Impossible de faire fonctionner Ipsec sur OpenBSD 4.4

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Impossible de faire fonctionner Ipsec sur OpenBSD 4.4

gallycyborg
Bonjour à tous !

Utilisateur d'OpenBSD depuis quelques temps, et hautement satisfait des services rendus par cette distro en béton, je décide dernièrement de mettre à jour ma 4.0, et au passage d'implémenter ce VPN qui nous nargue moi et mon Wifi depuis longtemps

Comme en plus dans le cadre de mon travail, on me demande de chercher à mettre en place un VPN entre un site distant et notre agence, je me lance joyeusement dans l'affaire, "Google is my friend", et après quelques recherches, lectures de man et de forums sur le sujet, me lance dans la configuration.

J'ai entre autre suivi les conseils trouvés ici : http://www.securityfocus.com/infocus/1859 et ici : http://www.unixgarden.com/index.php/securite/ipsec-sous-openbsd-40.

La plate-forme est la suivante :

Un premier serveur avec une patte dans le réseau local B.B.B.0/24 et l'autre dans le réseau A.A.0.0/16 de mon entreprise.
Un deuxième serveur avec une patte dans le réseau local C.C.C.0/27 et l'autre dans le réseau A.A.0.0/16.
Les 2 serveurs sont fraîchement installés.

l'ESP et l'AH sont bien activé sur mes BSD :
# sysctl net.inet.esp.enable
net.inet.esp.enable = 1

# sysctl net.inet.ah.enable
net.inet.ah.enable = 1


J'avais pour but en premier d'établir le VPN entre les 2 réseaux locaux B et C en passant par le réseau d'entreprise, avant de travailler à installer l'un des 2 serveurs chez moi et d'établir le lien entre les 2 en passant par le WWW.

Mes fichiers ipsec.conf sont les suivants :
ike esp from B.B.B.0/27 to C.C.C.0/24 peer 10.13.1.130
ike esp from A.A.A.156 to C.C.C.0/24 peer A.A.A.130
ike esp from A.A.A.156 to A.A.A.130

et
ike esp from C.C.C.0/24 to B.B.B.0/27 peer A.A.A.156
ike esp from A.A.A.130 to B.B.B.0/27 peer A.A.A.156
ike esp from A.A.A.130 to A.A.A.156


Les clés ont bien été échangées entre les serveurs, ainsi qu'indiqué dans les liens ci dessus.

Packet Filter est pour l'instant désactivé, je comptais le configurer après l'établissement du VPN.



Problème :
lorsque je tente de lancer ipsec, je n'obtiens que ce "résultat" laconique :
# isakmpd -K
# ipsecctl -vf /etc/ipsec.conf
ipsecctl: /etc/ipsec.conf: group/world readable/writeable
ipsecctl: Syntax error in config file: ipsec rules not loaded
#


J'ai eu beau relire les mans (ipsec.conf entre autre), chercher un peu partout sur le web, aussi bien en francophone qu'en anglais (mon Firefox a plus de 60 onglets ouverts, et pourtant j'en ai fermé des tas ), je n'arrive pas à voir où j'ai pu me rater

Si,quelqu'un pouvait me donner un coup de main, je lui en serais bien gré

Cordialement,
Gally



Reply | Threaded
Open this post in threaded view
|

Re: Impossible de faire fonctionner Ipsec sur OpenBSD 4.4

Simon Deziel
Bonjour Gally,

Le message d'erreur que tu as indique que le fichier "/etc/ipsec.conf"
est lisible et modifiable par un groupe/tous ("group/world
readable/writeable"). Normalement les droits d'accès pour ce fichier
sont les suivants :

$ ls -l
/etc/ipsec.conf                                                                                                                          

-rw-------  1 root  wheel  1122 Mar 12  2008 /etc/ipsec.conf

Pour remédier à ton problème tu n'as qu'à faire la commande suivante en
tant que root :

$ chown 0600 /etc/ipsec.conf

En espérant que ça règle ton problème.

Simon

> Problème :
> lorsque je tente de lancer ipsec, je n'obtiens que ce "résultat" laconique :
> # isakmpd -K
> # ipsecctl -vf /etc/ipsec.conf
> ipsecctl: /etc/ipsec.conf: group/world readable/writeable
> ipsecctl: Syntax error in config file: ipsec rules not loaded

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: Impossible de faire fonctionner Ipsec sur OpenBSD 4.4

gallycyborg
Bonjour Simon

Yeesss!!! effectivement, depuis que j'ai changé les droits du fichier, ipsecctl accepte de se lancer .
J'avais bien essayé de changer les droits, mais n'avait pas essayé le 600 (le message d'erreur m'interpellait, mais je ne le comprenais pas vraiment visiblement ) => merci infiniment, je vais pouvoir continuer mes manips et avoir mon Wifi secure grace à ton aider

Cordialement
Gally


Simon-2724 wrote
Bonjour Gally,

Le message d'erreur que tu as indique que le fichier "/etc/ipsec.conf"
est lisible et modifiable par un groupe/tous ("group/world
readable/writeable"). Normalement les droits d'accès pour ce fichier
sont les suivants :

$ ls -l
/etc/ipsec.conf                                                                                                                          

-rw-------  1 root  wheel  1122 Mar 12  2008 /etc/ipsec.conf

Pour remédier à ton problème tu n'as qu'à faire la commande suivante en
tant que root :

$ chown 0600 /etc/ipsec.conf

En espérant que ça règle ton problème.

Simon

> Problème :
> lorsque je tente de lancer ipsec, je n'obtiens que ce "résultat" laconique :
> # isakmpd -K
> # ipsecctl -vf /etc/ipsec.conf
> ipsecctl: /etc/ipsec.conf: group/world readable/writeable
> ipsecctl: Syntax error in config file: ipsec rules not loaded

________________________________
French OpenBSD mailing list
misc@openbsd-france.org
http://www.openbsd-france.org/ml