Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1607 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  [RESOLU] SN300 et Config IPSec

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[RESOLU] SN300 et Config IPSec

n°142560
Matthieudu​05
Posté le 10-10-2016 à 09:32:08  profilanswer
 

Bonjour,
 
J'ai un problème avec la configuration d'un Stormshield SN300 qui doit remplacer un Netasq U70 en V8.
Nous avons 3 agences en plus du siège (Nantes, Paris, Lyon et le siège à Montpellier)
J'ai déjà changé les U70 par des SN300 à Nantes et Paris sans problèmes, mais sur celui de Montpellier le VPN inter-site ne monte pas...
 
J'ai déjà essayé de refaire toute la config, j'ai comparé la config su SN300 et du U70, Du SN300 de MTP et de NTS, mais je ne trouve pas ce qui ne va pas.
Bien sûr, la prod se sert du VPN, je ne peux donc pas couper quand je veux (J'ai une fenêtre entre 12h et 12h30 et avant 8h30)
J'ai fait des TCPDump sur les deux boitiers (MTP-NTS) quand le lien essaie de monter et j'ai fait un screen du realtime monitor de MTP, mais n'étant pas forcément à l'aise avec le VPN, je ne sais pas s'il y a des infos à cacher avant de publier.
 
Les tcpdump sont au format :  
 

Code :
  1. 08:26:04.799122 IP IP-NTS > IP-MTP: ESP(spi=0x00000000,seq=0x00), length 100


En italique les infos masquées.
 
Et pour le RT Monitor j'ai les colonnes (en plus de l'heure, le message ...) SPI entrant, SPI Sortant, Cookie, Rôle et réseau distant/local
 
Merci pour votre aide ! :)
Matthieu


Message édité par Matthieudu05 le 17-10-2016 à 14:27:31
mood
Publicité
Posté le 10-10-2016 à 09:32:08  profilanswer
 

n°142607
splinter_f​ive0
Posté le 11-10-2016 à 16:45:02  profilanswer
 

bonjour,
 
dans le RT dans tunnel vpn tu as quoi ? tu sécurises avec des clés psk ? ce serait bien de faire des screen en fait

n°142613
Matthieudu​05
Posté le 12-10-2016 à 10:45:05  profilanswer
 

Dans le RT, Je vois mes tunnels, il sont verts dans le sens aller, rouge dans le sens retour.
 
Je poste les screens dans 2 minutes  
 
 
Edit : Les screens :
 
Mes Tunnels :
http://a67t.imgup.net/141db.jpg
 
La config à MTP:  
http://u74t.imgup.net/2016-10-120439.jpg
 
Les Correspondants à MTP :  
http://k60t.imgup.net/2016-10-12f061.jpg
http://c77t.imgup.net/2016-10-12f8f6.jpg
 
L'identification à MTP :  
http://x73t.imgup.net/2016-10-1299b6.jpg
 
La config à NTS :  
http://s51t.imgup.net/2016-10-12e0bd.jpg
 
Les correspondants à NTS :  
http://p16t.imgup.net/2016-10-1246c3.jpg
 
L'identification à NTS :  
http://z08t.imgup.net/2016-10-12f0ac.jpg
 
Le VPN est sécurisé avec des PSK.
 
Quand je fais des test, j'ai des messages "malformed cookie" et des timeouts :/
http://j18t.imgup.net/Sanstitre39fc.jpg
 
 
Merci


Message édité par Matthieudu05 le 12-10-2016 à 11:52:57
n°142617
splinter_f​ive0
Posté le 12-10-2016 à 16:16:22  profilanswer
 

Verifies du côté des proposition de chiffrement en phase 1 et 2 sur tes boitiers (onglet profils de chiffrement) tu dois retrouver les memes propositions de chiffrement sur tes deux firewall sur les deux phases que sont IKE et IPSEC .
 
les points a vérifier sont :
 le diffie-helmann  
que les différentes propositions sont identiques sur les deux fw en dessous du choix du diffie helmann (ex sha2 256 et aes256 et ainsi de suite)
 
 
et la meme chose dans IPSEC
 
il se peut que cela vienne de ça  

n°142620
Matthieudu​05
Posté le 12-10-2016 à 17:02:24  profilanswer
 

Tout est pareil, j'ai du créer un profil "personnalisé" (qui n'est en fait que le "goodEncryption" de la V8, pour assurer la compatibilité avec les anciens appareils. Maintenant que nous n'en avons plus, je vais bientot changer le profil sur tous les boitiers.
Je viens de re-vérifier et les valeurs sont bien les mêmes :/

n°142629
splinter_f​ive0
Posté le 13-10-2016 à 08:38:27  profilanswer
 

T'aurais moyen de faire un essai en strong encryption ?

