Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Phase IKE et échange de clés

Bonjour à toutes et à tous, Je dois connecter un site de mon entreprise à celui d'une autre en utilisant un VPN. Nous arrivons à nous entendre sur une 'configuration commune'. Seulement la phase IKE et l'échange de clés n'arrive pas à être franchie. Comment faire pour débloquer. Merci infiniment.

Bonsoir, Tu peux en dire plus sur le moment où ça bloque et ta configuration ? Si c'est du Cisco : - show crypto isa sa - show crypto ipsec sa - debug crypto isa - debug crypto ipsec

Merci beaucoup Shinmaki de ta réponse. Je viens de demander à l'admin du site distant de me donner le résultat de ses debug successifs. Voilà ce qu'il a répondu(informations de son matériel Chekpoint qui sont en avec celles qui se trouvent dans notre configuration locale): [code:1:cddc5ce311] Encryption domain distant : 10.231.5.100/32 Encryption domain local : 10.231.5.0/29 VPN peer distant : 199.136.200.8 VPN peer local : 219.10.85.3 Pre-shared key : val_cle IKE : 3DES/MD5 DH group 2 SA lifetime 86400s IPSEC : 3DES/MD5 PFS DH group 2 SA lifetime 28800s [/code:1:cddc5ce311] Les logs de son Firwall ne sont guère bavards: =============================================== Reject Reason IKE failure Information IKE: Initial exchange: Exchange failed: timeout reached. =============================================== Voilà tout sur le site distant. Merci de ton aide.

D'après les logs, il ne s'agit pas d'un problème de configuration IKE/IPSEC mais de paquets perdus non reçus. En supposant que l'échange a été initié de ton côté, je dirais que le paquet est bien reçu par le Checkpoint, qui répond. Sur les 6 paquets IKE Main Mode, c'est le 2e qui est émis mais pas reçu. Le port UDP 500 est-il bien ouvert dans les deux sens et de chaque côté ?

Merci bien Shinmaki de cette réponse. Juste je précise que l'échange a été initié du coté du Checkpoint(site distant) et que les logs sont ceux du Checkpoint. Dès que je confirme que le port 500 est ouvert dans les deux sens et sur les deux firwalls, je vous dis. Merci infiniment.

Bonjour Shinmaki, bonjour à tous, Tout d'abord je suis désolé de vous importuner davantage avec ce pb, mais je ne trouve aucune aide ailleurs et qui soit comparabale à celle que je trouve sur votre site. Tous les ports sont ouverts donc le 500 en IN et OUT et dans les 2 fW. Il y a par contre une chose qui m'inquiète: quand je fais un trace route entre les adresses publiques peer, j'ai plus de 20 routes ou il y a des * et quand même des adresses, mais à partir de la 25 route jusqu'à la 30ème(la dernière), il n'y a que des * sur les lignes donc Et là je ne sais pas si il y a une configuration mal faite de l'un des 2 cotés sinon comment expliquer que le traceroute prend tous ces chemins? Merci infiniment.

Tu as vérifié le routage ?

Bonjour Shinmaki, bonjour à tous, Bonne et heureuse année à tous les membres et utilisateurs de ce forum . Pour en revenir à la discussion, nos n'avions pas mis les bons paramètres de part et d'autres et auxquels on s'était pourtant accordé. A présent les bons paramètres ont été pris en compte des 2 côté et ça marche. Le debug a été utile même si les checkpoints parlent plutôt de logs: et c'est d'ailleurs ce qui nous a finalement mis sur la bonne piste Merci infiniment! Mais y a-t-il un moyen pour dire que à la fin de cette discussion que le problème a été ? Je l'ai cherché sans succès.