  profilanswer
 

n°61086
gizmo31
Posté le 07-12-2009 à 10:53:55  profilanswer
 

bonjour,
je vois 2 pistes :  
*revérifier les propriétés cryptographiques pour la phase 2 ( hash, chiffrement, groupe DH, )
* vérifier les paramètres d'adressages entre les peers pour le réseau
( je vois 2 message perturbants:
au début :  
12-04: 14:17:26.156 My Connections\sct - Initiating IKE Phase 1 (IP ADDR=*.*.*.*)  
 à la fin un " 12-04: 14:18:30.390 My Connections\sct - Deleting IKE SA (IP ADDR=*.*.*.*) "  
ce qui veux dire qu'il ne trouve pas le réseau à sécuriser , mais uniquement tes peers :
 
12-04: 14:17:30.390   Initiator = IP ADDR=10.0.0.1, prot = 0 port = 0
12-04: 14:17:30.390   Responder = IP SUBNET/MASK=172.24.42.12/255.255.254.0, prot = 0 port = 0  
 
enfin, je ne comprends pas ce message :
"Floating to IKE non-500 port "
normalent, c'est bien UDP/500 pour transporter tes messages..  
 
bon courage!

n°61087
Juprod
Arkoon
Posté le 07-12-2009 à 10:59:41  profilanswer
 

Bonjour Gizmo et d'abord Merci pour ta réponse,
 
Les * ds l'ip adresse sont faites pour ne pas que l'on connaisse l'ip de mon client, en réalité j'ai bien l'ip publique qui apparait.
 
Pour le moment je me dirige vers un pb de VPN passtrough ou de Nat, effectivement l'erreur "IKE non-500 port" m'ennuie aussi.
 
Je suis la tête sous l'eau car je n'ai aucune aide de la part de Netasq, je vais commencer par vérifier ces pistes et je vous tiens au courant si je trouve ma solution.
 
Merci encore,
 
Bonne journée à toi.

n°93912
gizmo31
Posté le 27-03-2012 à 16:24:21  profilanswer
 

as tu ouvert le ESP ip_p=50 comme protocole sur ton firewall?
 
pour que le tunnel s'établisse, il te faut au moins UDP/500 et aussi ESP ou AH ... ( quand je vois timeout , ça m'a fait tilté)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Pb phase 2 VPN Netasq

 

Sujets relatifs
Problème IPSec netasq et accès internetConfig VPN IPSec Win Server 2003
Mise en place d’un VPN avec SFR 9pass + W2K3 Serveranalyse trames SMB sur reseau VPN
Problème DNS et IP server avec VPN sur windows 2008Firewall Netasq et Cacti
VPN sous OpenSUSE 11.1VPN : modem numericable + routeur/firewall cisco 520W
[résolu] problème de Ping via une connexion VPN vers un serveur win2k3Pb Exchange 2007 - Erreur 451 4.4.0 DNS query failed
Plus de sujets relatifs à : Pb phase 2 VPN Netasq

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.035 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR