Discussion :

[surejam]

Bonjour,

Je suis étudiant donc novice, mais comme je suis un touche à tout j'essaie plein de choses.

Il y a peu j'ai entendu parler du protocole IPSec qui a retenu toute mon attention.

Pour test uniquement je souhaiterais connecter deux machines d'un même LAN (même sous-réseau) par IPSec, donc établir un tunnel IPSec entre ces deux machines pour qu'elles communiquent en toute sécurité.

J'ai donc deux machines connectées sur un routeur dont l'adresse IP est 10.0.0.1. Les deux machines tournent sous Windows 10 Pro et possèdent chacune une interface réseau Ethernet dont les adresses IP sont 10.0.0.30 et 10.0.0.31 respectivement (fixes).

J'utilise les deux consoles Moniteur de sécurité IP et Stratégies de sécurité IP sur Ordinateur pour mettre en place les politiques IPSec.

L'assistant me permet de réaliser ça par exemple sur la machine 1 :

• Point de sortie du tunnel : 10.0.0.31 (point de terminaison du tunnel IPv4)
• Type de réseau : toutes les connexions réseau

Viennent ensuite les filtres (je coche le mode miroir) :

• Adresse source : Mon adresse IP
• Destination : une adresse IP spécifique : 10.0.0.31
• Protocole : n'importe lequel

Et les actions de filtrage:

• Je choisis négocier la sécurité
• Ne pas autoriser les communications non sécurisées
• Sécurité : intégrité et chiffrement

Enfin, je choisis une clé pré-partagée pour l'authentification.

Ma politique IPSec est prête, je clique droit dessus et Attribuer.

Je réalise l'opération strictement inverse sur l'autre machine.

J'entame alors une connexion d'une machine à l'autre : accès à un partage disque, serveur web, etc. accès complet sans problème.

Par contre je vérifie les associations de sécurité grâce au moniteur de sécurité IP et là rien, rien de rien. Pas normal ça ?? Je n'autorise pas les connexions non sécurisées donc si j'ai une communication elle passe forcément par IPSec je pense ?

Voilà je ne sais pas où je foire la configuration mais ça n'a pas l'air de fonctionner en tout cas...

Merci pour votre avis sur la question.

surejam

[Invité]

Bonjour,

Je suis étudiant donc novice, mais comme je suis un touche à tout j'essaie plein de choses.

Il y a peu j'ai entendu parler du protocole IPSec qui a retenu toute mon attention.

Pour test uniquement je souhaiterais connecter deux machines d'un même LAN (même sous-réseau) par IPSec, donc établir un tunnel IPSec entre ces deux machines pour qu'elles communiquent en toute sécurité.

J'ai donc deux machines connectées sur un routeur dont l'adresse IP est 10.0.0.1. Les deux machines tournent sous Windows 10 Pro et possèdent chacune une interface réseau Ethernet dont les adresses IP sont 10.0.0.30 et 10.0.0.31 respectivement (fixes).

J'utilise les deux consoles Moniteur de sécurité IP et Stratégies de sécurité IP sur Ordinateur pour mettre en place les politiques IPSec.

L'assistant me permet de réaliser ça par exemple sur la machine 1 :

• Point de sortie du tunnel : 10.0.0.31 (point de terminaison du tunnel IPv4)
• Type de réseau : toutes les connexions réseau

Viennent ensuite les filtres (je coche le mode miroir) :

• Adresse source : Mon adresse IP
• Destination : une adresse IP spécifique : 10.0.0.31
• Protocole : n'importe lequel

Et les actions de filtrage:

• Je choisis négocier la sécurité
• Ne pas autoriser les communications non sécurisées
• Sécurité : intégrité et chiffrement

Enfin, je choisis une clé pré-partagée pour l'authentification.

Ma politique IPSec est prête, je clique droit dessus et Attribuer.

Je réalise l'opération strictement inverse sur l'autre machine.

J'entame alors une connexion d'une machine à l'autre : accès à un partage disque, serveur web, etc. accès complet sans problème.

Par contre je vérifie les associations de sécurité grâce au moniteur de sécurité IP et là rien, rien de rien. Pas normal ça ?? Je n'autorise pas les connexions non sécurisées donc si j'ai une communication elle passe forcément par IPSec je pense ?

Voilà je ne sais pas où je foire la configuration mais ça n'a pas l'air de fonctionner en tout cas...

