Netasq et Shrewsoft - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 21-09-2011 à 12:11:53
Personne ? S'il vous plait je prend toutes informations concernant la configuration Vpn Ipsec.
Marsh Posté le 22-09-2011 à 08:48:17
est-ce que la config fonctionnait en v8 ?
en phase 2 les problèmes classiques sont :
- mismatch proposal - vérifies les paramètres et la durée de vie côté netasq et côté shrew
- proxy id mismatch - vérifies les extrémités de tunnel déclarées sur le netasq et sur shrew;
Je présume que tu as déjà consulté le wiki de shrew avec la config netasq;
http://www.shrew.net/support/wiki/HowtoNetAsq
Marsh Posté le 27-09-2011 à 14:21:51
Bonjour,
Apres quelques prises d'infos il doit y avoir pas mal de soucis avec la version 9 du netasq. Je mettrai ce post à jour des que j'aurai plus de nouvelles.
Marsh Posté le 03-11-2011 à 18:53:07
comme dis pkc, verifies bien les durees de vie configurees dans tes phases 1 et 2, elles ne pas "standard" sur les netasq.
ensuite, la phase2, c'est l'authentif... est-ce que t'as cree dans les objets un utilisateur,avec un mail , et autorisé pour le VPN IPSec (3eme onglet de memoire), avec un code qui va avec ?
regles l'authentification au niveau du netasq comme de ton client pour utiliser une authentification basée sur le fqdn de l'utilisateur (son mail)
tu regle le netasq pour utiliser netasq@ta_societe.com, et ton client pour utiliser nomade@ta_societe.com
une fois regler ca, ca va tout seul, c'est super
Marsh Posté le 06-02-2012 à 00:53:27
Bonjour,
T'es tu rendu sur la base de connaissance NETASQ accessible depuis ton espace client?
Si tu n'as plus tes identifiants pour accéder à ton espace client, appelle NETASQ et indique leur que tu as perdus tes identifiants. Ils ont un très bon service SAV et très ouvert.
Ils te demanderont un code inscrit sur l'étiquette collée sur le boîtier et te donneront tes identifiants.
Utilise la base de connaissance anglaise (plus complète que la française), et recherche la "Checklist IPSec".
Ta configuration shrewsoft a t'elle déjà été testée fonctionnelle sur une autre version que la version 9?
Le tunnel échoue en quelle phase? 1 ou 2?
Vérifie que la politique d'accès IPSec par défaut est "Autoriser" (menu "Utilisateurs / Droits d'accès", onglet "Accès par défaut)
Si non, passe la sur Autoriser et applique la configuration en guise de test.
As tu défini une politique nomade qui utilise un une clé prépartagée/preshared key)?
Si oui, sont-ce des ID emails qui sont attachés aux PSK?
Si oui, vérifie qu'un utilisateur existe bel et bien dans la base d'utilisateurs avec un email qui est utilisé dans une politique nomade.
Cet utilisateur est-il autorisé à se connecter en IPSec dans les droit d'accès?
Sinon, vérifie bien tous tes paramètres de phase 1 et 2, ainsi que les profils de chiffrement utilisés en phase 1 et 2.
Ils doivent être identiques dans la politique shrewsoft et dans la politque du NETASQ.
Tu peux encore activer le verbose du daemon IPSec sur le NETASQ.
Il te donnera plus d'infos sur l'origine du problème.
Un article existe sur la base de connaissance expliquant comment faire, il s'appelle "How do I log the IKE daemon's (racoon) activity?".
Retente de monter ton tunnel et copie-colle le contenu du fichier /dbg/racoon.log qui se remplit lorsque tu montes ton tunnel.
Précise l'IP de la machine client.
Cdlmt
Marsh Posté le 20-09-2011 à 15:03:23
Bonjour,
Je dispose de Firewall Netasq de type U30 et U70. Je souhaite utilisé Shrewsoft Vpn Client pour conencter les clients nomades aux différents réseaux.
Je suis sur la dernière version du Netasq, c'est à dire la 9 et je n'arrive pas à passer la phase 2 (Négociation failed). J'ai bien regarde au niveau de mes configs mais la je suis bloqué. Si quelqu'un a une solution car la je bloque dessus depuis déjà une journée et mon cerveau n'a plus d'imagination .
Merci