Client VPN IPSec Shrew avec Routeur VPN NETGEAR

« Decodage des trames PAPI Aruba dans Wireshark - Le protocole CAPWAP est finalisé ! »

Client VPN IPSec Shrew avec Routeur VPN NETGEAR

Par Prolag le samedi 7 février 2009, 19:57 - Lien permanent

Shrew est un client VPN IPSec open source et gratuit.

Il est compatible

Windows (2000/XP/Vista/Seven ! en version 32bits & 64Bits)
Unix / Linux (NetBSD, FreeBSD, Fedora, Ubuntu , Debian ... )

Il est rare de trouver un client IPSec compatible à la fois pour Windows & Linux ! et surtout gratuit

Voila un guide pour la configuration du client Shrew avec un routeur NETGEAR FVX336G (ca doit aussi marcher pour les autres routeurs VPN de la gamme : FVS338, FVX538, SRXN3205...)

Sur routeur, aller dans l'interface d'administration

Dans VPN => IPsec VPN => VPN Wizard

This VPN tunnel will connect to the following peers: Cocher VPN Client
What is the new Connection Name? : Le nom de la politique VPN (Client_Shrew)
What is the pre-shared key? : La clé partagé entre le client et le routeur (mypresharedkey)
Apply : Appliquer la configuration

La configuration du routeur est terminée.

Sur le client VPN Shrew
Dans l'Access Manager

Cliquer sur Add pour ajouter une nouvelle configuration

Onglet General

Host Name or IP Address : Adresse IP publique du routeur
Auto Configuration : Sélectionner disabled
Address Method : Sélectionner Use an existing adapter and current address

Onglet Name Resolution

Décocher Enable WINS
Décocher Enable DNS

Onglet Authentication
Authentication Method : Sélectionner Mutual PSK

Dans le sous Onglet Local Identity
Identification Type : Sélectionner Fully Qualified Domain Name (FQDN)
FQDN String : Saisir le FQDN local fvs_remote.com
Note : Pour le FVX538 il faut saisir fvx_remote.com, pour le SRXN3205 srxn_remote.com et pour les UTM (UTM10 et UTM25) utm_remote.com

Dans le sous Onglet Remote Identity
Identification Type : Sélectionner Fully Qualified Domain Name (FQDN)
FQDN String : Saisir le FQDN distant fvs_local.com
Note : Pour le FVX538 il faut saisir fvx_local.com, pour le SRXN3205 srxn_local.com et pour les UTM (UTM10 et UTM25) utm_local.com

Dans le sous Onglet Credentials
Pre Shared key: Saisir la clé partagée mypresharedkey

Onglet Phase 2
PFS Exchange : Sélectionner auto

Onglet Policy
Décocher "Obtain Topology Automatically or Tunnel All"
Ajouter la plage IP du réseau distant (192.168.1.0/255.255.255.0 par défaut)

Sauvegarder votre configuration (Save)

Puis dans l'Access Manager, Sélectionner le profil crée

Cliquer sur Connect

Cliquer sur Connect pour lancer la connexion

La connexion est lancée & activée !

Je rajoute en piece jointe, les profils VPN (des différents routeurs) pour le client Shrew.

Annexes

Commentaires

1. Le dimanche 8 février 2009, 09:30 par NicolasXP

Merci Prolag pour ce guide

Sous XP qu'apporte ce client VPN par rapport au Netgear ProSafe VPN Client ?

2. Le mardi 28 avril 2009, 19:52 par Malko61

Merci Prolag pour ce petit Tuto super bien fait, et également pour la découverte de ce petit client open source !!

Testé avec succès depuis Seven (Beta 1) & la release 2.1.5-beta-4 (l'importation de la configuration faire sous un XP et la release 2.1.4 ne pose aucun soucis :))

3. Le samedi 30 mai 2009, 16:09 par Pierre

Merci. Très utile ce tuto. Par contre, quelle confiance accorder à ce client VPN (à moins de vérifier le code GPL, ce qui est hors de ma portée). Comment s'assurer de l'"honneteté" de ce petit programme que je serais amené à proposer à des prestataires comme moyen pour se connecter à ma passerelle VPN ?

4. Le lundi 1 juin 2009, 19:20 par Prolag

Bonjour Pierre,

Aucun moyen de t'assurer l'honneteté ! (enfin si... en lisant le code GPL...) mais tu as le même soucis avec les logiciels VPN proprio !