Merci pour votre avis sur la question.

surejam

Personnellement, je n'ai jamais fait ça entre 2 machines "back2back" sur le même réseau IP, j'ai plutôt l'habitude de faire ça entre routeurs/firewalls.
C'est en revanche la même méthodologie si ça ne tombe pas en marche du premier coup

Quelques pistes à explorer :

- normalement, un ipconfig /all devrait faire apparaître l'interface Tunnel qui est sensée s'activer,
- un ping étendu depuis machine1 vers machine2 en prenant 10.0.0.30 comme source devrait obtenir une réponse de machine2,
- un wireshark lancé au moment de ce test devrait mettre en évidence la phase qui pose problème...

IPSec utilise 2 phases pour monter le tunnel :

- phase 1, identification des extrémités, échange des options et des clés, pour monter ce qu'on appelle les SA,
- phase 2, une fois que les SA sont up, les extrémités échangent les IP qui seront encapsulées, la confidentialité PFS, etc.

En fonction de la phase en échec, le next step en termes de troubleshooting est différent...

Pour faire une analogie avec quelque chose que tu dois probablement connaître, si tu veux lancer un Telnet sur un serveur et que ça ne fonctionne pas, tu vas d'bord vérifier si client & serveur sont joignables en IP, puis ensuite vérifier qu'un serveur Telnet est bien actif sur le serveur, etc.

Même chose en IPSec...
Pas de Phase1 => pas de Phase2 => pas de tunnel IPSec...

-VX

[surejam]

Bonjour et grand merci pour le retour.

Ravi d'apprendre que la méthodologie est bonne, je commençais à en douter... ça fait des jours que je me bats avec ça ! :-)

En effet j'ai vu qu'il y avait deux phases dans l'établissement d'un tunnel IPSec, je vais suivre tes conseils pour voir si Wireshark me donne une raison de l'échec en phase 1 ou phase 2.

Si je trouve la cause et/ou la solution je viendrai la rapporter ici.

Bel après-midi,

surejam

[Invité]

Bonjour et grand merci pour le retour.

Ravi d'apprendre que la méthodologie est bonne, je commençais à en douter... ça fait des jours que je me bats avec ça ! :-)

En effet j'ai vu qu'il y avait deux phases dans l'établissement d'un tunnel IPSec, je vais suivre tes conseils pour voir si Wireshark me donne une raison de l'échec en phase 1 ou phase 2.

Si je trouve la cause et/ou la solution je viendrai la rapporter ici.

Bel après-midi,

surejam

You're welcomed.

Les dissecteurs de Wireshark sont pas mal du tout pour le troubleshooting IPSec (je crois que tu peux avoir pas mal d'infos dans le mode expert).

Bonne chance continuation

-VX

[surejam]

Je crois comprendre que IPSec n'est pas simple à dompter !

Voilà donc où j'en suis. J'ai désactivé les pare-feux pour être certain qu'ils ne bloquent rien. Les politiques IPSec ont été refaites et appliquées sur chaque machine, les règles "me semblent correctes". Voici ce que j'ai par exemple sur le PC dont l'adresse IP est 10.0.0.30 :



Et l'inverse exact sur la machine dont l'adresse IP est 10.0.0.31.

Un ipconfig /all ne révèle pas de tunnel et la capture par Wireshark ne montre que les paquets ICMP lors du ping étendu. Rien à propos de l'établissement d'un tunnel ou d'une quelconque négociation phase 1 ou phase 2.

Autre chose plus étrange encore : j'ai choisi de n'accepter que les paquets sécurisés, alors si le tunnel ne s'établit pas comment puis-je communiquer entre les 2 machines ? Une fois le tunnel configuré je peux par exemple consulter un partage SMB de 10.0.0.31 sur 10.0.0.30.

J'ai vraiment l'impression que les règles n'ont pas d'effet, et pourtant :



La stratégie est appliquée.

J'avoue ne plus savoir quoi faire à ce stade... Faut-il faire quelque chose de particulier pour initier le tunnel ? Ou se met-il en place tout seul dès le premier paquet envoyé vers la destination ?

[Invité]

Un ipconfig /all ne révèle pas de tunnel et la capture par Wireshark ne montre que les paquets ICMP lors du ping étendu. Rien à propos de l'établissement d'un tunnel ou d'une quelconque négociation phase 1 ou phase 2.

Là, il faudrait voir les outils disponibles sur les PC Windows.
Encore une fois, je ne suis pas familier d'IPSec sur ce genre d'extrémité
Que donne un route print ?

