Auteur Sujet: Livebox V4 Fortinet Tunnels Ipsec intersite (Lu 14658 fois)

QuentinCD · « **le:** 06 avril 2018 à 11:30:05 »

Bonjour,

Je travail en tant qu'administrateur système et réseau dans un groupe scolaire éclaté sur plusieurs sites. La gestion des interconnexions est un enjeu important et pas toujours simple à gérer. A l'heure actuelle nous disposons de liens dédiés cuivre SDSL 2Mb/s afin d’interconnecter nos différent sites. Nous souhaiterions interconnecter ces sites via des tunnels IPsec. Chaque sites disposent de fortigate (90D, 100D , 200D , 300D) nous avons récemment souscrit à des offres Fibre Orange (offre grand public Jet) sur deux sites afin d'effectuer des tests, nous allons passé sur du pro pour bénéficier d'IP fixe (non disponible en grand public).
Après avoir configuré les tunnels sur les deux Fortigates concernés nous nous sommes uppercut que les livebox V4 ne permettaient pas de faire transiter ces protocoles

source : https://communaute.orange.fr/t5/ma-connexion/Tunnel-IKE-IPSec-Livebox-Pro-4/td-p/1508355

Je souhaiterais donc les remplacer par des routeurs , j'en ai repéré deux modèles chez l'un de nos fournisseur et je souhaitais avoir votre avis :

Cisco RV320 https://www.cisco.com/c/en/us/products/routers/rv320-dual-gigabit-wan-vpn-router/index.html?dtid=osscdc000283
Linksys LRT214 https://www.linksys.com/fr/p/P-LRT214/

Quels sont les prérequis à vérifier pour le choix d'un routeur en vu d'un remplacement de livebox (les deux disposent d'un boitier fibre).

Merci.

Nh3xus · « **Réponse #1 le:** 06 avril 2018 à 11:36:08 »

Salut,

Si tu passes sur une offre Pro avec IP fixe, tu sera sur l'ancienne archi en PPPoE au lieu de la nouvelle archi DHCP d'Orange.

En PPPoE, si tu remplace la Livebox, il faut bien penser à optimiser la MTU ainsi que le TCP MSS.

QuentinCD · « **Réponse #2 le:** 06 avril 2018 à 12:01:55 »

Bonjour Nh3xus,

Je te remercie pour ta réponse, j'ai lu que l’archi PPPoE risquait d'évoluer dans les années à venir , l'idée serait de ne pas changer de routeur dans la mesure du possible.
Merci pour tes précisions concernant le MTU et le TCP MSS, ce sont des notions avec lesquelles je ne suis pas familier. Je vais me renseigner sur le forum lorsque j'aurais reçu mes routeurs pour leur configuration.
Dans un premier temps je souhaiterais faire le bon choix matériel.

Slothy · « **Réponse #3 le:** 06 avril 2018 à 12:04:55 »

Salut,

Tu te trompes, il est parfaitement possible de monter un tunnel VPN avec un Fortigate derrière une livebox V4 ou pro V4.

J'ai ta configuration exacte chez des clients et ça ne pose pas de problème du moment que tu as bien configuré la DMZ de la Livebox et que ton tunnel a le NAT-T activé.

Par ailleurs, attention en PPPoE si tu enlèves la box, sur les petits modèles <100D, l'interface virtuelle PPPoE ne bénéficiera pas de l'offload et ton pare-feu va saturer et arrêter de répondre en cas de gros transfert. Problème résolu sur la gamme E.

L'ajustement MTU/MSS sera effectué automatiquement, pas de prise de tête à ce niveau.

QuentinCD · « **Réponse #4 le:** 06 avril 2018 à 12:29:01 »

Salut Slothy,

Merci pour ton retour , je suis particulièrement intéressé par tes connaissances sur le sujet. Ma configuration est la suivante :

Fortiwifi 90D d'un coté et cluster (actif/passif) de fortigate 100D de l'autre.

- J'ai configuré la DMZ des livebox sur l'adresse IP de l'interface WAN de mes fotigates.
- Le NAT-T est bien activé.