5. Le mardi 16 juin 2009, 23:35 par glob30

Bonjour,
merci pour ce tuto.
Je l'ai suivi à la lettre, mais malheureusement, je n'arrive pas à me connecter. Pourtant tout semble se passer correctement. Voici un extrait du log :
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Malgré cela, impossible de parcourir les ordinateurs du reseaux (un nas notamment).

Merci de vos idées.

6. Le mercredi 17 juin 2009, 08:55 par Prolag

Tu utilise quoi comme routeur en face ?

7. Le mercredi 14 octobre 2009, 14:28 par Mystral

Je suis en train de le tester avec un DG834G V4, malheureusement ça ne fonctionne pas. Vous auriez une idée pourquoi ?

A bientôt

8. Le mercredi 14 octobre 2009, 17:10 par wissam

salut les amis,
j'ai un routeur zyxel avenc lequel je veux faire un vpn.
le ping marche bien
j'ai installé le shrew soft et j'ai mis la configuration sur le site,mais j'ai pas de connéxion l'erreur:
negotiation timout occurred
tunnel disabled
detached from key daemon ...

si quelqu'un pourra m'aider!!
merci d'avance !

9. Le mercredi 14 octobre 2009, 17:58 par Prolag

@Mystral
Le DG834 ne supporte pas le VPN IPsec en mode "Quick"

@wissam
sans log... ca va etre dur !

10. Le mardi 27 octobre 2009, 14:43 par Dblais

J'ai également un probleme avec un FVS336G. Sur le cote client, ca arrete à "bringing up tunnel..."

Sur les logs du FVS :

2009 Oct 27 08:40:11 [FVS336G] [IKE] Remote configuration for identifier "fvs_remote.com" found_
2009 Oct 27 08:40:11 [FVS336G] [IKE] Received request for new phase 1 negotiation: 65.93.227.158[500]<=>76.70.32.99[500]_
2009 Oct 27 08:40:11 [FVS336G] [IKE] Beginning Aggressive mode._
2009 Oct 27 08:40:11 [FVS336G] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2009 Oct 27 08:40:11 [FVS336G] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2009 Oct 27 08:40:11 [FVS336G] [IKE] Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02__
2009 Oct 27 08:40:11 [FVS336G] [IKE] Received unknown Vendor ID_
- Last output repeated 7 times -
2009 Oct 27 08:40:11 [FVS336G] [IKE] For 76.70.32.99[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02_
2009 Oct 27 08:40:12 [FVS336G] [IKE] Floating ports for NAT-T with peer 76.70.32.99[4500]_
2009 Oct 27 08:40:12 [FVS336G] [IKE] NAT-D payload does not match for 65.93.227.158[4500]_
2009 Oct 27 08:40:12 [FVS336G] [IKE] NAT-D payload does not match for 76.70.32.99[4500]_
2009 Oct 27 08:40:12 [FVS336G] [IKE] NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device_
2009 Oct 27 08:40:12 [FVS336G] [IKE] ISAKMP-SA established for 65.93.227.158[4500]-76.70.32.99[4500] with spi:3c6c98f97a08a2f5:6af3f364d628ece1_
2009 Oct 27 08:40:12 [FVS336G] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_

Est-ce qu'un autre logiciel cote client puisse causer ceci? (firewall, antivirus)

11. Le mardi 27 octobre 2009, 19:00 par Prolag

Bonjour Dblais,

Ton FVS336G est derriere une box? tu as bien ouvert tous les ports ?
Sinon viens sur le forum ( http://www.netgear-forum.com ) ca sera plus simple...

12. Le jeudi 3 décembre 2009, 17:04 par AYMAN

Bonjour, j'ai configuré la connexion mais je n'arrive pas à me connecter le client reste surconfig loaded for site '80.14.119***'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...

Le roouteur c’est un fvs318 v3
log

[2009-12-03 07:54:43]<LocalRID> Type=ID_FQDN,ID DATA=fvs_remote_Client_Shrew
[2009-12-03 07:54:43]<RemoteLID> Type=ID_FQDN,ID DATA=fvs_remote_Client_Shrew
[2009-12-03 07:54:46]<POLICY: Client_Shrew> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2009-12-03 07:54:46]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2009-12-03 07:54:46]**** RECEIVED THIRD MESSAGE OF AGGR MODE ****
[2009-12-03 07:54:46]<POLICY: Client_Shrew> PAYLOADS: HASH,NATD,NATD
[2009-12-03 07:54:46]**** AGGR MODE COMPLETED ****
[2009-12-03 07:54:46][==== IKE PHASE 1 ESTABLISHED====]
[2009-12-03 07:54:46]**** RECEIVED INFORMATIONAL EXCHANGE MESSAGE ****

Merci pour votre aide

13. Le jeudi 3 décembre 2009, 22:12 par Prolag

Bonsoir AYMAN,

Va faire un tour sur ce sujet => http://www.netgear-forum.com/forum/...

