Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1715 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

VPN Certificat

n°287905
HolyCrap
Posté le 13-06-2007 à 16:16:26  profilanswer
 

Bien le bonjour à tous!  
 
Actuellement en stage je crées moultes VPN par le biais de l'assistant windows XP. Non content d'avoir deja reussi cet exploit, car oui pour moi c'est un exploit, je decidames(preterit) d'agrementer ces connexions par l biais de l'authentification par certificat!!
 
Malgré de nombreux essai je n'arrive toujours pas àetablir une connexion par le biais de ces certificats, je ne sais pas ce que je ais de mal mais je sais que qlq chose cloche!!
 
Comment faire, coté serveur? cote client?  l'autorite de certification??   ahh je n'en peu plus et m'en remets à vous.
 
A votre bon coeur msieu dame! Je sis au bord du gouffre!! Non serieusement j'ai besoin d'aide..
 
Merci d'avance à vous tous!!

mood
Publicité
Posté le 13-06-2007 à 16:16:26  profilanswer
 

n°287906
HolyCrap
Posté le 13-06-2007 à 20:17:03  profilanswer
 

RE
 
Petit rappel :  Les connexions VPN sont réalisées sous WinXP
 
Aprés avoir crée mes certificats et paramétré la connexion VPN comme il se doit le message suivant apparait :
 
"...certificat ne peut pas être utilisé avec le protocole EAP"
 
Merci d'avance pour toutes reponses. (J'accepte les simples messages de soutien lol)

n°287907
gericash
Posté le 26-06-2007 à 09:58:14  profilanswer
 

Egalement en stage, j'ai exactement le même problème et j'utilise un firewall Netasq et un le client VPN "the greenbow"...
 
En fait, j'ai créé un certificat par l'intermédiaire de mon firewall qui je suppose contient la clé privée, et de plus j'ai un certificat utilisateur sur le pc qui devrait il me semble contenir la clé public...  
Or, lorsqu'on me demande d'importer un certificat sur le client VPN, il n'accepte que le certificat utilisateur mais aucun moyen d'exporter le certificat VPN créé avec le firewall...est ce normal? comment tu t'y es pris pour ta part pour établir une connexion?  
 

n°287908
gizmo31
Posté le 26-06-2007 à 13:28:52  profilanswer
 

tout dépends de ce que vous voulez faire : une authentification "cliente" est la plus siimple ( mais vous pouvez implémenter une authentification mutuelle)   : le serveur vpn possède une CA locale, a partir de cette CA, on génére un certificat "client".
on dépose ce certificat sur le poste client, et on active l'authentification par certificat.
 
quand l'utilisateur souhaite monter son tunnel, le client "propose" son certificat au serveur : celui ci le valide en utilisant sa CA locale. si le certifcat est ok ( non révoqué, etc...), alors le tunnel se monte.
 
des détails ici :
http://www.microsoft.com/technet/p [...] x?mfr=true
 
 
sinon il faut regarder du coté 802.1x + certificat

n°287909
gericash
Posté le 26-06-2007 à 16:26:51  profilanswer
 

ok je vois, dans mon cas il s'agit d'une authentification cliente. Or, dans la configuration du client VPN, on me demande de préciser un "remote ID" qui est soit un email, une adresse IP, un KEY ID, un DNS ou encore un Domain name...Or, je les ai tous testé  en cherchant l'ID dans la CA  ou le cetificat cleitn et à chaque fois que je tente d'établir une connexion, cela échoue car le remote ID n'est pas celui attendu....
A quoi doit correspondre ce remote ID?

n°288042
gizmo31
Posté le 27-06-2007 à 09:06:38  profilanswer
 

issus de google:
 
"Remote ID Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir du routeur VPN
distant. Suivant le type sélectionné, cet identifiant peut être :
· une adresse IP (type = Adresse IP), par exemple : 80.2.3.4
· un nom de domaine (type = FQDN), par exemple : routeur.mondomaine.com
· une adresse email (type = USER FQDN), par exemple :
admin@mydomain.com
· une chaîne de caractères (type = KEY ID), par exemple : 123456
· Quand cet paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN
qui est utilisée par défaut."

n°294059
gericash
Posté le 26-07-2007 à 16:59:59  profilanswer
 

merci Gizmo ( ou google) pour ces infos.
Mais maintenant, j'ai un nouveau souci: j'ai message d'erreur de type"INVALID COOKIE" en phase 1
Qd je vais voir sur le site du support "The Greenbow" , je vois que ce genre d'erreur peut provenir d'une "Security Association" utilisée par l'une des deux extrémités du tunnel et qui n'est plus en service, comment vérifier cela?

n°294062
gizmo31
Posté le 26-07-2007 à 17:02:43  profilanswer
 

si tu as un problème dans la SA, tu dois d'abord vérifier que les paramètres de crypto sont les meme entre chaque peer et que tu n'as aucun élément qui filtre entre les 2 ( pour laisser passer UDP/500 ..)