Tu pourrais essayer ça également :

http://sourcedaddy.com/windows-7/tro...netsh-wfp.html

Une autre façon de faire les choses, et là c'est mon intuition qui parle, ce serait de créer une Loopback sur chaque PC (1.1.1.1/32 et 2.2.2.2/32) puis faire en sorte que le trafic IP 1.1.1.1 <-> 2.2.2.2 soit encapsulé (dans le jargon on parle de trafic éligible IPSec). Parce qu'au final, il se peut que Wireshark ne voie que les paquets qui sortent nativement du stack IP.

Dernière question : quel est le type de routeur ? Peut-être que tu peux faire du port mirroring.

-VX

[surejam]

Encore une fois, je ne suis pas familier d'IPSec sur ce genre d'extrémité

C'est déjà très sympa de m'aider !

Voilà la table de routage :

IPv4 Table de routage
===========================================================================
Itinéraires actifs*:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.30 35
10.0.0.0 255.0.0.0 On-link 10.0.0.30 291
10.0.0.30 255.255.255.255 On-link 10.0.0.30 291
10.255.255.255 255.255.255.255 On-link 10.0.0.30 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.0.0.30 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.0.0.30 291
===========================================================================
Itinéraires persistants*:
Aucun

Le routeur est la box fournie par mon opérateur Internet, donc pas de port mirroring possible car les fonctionnalités sont très basiques.

Je ne comprends pas l'histoire du loopback. Les adresses IP choisies (1.1.1.1 et 2.2.2.2) sont des exemples ou il faut vraiment utiliser ces adresses ?

J'ai parcouru le document de "sourcedaddy" et rien que d'après la table des matières ça me paraît très intéressant. Je le lirai à tête reposée.

A mon avis il faudra quelques jours avant que je ne revienne poster !

Bonne soirée,

surejam

[Invité]

Je ne comprends pas l'histoire du loopback. Les adresses IP choisies (1.1.1.1 et 2.2.2.2) sont des exemples ou il faut vraiment utiliser ces adresses ?

Un Tunnel, qu'il soit IPSec, SSL, ... est destiné à transporter des flux entre réseaux IP distants. Les flux en question seront encapsulés.
Donc l'idée des Loopbacks, c'est de pouvoir disposer/simuler/modéliser des "flux utilisateurs" pour tester le tunnel.

Je ferais donc la chose suivante :
- créer Loopback 1.1.1.1/32 sur machine1 et Loopback 2.2.2.2/32 sur machine2,
- configurer les routes statiques suivantes sur machine1 & machine2 respectivement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

route add 2.2.2.2 mask 255.255.255.255 10.0.0.31

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

route add 1.1.1.1 mask 255.255.255.255 10.0.0.30

Tu actives Wireshark sur machine1, puis tu fais un ping étendu vers 2.2.2.2 avec 1.1.1.1 en source.
Et là, je m'attends à voir une enveloppe IPSec/ESP sur l'ICMP en question...

Encore une fois, ma méconnaissance de Windows ne me permet pas de t'aider plus, mais peut-être que des collègues bercés dans cette sorcellerie pourront t'aider

En particulier, quels sont les outils systèmes, ou les façons qui permettraient de logguer quelque part les événements relatifs à la montée ou non-montée du Tunnel ?

On va quand même pas se laisser faire par un stupide tunnel IPSec

-VX

[Invité]

Quick question...
Ce sont 2 machines physiques distinctes ou 2 VM ?

-VX

[surejam]

On va quand même pas se laisser faire par un stupide tunnel IPSec

Merci en tout cas pour l'aide, j'apprécie vraiment.

Je comprends mieux maintenant l'histoire des loopbacks que je testerai demain...

Pour répondre à ton dernier message, ce sont deux machines physiques je ne passe donc pas par un adaptateur ou un switch virtuel. Je suppose que cela complique encore les affaires comme le passage au travers d'un NAT. Par facile à dompter la bête !

Une bonne nuit de sommeil me permettra d'y voir plus clair !

Encore merci et bonne soirée !

[Invité]

Pour répondre à ton dernier message, ce sont deux machines physiques je ne passe donc pas par un adaptateur ou un switch virtuel. Je suppose que cela complique encore les affaires comme le passage au travers d'un NAT. Par facile à dompter la bête !

Oui. IPSec au travers d'un point de translation nécessite NAT-T (cf RFC3947/3948).

En revanche, dans ton cas, il suffirait de monter 2 VM Windows dans un hyperviseur VirtualBox/VMPlayer pour reproduire ta maquette.
Quelle est la version de tes machines Windows ?

-VX

[surejam]

Si je parviens à établir un tunnel sur un même LAN je rajouterai la difficulté du NAT-T.