Il faut modifier certain paramètre au niveau de Shrew

14. Le mercredi 27 janvier 2010, 17:22 par Loucho

Malgré cela, impossible de parcourir les ordinateurs du reseaux.
J'utilise routeur FVS336G
Merci de vos idées.

15. Le jeudi 28 janvier 2010, 15:50 par Prolag

@Loucho

Tu essaie de parcourir comment tes ordinateurs ? via leur nom ? leur adresse IP ? car d'apres ton log le tunnel est bien monté !

16. Le mardi 2 février 2010, 14:36 par Loucho

Bonjour,

J'essaie de parcourir mes ordinateur via leur adresse ip dans internet explorer, mais ça ne marche pas malgré que mon tunnel soit monter. y a t'il une autre façon de procéder?

17. Le mercredi 3 février 2010, 22:49 par Favla

Loucho,

Ne dois tu pas ajouter des rules dans la partie firwall de ton router
pour autoriser l'accès ?

18. Le vendredi 28 mai 2010, 16:39 par Thierry

Bonjour,
J'ai testé sur un Fvg318 ProSafe, je ne vois nulle part l'adresse locale obtenue ?
Merci

19. Le lundi 21 juin 2010, 15:30 par Jul

Bonjour,
Je rencontre les mêmes difficultés que glob30; j'obtiens le message tunnel enbled dans le client shrew, mais pas de réponse à aucun ping à destination du réseau distant.
Pas de fw avant le fvs336g, juste un modem en mode bridge.
Un tunnel SSL fonctionne correctement sur ce fvs, et les accès aux ressources sur la base de ce SSL ne posent pas de problèmes non plus; une idée?

20. Le mardi 22 juin 2010, 17:28 par Prolag

@Jul

Tu as testé ce que j'ai indiqué dans ce billet http://blog.igut.fr/post/2009/12/12...

21. Le jeudi 24 juin 2010, 12:24 par Jul

Merci de la réponse Prolag.
Oui, testé mais sans résultats.
Les logs côté Netgear:
2010 Jun 24 09:51:34 [FVS336G] [IKE] Remote configuration for identifier "fvs_remote.com" found_
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received request for new phase 1 negotiation: 78.98.48.248[500]<=>82.68.54.255[500]_
2010 Jun 24 09:51:34 [FVS336G] [IKE] Beginning Aggressive mode._
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02__
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received unknown Vendor ID_
- Last output repeated 2 times -
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received Vendor ID: DPD_
2010 Jun 24 09:51:34 [FVS336G] [IKE] DPD is Enabled_
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received unknown Vendor ID_
- Last output repeated 2 times -
2010 Jun 24 09:51:34 [FVS336G] [IKE] Received Vendor ID: CISCO-UNITY_
2010 Jun 24 09:51:34 [FVS336G] [IKE] For 82.68.54.255[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02_
2010 Jun 24 09:51:35 [FVS336G] [IKE] Setting DPD Vendor ID_
2010 Jun 24 09:51:35 [FVS336G] [IKE] Floating ports for NAT-T with peer 82.68.54.255[4500]_
2010 Jun 24 09:51:35 [FVS336G] [IKE] NAT-D payload does not match for 78.98.48.248[4500]_
2010 Jun 24 09:51:35 [FVS336G] [IKE] NAT-D payload does not match for 82.68.54.255[4500]_
2010 Jun 24 09:51:35 [FVS336G] [IKE] NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device_
2010 Jun 24 09:51:35 [FVS336G] [IKE] ISAKMP-SA established for 78.98.48.248[4500]-82.68.54.255[4500] with spi:c7f8c6a9f334adb6:daeb453d36a04b20_
2010 Jun 24 09:51:35 [FVS336G] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2010 Jun 24 09:51:35 [FVS336G] [IKE] purging spi=213084603._
2010 Jun 24 09:51:35 [FVS336G] [IKE] Responding to new phase 2 negotiation: 78.98.48.248[0]<=>82.68.54.255[0]_
2010 Jun 24 09:51:35 [FVS336G] [IKE] Using IPsec SA configuration: 192.168.20.0/24<->0.0.0.0/0 from fvs_remote.com_
2010 Jun 24 09:51:35 [FVS336G] [IKE] No policy found, generating the policy : 172.16.1.82/32[0] 192.168.20.0/24[0] proto=any dir=in_
2010 Jun 24 09:51:36 [FVS336G] [IKE] Adjusting peer's encmode 61443(61443)->Tunnel(1)_
2010 Jun 24 09:51:36 [FVS336G] [IKE] IPsec-SA established[UDP encap 4500->4500]: ESP/Tunnel 82.68.54.255->78.98.48.248 with spi=117611395(0x7029b83)_
2010 Jun 24 09:51:36 [FVS336G] [IKE] IPsec-SA established[UDP encap 4500->4500]: ESP/Tunnel 78.98.48.248->82.68.54.255 with spi=2354122229(0x8c510df5)_
Pour les logs du shrew, j'ai un peu plus de mal à les avoir; c'est dans le trace utility?