La phase 1 n’aboutit pas voici le message d'erreur :

ike 0::625: peer identifier IPV4_ADDR 192.168.100.253
ike 0: IKEv1 Aggressive, comes ***.***.***.***:1025->192.168.101.254 9
ike 0:d41737bddeb836b6/0000000000000000:625: incoming proposal:
ike 0:d41737bddeb836b6/0000000000000000:625: proposal id = 0:
ike 0:d41737bddeb836b6/0000000000000000:625: protocol id = ISAKMP:
ike 0:d41737bddeb836b6/0000000000000000:625: trans_id = KEY_IKE.
ike 0:d41737bddeb836b6/0000000000000000:625: encapsulation = IKE/none
ike 0:d41737bddeb836b6/0000000000000000:625: type=OAKLEY_ENCRYPT_ALG, val=AES_CBC, key-len=128
ike 0:d41737bddeb836b6/0000000000000000:625: type=OAKLEY_HASH_ALG, val=SHA.
ike 0:d41737bddeb836b6/0000000000000000:625: type=AUTH_METHOD, val=PRESHARED_KEY.
ike 0:d41737bddeb836b6/0000000000000000:625: type=OAKLEY_GROUP, val=MODP1536.
ike 0:d41737bddeb836b6/0000000000000000:625: ISAKMP SA lifetime=86400
ike 0:d41737bddeb836b6/0000000000000000:625: negotiation failure
ike Negotiate ISAKMP SA Error: ike 0:d41737bddeb836b6/0000000000000000:625: no SA proposal chosen

Slothy · « **Réponse #5 le:** 06 avril 2018 à 12:38:04 »

On voit bien que les deux réussissent à dialoguer mais ne se comprennent pas, c'est un problème de configuration.

Tu pourrais faire un c/c de la conf phase1 et phase2 des 2 côtés ? Quelle est la version FortiOS sur les deux ?

Pense à masquer les IP publiques ou à les remplacer par des fictives.

QuentinCD · « **Réponse #6 le:** 06 avril 2018 à 14:28:09 »

Mon Fortigate 100D est en version v5.4.3 (build1111) et le Fortiwifi 90D est en version v5.6.2 build (1486).

Concernant les phases , la deux n'a pas été configurée je voulais tester le bon fonctionnement de la 1 , voici les confs

Fortigate 100D :

Fortiwifi 90D

j'ai revérifié les interfaces des fortigates sont bien déclarées en DMZ sur les livebox.

Slothy · « **Réponse #7 le:** 06 avril 2018 à 14:56:11 »

Je voulais dire en CLI. Peu d'infos sont visibles dans la GUI, c'est pas fiable. Normalement tu as toujours une P2 par contre même si c'est celle par défaut.

config vpn ipsec phase1-interface
show

config vpn ipsec phase2-interface
show

QuentinCD · « **Réponse #8 le:** 06 avril 2018 à 15:53:36 »

Fortigate 100D :

config vpn ipsec phase1-interface
show

edit "bourse_to_jjr"

set interface "dmz"

set peertype any

set proposal aes128-sha1

set dpd disable

set dhgrp 5

set remote-gw ***.***.11.141

set psksecret ENC 6MY/iY72vge57o7H6DiN5ZJichqPzn/ldTXwmPAYtYiS21yvSpxt79P3FdYdymgjCxe/2/M/CrJ0tCdDerlp1BBHdTS3vJKJMb7VmlP1lrY5exjAU8ydoXPn4uTJTWd+iT2Sy/nc/C1vnwP8K28b9BdlXaa2UevlWNqAP2WauMgSGkBPxBGeRzRolz8DeLVa57R4Rw==

Fortiwifi 90D

config vpn ipsec phase1-interface
show

edit "jjr_to_rousseau"

set interface "internal2"

set peertype any

set proposal aes128-sha1

set dpd disable

set dhgrp 5

set remote-gw ***.***.86.83

set psksecret ENC 28Aplss5zgTBxqLg36w/H4zFn5FjxjXwOpgXF+MgMHUt4zEICylYT4wQGAY3OR3uFN9cnTA7504LrZ2jlmvvFWILK9Yw/QnRt4wIjJrb4tIxzRfnWuTFFncN1d/JmmQ7jV1B2SGR9GbnpgynX1Br1CIMRTco7u+lsnijLWz55u5yqrbgii5XcpWRtdzUBhwxinltsQ==

Slothy · « **Réponse #9 le:** 06 avril 2018 à 16:09:57 »

Je vois rien d'anormal, mais pour que ça monte il faut une phase2 je pense.

