Les Forums
Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer
construction VPN
Bonjour, cela fait 1 semaine que je me prend la tête sur mon VPN qui consiste à relier 2 sites en VPN par l'intermédiaire de 2 routeurs Linksys WRV200. De chaque coté je possède un modem ADSL D-Link (en Bridge), une adresse IP fixe et donc le routeur. J'ai un réseau configuré en 192.168.1.x/255.255.255.0 et l'autre en 192.168.2.x./255.255.255.0 Mon ping fonctionne sur la passerelle distante mais impossible de créer le tunnel VPN (le statut est Try to connect to Remote Gateway). Je vous mets les logs d'un de mes routeurs: 380 [MON 12:25:33] "TunnelA" #22: [WRV200 Response:] Please check your Local Secure Group, Remote Secure Group, and PFS setting of this tunnel 381 [MON 12:25:33] "TunnelA" #22: sending encrypted notification INVALID_ID_INFORMATION to 193.x.x.x:500 382 [MON 12:25:43] "TunnelA" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x89337c5a (perhaps this is a duplicated packet) 383 [MON 12:25:43] "TunnelA" #22: sending encrypted notification INVALID_MESSAGE_ID to 193.x.x.x:500 384 [MON 12:26:03] "TunnelA" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x89337c5a (perhaps this is a duplicated packet) 385 [MON 12:26:03] "TunnelA" #22: sending encrypted notification INVALID_MESSAGE_ID to 193.x.x.x:500 386 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Cannot respond to IPsec SA request 387 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] No connection is known for 192.168.1.0/32===217.x.x.x...193.x.x.x===192.168.2.0/32 388 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Can't establish IPSec SA. This might be the asymmetric Secure Group setting. 389 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Please check your Local Secure Group, Remote Secure Group, and PFS setting of this tunnel 390 [MON 12:26:43] "TunnelA" #22: sending encrypted notification INVALID_ID_INFORMATION to 193.x.x.x:500 391 [MON 12:26:52] "TunnelA" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ad2738d (perhaps this is a duplicated packet) 392 [MON 12:26:52] "TunnelA" #22: sending encrypted notification INVALID_MESSAGE_ID to 193.x.x.x:500 393 [MON 12:27:13] "TunnelA" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ad2738d (perhaps this is a duplicated packet) 394 [MON 12:27:13] "TunnelA" #22: sending encrypted notification INVALID_MESSAGE_ID to 193.x.x.x:500 Le NAT-Traversal et Global NAT-Traversal sont désactivés. Le PFS est activé. Je passe par Encryption: 3DES et Key Exchange Method:Auto (que ce choix) Authentication: MD5 (Phase 1 et 2). ISAKMP Key Lifetime(s):28800 Operation Mode: Main IPSec Key Lifetime(s):3600 DH Group: Group 2-1024-bits Est ce que quelqu'un est en mesure de m'aider car je vois pas trop!!! Merci d'avance Bonne journée à tous |
salut, Tu as un pb en Phase 2 (cf "[i:deafa3f75d]Quick Mode I1 message is unacceptable"). L'authentification est donc bonne. La cause la plus probable est que les transformations de Phase 2 ne sont pas "acceptables" par les 2 parties (impossible donc à négocier). Celle-ci inclut : - Chiffrement (typ. ESP) et algo (typ. 3DES) - IPSEC (et pas IKE ou ISAKMP ! qui se rapportent à la phase 1) SA Lifetime - les local et remote "Secure Policy": ces notions sont (amha) hors normes : et consistent à décrire de chaque coté les flux qui emprunteront ce tunnel. Ces Access-List (ACL) doivent être sur chaque routeur, sans quoi tu as une erreur du genre : [i:deafa3f75d]388 [MON 12:26:43] "TunnelA" #22: [WRV200 Response:] Can't establish IPSec SA. As tu configuré ces policy sur chaque routeur ? As tu les logs du 2ème routeur ? Bonne chance, Stephane. PS: pour info, MD5 sert pour l'intégrité pas pour l'authentification (du moins directement). |
salut merci de ta réponse mais en fait j'ai trouvé d'où venait mon problème, c'était tout simplement une erreur d'adresse IP dans ma config IPSEC, j'ai indiqué 192.168.2.0 et 192.168.1.0 et j'aivais mis IP addr au lieu de Subnet au lieu de l'adresse de mes routeurs et maintenant le tunnel et créé et mon ping fonctionne sur le site distant par contre est ce normal que je ne vois pas mes postes distants dans le voisinnage réseau (si par contre je recherche un ordinateur et que je tape l'adresse IP là je le retrouve)? Merci d'avance pour tes infos Bonne journée Bye |
Le voisinage réseau ne passera pas à travers ton tunnel. Il faut que tu définisses dans un fichier hosts ou ton DNS les enregistrement des tes stations distantes. |