22. Le jeudi 24 juin 2010, 13:14 par Jul

DPD désactivé, pas mieux.

23. Le jeudi 24 juin 2010, 18:40 par Jul

Je rajoute de l'eau au moulin; le client Netgear monte le tunnel et laisse passer les pings. Et le support Netgear m'annonce un client pour Seven 64 Bits pour la fin de la semaine prochaine. J'aimerais quand même bien pouvoir monter mon VPN avec Shrew

24. Le jeudi 24 juin 2010, 20:56 par Prolag

@Jul

Ouvre un sujet sur le forum ( http://www.netgear-forum.com )

et pour le Trace Utility les informations sont disponibles ici
http://www.shrew.net/support/wiki/B...

Tu utilises quoi comme version de Shrew ?

25. Le mercredi 30 juin 2010, 16:24 par Jul

Je suis sur 2.1.5
Je me rends de suite sur le formum netgear, merci des réponses que tu m'as donné!
A ce jour, pas de client netgear 7x64

26. Le mardi 27 juillet 2010, 17:56 par P-e

Excellent et merci.

pas de problème avec un FVS338..par contre avec un FVS318

ça me donne:

côté routeur:
[2010-07-27 07:59:59]<LocalRID> Type=ID_FQDN,ID DATA=fvs_remote_clients
[2010-07-27 07:59:59]<RemoteLID> Type=ID_FQDN,ID DATA=fvs_remote_clients
[2010-07-27 08:00:02]<POLICY: clients> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2010-07-27 08:00:02]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2010-07-27 08:00:02]**** RECEIVED THIRD MESSAGE OF AGGR MODE ****
[2010-07-27 08:00:02][IkePacketLog]EEEKS!! GOT A JUNK PAYLOAD...
[2010-07-27 08:00:02]
[2010-07-27 08:00:02]SENDING NOTIFY MSG:
[2010-07-27 08:00:02]PAYLOAD_MALFORMED
[2010-07-27 08:00:02]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE ****
[2010-07-27 08:00:02]<POLICY: clients> PAYLOADS: NOTIFY

[2010-07-27 07:59:59]<LocalRID> Type=ID_FQDN,ID DATA=fvs_remote_clients
[2010-07-27 07:59:59]<RemoteLID> Type=ID_FQDN,ID DATA=fvs_remote_clients
[2010-07-27 08:00:02]<POLICY: clients> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2010-07-27 08:00:02]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2010-07-27 08:00:02]**** RECEIVED THIRD MESSAGE OF AGGR MODE ****
[2010-07-27 08:00:02][IkePacketLog]EEEKS!! GOT A JUNK PAYLOAD...
[2010-07-27 08:00:02]
[2010-07-27 08:00:02]SENDING NOTIFY MSG:
[2010-07-27 08:00:02]PAYLOAD_MALFORMED
[2010-07-27 08:00:02]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE ****
[2010-07-27 08:00:02]<POLICY: clients> PAYLOADS: NOTIFY

et côté shrew naturellement:
gateway authetification error
Tunnel disabled

27. Le dimanche 29 août 2010, 14:33 par 75Phil

Bonjour à Tous,

Après plusieurs tentives je n'arrive toujours pas à me connecter.
Voilà ce que j'obtiens:
network unavailable
tunnel disabled
Impossible de me connecter auriez vous une petit idée pour me venir en aide?
Mercid'avance Phil.

28. Le lundi 30 août 2010, 14:01 par Prolag

@75Phil
Sur quoi comme routeur ?
Tu as posté un message sur le forum ?

Fil des commentaires de ce billet

iGu'T.fr