n°294065
gericash
Posté le 26-07-2007 à 17:15:07  profilanswer
 

en effet, j'avais déjà vérifié" mes paramètre de crypto qui sont bien les mêm de chaque côté: AES 128.  
Avec les mêmes paramètres et dans les mêmes conditions, j'arrive à monter un tunnel IPsec à base de clés pré-partagés,donc à priori rien ne filtre entre les 2 , donc je me demande si ça ne peut pas venir des certificats...

n°294181
gizmo31
Posté le 27-07-2007 à 09:48:05  profilanswer
 

quel est le message dérreur complet ?

mood
Publicité
Posté le 27-07-2007 à 09:48:05  profilanswer
 

n°294183
gericash
Posté le 27-07-2007 à 10:24:41  profilanswer
 

c'est assez étrange, jusqu'à hier j'avais encore une erreur du type "INVALID COOKIE"
Mais aujourd'hui, l'erreur n'est pas clairement identifiée....
Voici le détail de mes logs qd je tente d'ouvrir un tunnel:
 
20070627 102101 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID]
20070627 102102 Default (SA tgbtest-P1) RECV phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [CERT] [CERT_REQ] [SIG] [NAT_D] [NAT_D] [VID] [VID] [VID]
20070627 102102 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [CERT] [SIG] [NAT_D] [NAT_D]
20070627 102102 Default phase 1 done
20070627 102102 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 102109 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 102112 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [CERT] [SIG] [NAT_D] [NAT_D]
20070627 102122 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102132 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE
20070627 102132 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102142 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102147 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE
20070627 102152 Default message_recv: phase 1 message after ISAKMP SA is ready
20070627 102202 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE

n°294189
gericash
Posté le 27-07-2007 à 11:03:48  profilanswer
 

sans rien changer, j'ai une nouvelle erreur...incompréhensible
 
20070627 110434 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] type DPD_R_U_THERE
20070627 110436 Default IKE daemon is removing SAs...
20070627 110438 Default (SA tgbtest-P1) SEND Informational  [HASH] [DELETE]
20070627 110438 Default <tgbtest-P1> deleted
20070627 110443 Default Reinitializing IKE daemon
20070627 110443 Default IKE daemon reinitialized  
20070627 110443 Default message_recv: invalid cookie(s) ee7aa66575f42d50 46cd7da6b35e9d49
20070627 110443 Default dropped message from 81.56.254.101 due to notification type INVALID_COOKIE
20070627 110443 Default (SA <unknown> ) SEND Informational  [NOTIFY] with INVALID_COOKIE error
20070627 110452 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID]
20070627 110452 Default (SA tgbtest-P1) RECV phase 1 Aggressive Mode  [SA] [KEY_EXCH] [NONCE] [ID] [CERT] [SIG] [NAT_D] [NAT_D] [VID] [VID] [VID]
20070627 110452 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [SIG] [NAT_D] [NAT_D]
20070627 110452 Default phase 1 done
20070627 110452 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 110452 Default message_parse_payloads: invalid next payload type 114 in payload of type 8
20070627 110452 Default dropped message from 81.56.254.101 due to notification type INVALID_PAYLOAD_TYPE
20070627 110452 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] with INVALID_PAYLOAD_TYPE error
20070627 110459 Default (SA tgbtest-tgbtest-P2) SEND phase 2 Quick Mode  [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20070627 110502 Default (SA tgbtest-P1) SEND phase 1 Aggressive Mode  [CERT] [SIG] [NAT_D] [NAT_D]
20070627 110503 Default message_parse_payloads: reserved field non-zero: 15
20070627 110503 Default dropped message from 81.56.254.101 due to notification type PAYLOAD_MALFORMED
20070627 110503 Default (SA tgbtest-P1) SEND Informational  [HASH] [NOTIFY] with PAYLOAD_MALFORMED error

n°294200
gizmo31
Posté le 27-07-2007 à 12:07:56  profilanswer
 

revérifie ta pre shared secret, souvent ça vient de là ...
si tu t'authentifies avec certificat vérifie qu'ils sont bon
et surtout
 
vérifie l'heure sur chaque serveur !! ça doit etre en ntp !

n°294879
gericash
Posté le 31-07-2007 à 11:48:41  profilanswer
 

que veux tu dire par "pre shared secret"? si tu parles de la pre shared Key, je m'authentifie avec un certificat. Donc, dans ce cas, quels paramètres vérifier pour savoir si le certificat est bon?

n°294992
gizmo31
Posté le 31-07-2007 à 21:33:30  profilanswer
 

pour voir si un certificat est bon, il faut regarder la date de validité par exemple, si tu as créé ton certificat a partir d'une VRAIE CA ou s'il est selfsigné ...


Aller à :
Ajouter une réponse
 

Sujets relatifs
[Numericable] vpn Impossible ?Freebox HD : VPN impossible en Wifi alors qu'il fonctionne en Ethernet
Problème certificat de sécuritéMaintenir la connexion Internet en meme temps que la VPN
Besoin de votre avis Réseau Pro/VPN/VOIPConnection VPN
LiveBox sagem et VPNFreebox windows n'a pas pu trouver un certificat pour vous connecter
VPN entre une IP fixe et une IP dynamique ?? 
Plus de sujets relatifs à : VPN Certificat


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR