IPsec avec le pare-feu sécurité avancée

[klybzh22]

Bonjour,

J'ai des machines virtuelles Windows 7 avec la configuration suivante :

Client A --------------- Passerelle A ========== Passerelle B --------------- Client B

Les clients appartiennent a des réseaux privées et communiquent entre eux en passant par leur passerelle respective.

Je cherche à monter un tunnel IPsec entre les passerelles et à le tester.
Pour cela j'ai configuré les paramètres IPsec à l'aide du Pare-feu avec fonctions de sécurité avancée (Console MMC)
et j'ai crée une règle de sécurité de connexion.

Tout fonctionne parfaitement mien si j'utilise des clés pré-partagées.

Le problème se pose pour tout autre méthode d'authentification!

1) Certificats :
J'ai créé des certificats avec OpenSSL, un auto-signé pour mon Autorité de certification, et ensuite un certificat pour chaque passerelle délivré par cette CA.
J'ai importé sur chaque passerelle le certificat de la CA et le certificat ordinateur correspondant.
Cela a fonctionné je pense car mes certificats apparaissent bien, ils sont considérées valides et on me dit bien que le certificat ordinateur de la passerelle est délivré par la bonne CA.

Ce que je ne comprend pas c'est pourquoi je n'arrive pas à établir une connexion IPsec. Le Mode Principale d'IKE échoue au moment de l'authentification donc de l'échange des certificats.
Avez vous déjà été confronté a ce genre de problème?

2) Keberos ou NTLMv2
LA connexion IKE ne démarre même pas.......
Je crois qu'il y a une histoire de domaine, mais je n'y connais pas grand chose, si quelqu'un a déjà eu a utiliser cette méthode je veux bien savoir s'il y a des configurations préalables à faire.

Merci d'avance

[grimpeur]

Bonjour,
Est-ce-que IKE est sur le port UDP 500

Peut-être ces liens pour t'aider:

http://www.frameip.com/ipsec/
http://www.securiteinfo.com/cryptographie/IPSec.shtml
ftp://ftp.irisa.fr/local/idsa/doc/livra ... _L1.1.html

Beaucoup de lectures car ce n'est pas mon domaine sinon, attend l'aide d'un connaisseur .

[klybzh22]

Oui IKE est sur le port 500,
J'ai autorisé le trafic sur ce port au cas où et aussi sur le port 4500 si jamais il y a un mécanisme de NAT.

Au niveau connaissances théoriques sur IPsec je m'en sors sans problème.
Je n'ai pas eu de mal à tester des implémentations sur Linux, mais les tests sur Windows me posent un problème.
J'ai suivi différents tuto et ça ne fonctionne toujours pas .....

J'ai une autre possibilité pour faire du IPsec avec Windows 7 en passant par le Centre Réseau et Partage pour créer une connexion VPN mais là encore ça reste sans succès.

Merci de ton aide toutefois!

[grimpeur]

Bonjour,

Peut-être que ceci pourra te faire avancer:

Est-ce-que tu as un code erreur
Liste des codes
Dépannage Ipsec

[klybzh22]

Dans le cas d'IPsec en passant par le centre réseau et partage j'obtient l'erreur :

809

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.


Pour être plus précise sur la configuration de mes machines virtuelles ça ressemble plus à ça (avec des les adresses IP)

Client A -------- Passerelle A ======= Machine Intermédiaire ============= Passerelle B --------- Client B
10.0.1.1 -------- 10.0.1.6/10.0.4.6 ==== 10.0.4.1/10.0.5.1 ========== 10.0.5.6/10.0.2.6 -------- 10.0.2.1

Ma machine intermédiaire sert pour analyser le trafic entre les passerelles. Les routes sont configurées en conséquence et je peux pinger comme il faut.

Donc avec l'erreur 809, est ce que ça pourrait être ma machine intermédiaire qui dérange?
Ensuite je ne suis pas vraiment dans une configuration client/serveur mais gateway-to-gateway.....