En effet je pourrais faire deux VM, mais bon comme je possède deux machines physiques prêtes à l'emploi j'avoue que je ne me suis pas cassé la tête.

C'est deux Windows 10 Pro 1803, des versions clientes donc, pas Server. J'ignore si ça a de l'importance voire si ça peut fonctionner sans le rôle Routage et accès distant de Windows Server.

Affaire à suivre...

[Invité]

Si je parviens à établir un tunnel sur un même LAN je rajouterai la difficulté du NAT-T.

En effet je pourrais faire deux VM, mais bon comme je possède deux machines physiques prêtes à l'emploi j'avoue que je ne me suis pas cassé la tête.

C'est deux Windows 10 Pro 1803, des versions clientes donc, pas Server. J'ignore si ça a de l'importance voire si ça peut fonctionner sans le rôle Routage et accès distant de Windows Server.

Affaire à suivre...

OK...
Non, pas besoin de routage, les endpoints sont dans le même subnet !

-VX

[surejam]

OK...
Non, pas besoin de routage, les endpoints sont dans le même subnet !

-VX

Il y a parfois des choses très logiques et basiques qui ne fonctionnent pas sous Microsoft Windows, souvent pour des raisons d'acquisition de licences... plus rien ne m'étonne...

[surejam]

Bon ça ne fonctionne toujours pas, c'est comme si les politiques IPSec étaient purement et simplement ignorées.

J'éclaircis donc ce que je disais dans mon post précédent à propos du rôle Routage et accès distant. Ce rôle permet la mise en place des tunnels de toutes sortes dont L2TP/IPSec, d'ailleurs j'en ai déjà mis en place par ce biais et ça fonctionne particulièrement bien. Selon la politique Microsoft il faut faire l'acquisition de licences (CAL) pour chaque connexion distante (du moins à partir de la version Standard).

Je me demandais donc s'il était possible que Microsoft bloque ou ignore les politiques IPSec sur les version clientes de Windows, qui par conception ne disposent pas du rôle Routage et accès distant, ni de CALs.

Mystère pour moi en tout cas.

[Invité]

Bon ça ne fonctionne toujours pas, c'est comme si les politiques IPSec étaient purement et simplement ignorées.

J'éclaircis donc ce que je disais dans mon post précédent à propos du rôle Routage et accès distant. Ce rôle permet la mise en place des tunnels de toutes sortes dont L2TP/IPSec, d'ailleurs j'en ai déjà mis en place par ce biais et ça fonctionne particulièrement bien. Selon la politique Microsoft il faut faire l'acquisition de licences (CAL) pour chaque connexion distante (du moins à partir de la version Standard).

Je me demandais donc s'il était possible que Microsoft bloque ou ignore les politiques IPSec sur les version clientes de Windows, qui par conception ne disposent pas du rôle Routage et accès distant, ni de CALs.

Mystère pour moi en tout cas.

Wow

Ce week-end, si j'ai un peu de temps, je veux bien tenter ce tunnel IPSec entre 2 VM embarquées dans VMWare/VirtualBox :-)

-VX

[surejam]

Merci pour le coup de main mais je ne veux pas te faire travailler un week-end !

Tu sais je suis encore étudiant j'ai peut-être bien fait une erreur quelque part, je vais encore chercher on ne sait jamais...

[surejam]

J'ai pris le taureau par les cornes et voici donc un listing complet de mes actions (et ça ne fonctionne toujours pas...)

Les deux machines ont les adresses IP 10.0.0.30 et 10.0.0.35. Les captures ci-dessous sont réalisées sur la machine 10.0.0.35, les opérations inverses exactes sont effectuées sur la 10.0.0.30.

1. Dans la console j'ajoute les outils dont j'ai besoin


2. Configuration du tunnel


3. Sélection du type de réseau


4. Configuration du filtre IP, adresse source mon IP


5. Adresse de destination, 10.0.0.30


6. Type de protocole


7. Les actions de filtrage, je souhaite négocier la sécurité


8. Et de ne pas accepter les connexions non sécurisées


9. Je personnalise les paramètres de sécurité



10. L'authentification a lieu à l'aide d'une clé pré-partagée


11. J'attribue la stratégie

[surejam]

12. La stratégie IKE (identique sur les deux machines)


13. Et la liste des associations de sécurité qui reste désespérément vide...


A noter que les pare-feux ont été désactivés des deux côtés pour le test.

[surejam]

14. J'oubliais de montrer les filtres...