Sinon tu peux essayer de forcer l'IP de l'interface wan à utiliser (dmz sur le 100 et internal2 sur le 90 à ce que je vois) dans la phase1, en général on fait ça quand il y a plusieurs adresses sur une interface :

set local-gw X.X.X.X

QuentinCD · « **Réponse #10 le:** 06 avril 2018 à 16:45:02 »

Je viens de fixer les passerelles a utiliser mais j'ai toujours le même message d'erreur

ike 0:bourse_to_jjr:16587: out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
ike 0:bourse_to_jjr:16587: sent IKE msg (P1_RETRANSMIT): 192.168.100.1:500->***.***.***.***:500, len=292, id=a7627ae92187e0f8/0000000000000000
ike 0: comes ***.***.***.***:1087->192.168.100.253:500,ifindex=6....
ike 0: IKEv1 exchange=Identity Protection id=096788c4196d031b/0000000000000000 len=292
ike 0: in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
ike 0:096788c4196d031b/0000000000000000:16589: responder: main mode get 1st message...
ike 0:096788c4196d031b/0000000000000000:16589: VID RFC 3947 4A131C81070358455C5728F20E95452F
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-03 7D9419A65310CA6F2C179D9215529D56
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-02 CD60464335DF21F87CFDB2FC68B6A448
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-02\n 90CB80913EBB696E086381B5EC427B1F
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-01 16F6CA16E4A4066D83821A0F0AEAA862
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-00 4485152D18B6BBCD0BE8A8469579DDCC
ike 0:096788c4196d031b/0000000000000000:16589: VID DPD AFCAD71368A1F1C96B8696FC77570100
ike 0:096788c4196d031b/0000000000000000:16589: VID FRAGMENTATION 4048B7D56EBCE88525E7DE7F00D6C2D3
ike 0:096788c4196d031b/0000000000000000:16589: VID FRAGMENTATION 4048B7D56EBCE88525E7DE7F00D6C2D3C0000000
ike 0:096788c4196d031b/0000000000000000:16589: VID FORTIGATE 8299031757A36082C6A621DE00000000
ike 0:096788c4196d031b/0000000000000000:16589: incoming proposal:
ike 0:096788c4196d031b/0000000000000000:16589: proposal id = 0:
ike 0:096788c4196d031b/0000000000000000:16589: protocol id = ISAKMP:
ike 0:096788c4196d031b/0000000000000000:16589: trans_id = KEY_IKE.
ike 0:096788c4196d031b/0000000000000000:16589: encapsulation = IKE/none
ike 0:096788c4196d031b/0000000000000000:16589: type=OAKLEY_ENCRYPT_ALG, val=AES_CBC, key-len=128
ike 0:096788c4196d031b/0000000000000000:16589: type=OAKLEY_HASH_ALG, val=SHA.
ike 0:096788c4196d031b/0000000000000000:16589: type=AUTH_METHOD, val=PRESHARED_KEY.
ike 0:096788c4196d031b/0000000000000000:16589: type=OAKLEY_GROUP, val=MODP1536.
ike 0:096788c4196d031b/0000000000000000:16589: ISAKMP SA lifetime=86400
ike 0:096788c4196d031b/0000000000000000:16589: negotiation failure
ike Negotiate ISAKMP SA Error: ike 0:8e1d0ab64f675e6f/0000000000000000:16606: no SA proposal chosen

PS : j'ai également retiré le mode agressive (IKE).

Je ne comprends pas pourquoi la phase n’aboutis pas , les deux fortigates se voient bien d'après les logs. Mais si vous m'assurez qu'il est possible de faire fonctionner les tunnels derrière des livebox V4 en mode DMZ c'est qu'il y a forcement un problème coté config.

Slothy · « **Réponse #11 le:** 06 avril 2018 à 16:55:48 »

Je persiste mais je suis à peu près certain que sans phase2 ça ne montera pas.

Voici une conf simple et fonctionnelle :

config vpn ipsec phase1-interface
edit "VPN_Wan1"
set interface "wan1"
set peertype any
set proposal aes128-sha1 aes256-sha1
set remote-gw X.X.X.X
set psksecret ENC xxxxxxxxxxxxxxxxxxxxxxxxxxxx
next
end

config vpn ipsec phase2-interface
edit "P2_VPN_Wan1"
set phase1name "VPN_Wan1"
set proposal aes128-sha1 aes256-sha1
set keepalive enable
next
end