Debug d'un VPN IPSec

Question

Bonjour, 

Je suis actuellement en train de monter un VPN avec un client ... Brésilien.
La communication n'est pas le top car on passe par un intermédiaire puis un traducteur sur place, bref c'est compliqué.

J'ai le log suivant lors de la monté de mon VPN. La 1ere phase se termine puis j'ai un message d'un packet dupliqué.
Je vous donne le log en dessous, je peux donner la conf après mais ne me semble pas nécessaire à mon problème.
Je pense que c'est en face qu'il y a un problème ...

Le log se lit de bas en haut   : 

4|Jan 25 2011|11:31:11|113019|||||Group = 200.xxx.xxx.xxx, Username = 200.xxx.xxx.xxx, IP = BRE_RT, Session disconnected. Session Type: IKE, Duration: 0h:00m:32s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Error
3|Jan 25 2011|11:31:11|713902|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, Removing peer from correlator table failed, no match!
1|Jan 25 2011|11:31:11|713900|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, construct_ipsec_delete(): No SPI to identify Phase 2 SA!
3|Jan 25 2011|11:31:11|713902|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, QM FSM error (P2 struct &0xd5520678, mess id 0xc4a4b89d)!
5|Jan 25 2011|11:31:11|713904|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, Received encrypted Oakley Informational packet with invalid payloads, MessID = 3854765212
6|Jan 25 2011|11:31:03|713905|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, P1 Retransmit msg dispatched to AM FSM
5|Jan 25 2011|11:31:03|713201|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, Duplicate Phase 1 packet detected.  Retransmitting last packet.
6|Jan 25 2011|11:30:55|713905|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, P1 Retransmit msg dispatched to AM FSM
5|Jan 25 2011|11:30:55|713201|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, Duplicate Phase 1 packet detected.  Retransmitting last packet.
6|Jan 25 2011|11:30:47|713905|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, P1 Retransmit msg dispatched to AM FSM
5|Jan 25 2011|11:30:47|713201|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, Duplicate Phase 1 packet detected.  Retransmitting last packet.
5|Jan 25 2011|11:30:39|713119|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, PHASE 1 COMPLETED
6|Jan 25 2011|11:30:39|113009|||||AAA retrieved default group policy (DfltGrpPolicy) for user = 200.xxx.xxx.xxx
6|Jan 25 2011|11:30:39|713172|||||Group = 200.xxx.xxx.xxx, IP = 200.xxx.xxx.xxx, Automatic NAT Detection Status:     Remote end   IS   behind a NAT device     This   end is NOT behind a NAT device
5|Jan 25 2011|11:30:38|713041|||||IP = 200.xxx.xxx.xxx, IKE Initiator: New Phase 1, Intf inside, IKE Peer 200.xxx.xxx.xxx  local Proxy Address 192.168.65.103, remote Proxy Address 192.168.65.65,  Crypto map (outside_map)

vinceyz · Answer

Salut,  
D'après ton log il s'agirait d'un problème de sur ta clé d'échange de sécurité entre ton serveur et ton client (longueur de la clé, chiffrement, erreur de saisie coté client, etc.. ?? a voir). Je pense que ce lien peut t'aider à comprendre ton bug : https://www.securiteinfo.com/cryptographie/IPSec.shtml
Tu y trouveras un schéma des différentes phases de ta connexion et notamment au niveau d'IKE

S'il n'y a pas de solution c'est qu'il n'y a pas de problème !

Debug d'un VPN IPSec

1 réponse

Votre réponse

Discussions similaires

Newsletters