n°142630
Matthieudu​05
Posté le 13-10-2016 à 09:31:00  profilanswer
 

J'ai fait un essai avec un profil pré-enregistré (GoodEncryption Pas le V8) et ça n'a pas fonctionné.
Ce soir je teste avec le Strong
 
Merci :)

n°142633
poushba
Posté le 13-10-2016 à 11:30:13  profilanswer
 

Maintenant que nous n'en avons plus, je vais bientot changer le profil sur tous les boitiers. http://www.dage.us/a/images/30.gif


Message édité par poushba le 13-10-2016 à 11:33:09
n°142635
splinter_f​ive0
Posté le 13-10-2016 à 12:03:54  profilanswer
 

au niveau de tes tunnels tu a bien mis:  
 
"Lan_source"   "Objet portant l'ip publique" "Lan_destination"  
 
?
 
tu es sur quel type d'acces sur place ? livebox pro ?

n°142638
Matthieudu​05
Posté le 13-10-2016 à 14:59:24  profilanswer
 

C'est bien ça :)
Les deux sites de test sont fibrés, le routeur fibre est en passerelle du FW.
Il porte l'adresse du FW -1 sur les deux sites "de test"  
 

mood
Publicité
Posté le 13-10-2016 à 14:59:24  profilanswer
 

n°142640
splinter_f​ive0
Posté le 13-10-2016 à 16:42:35  profilanswer
 

peut-être également regarder du côté de ton routeur également s'il n'y aurait pas un firewall intégré qui ne laisserait pas passer ipsec ? meme si en théorie tu n'aurais meme pas de tunnel. Du coup au milieu ton Site_ de ton tunnel c'est quoi ? ton routeur ?

n°142642
Matthieudu​05
Posté le 13-10-2016 à 16:54:23  profilanswer
 

En fait les Site-XX sont définis dans les correspondants.
Dans les correspondants, les Firewall-XXX sont les ip EXT des autres sites.
 
Si le routeur bloquait IPSec, le tunnel actuel sur l'U70 ne serait pas monté je pense  :D  
 
Merci de t’intéresser en tous cas  :)
 
EDIT : J'ai pas pu tester hier soir, au vu des "Alertes" dans l'Hérault. Je testerais ça la semaine prochaine :x


Message édité par Matthieudu05 le 14-10-2016 à 08:59:13
n°142664
splinter_f​ive0
Posté le 14-10-2016 à 09:42:11  profilanswer
 

c'est pas faux ^^ j'avais oublié que t'as deja un u70 en prod :D . Pour moi sur le principe la conf de tes tunnels est ok (mais par forum interposé pas évident ) , je pense vraiment a un probleme de chiffrement, peut-être ajouter des propositions de chiffrement des deux côtés ? sinon la version de l'asq est la meme sur les deux boitiers ?

n°142676
Matthieudu​05
Posté le 14-10-2016 à 13:11:11  profilanswer
 

Il y à deux propals authentification/chiffrement pour la phase 1 (IKE), deux propals pour l'authentification phase 2 (IPSEC) et deux pour le chiffrement IPSEC.
 
Je pense à un problème avec le chiffrement/auth IKE vu que je ne passe pas en phase 2 ...
 
NTS est en 2.4.2 et MTP en 2.5, mais en 2.4.2 ça ne fonctionnait pas non plus :)

n°142689
Tolb
Posté le 15-10-2016 à 10:32:01  profilanswer
 

A quoi correspond SRV-MAIL-EXT? IP Publique de MTP?
Est ce la même IP que celle déclaré sur les firewalls distant?
 
N'aurais tu pas plusieurs connexions WAN sur MTP ou un pool d'adresse?

n°142734
Matthieudu​05
Posté le 17-10-2016 à 14:27:05  profilanswer
 

Salut,  
 
SRV-mail-ext est l'adresse publique de MTP effectivement :)
 
Le problème est résolu, j'avais une règle de NAT qui redirigeait le traffic entrant vers notre serveur de mail ... Effectivement, ça pouvait pas marcher  :whistle:
 
Bref, merci pour l'aide quand même :)
 
A+
Matthieu


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  [RESOLU] SN300 et Config IPSec

 

Sujets relatifs
[RESOLU] ip config entrée DNS impossible à supprimerExchange 365 /outlook: Config,Archivage, Sécurité
Installation et config Squid sous FedoraRègles de pare-feu Stormshield de SN300
Avis sur une config pour serveur domestiqueVPN ipsec netasq V9
Config : Switch Hp-Procurve 2610-48[RESOLU] RDS 2012 à travers VPN IPSec over SDSL
Migration MPLS + VPN IPSecConfig complète pour ferme de rendu
Plus de sujets relatifs à : [RESOLU] SN300 et Config IPSec


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR