Problèmes LNS / Cisco VPN Client

Bonjour à tous,

J'ai configuré mon nouveau PC il y a une semaine. Depuis, je n'ai que des problèmes lors de connexions avec Cisco VPN Client, LNS activé. Devant l'impossibilité de comprendre ce qui se passe, j'ai systématisé des essais dont voici les résultats. Tout d'abord, voici comment est configuré LNS:

Filtrage logiciel:
http://img82.imageshack.us/img82/7/filtragelogiciel9ut.jpg

Filtrage Internet: vous remarquerez que les règles "IP 47" et "Nortel VPN" sont installées.
http://img100.imageshack.us/img100/9351/filtrageinternet8zw.jpg

Les essais sont les suivants, tous faits dans les mêmes 90 minutes, avec redémarrage Windows entre chaque essai.

Premier groupe d'essais:
14 essais, LNS activé, avec tentative d'activation VPN Client, puis tentative de récupération des mails sur mes différents comptes par Outlook 2003. Résultats: 6 impossibilités de se connecter avec Client VPN; 8 succès dans la connection VPN Client, mais chaque fois échec de récupération des mails, et probablement (parce qu'essayé qu'une seule fois) échec d'envois. Dans tous ces cas, toute connexion Internet est impossible (par IE ou Firefox ou autres).

Voici le journal LNS lors d'échec de connexion Client VPN:
http://img134.imageshack.us/img134/9800/checvpn8nb.jpg

Journal lors de succès de la connexion VPN, mais échec de connexion Outlook:
http://img91.imageshack.us/img91/2655/echeco1dx.jpg

2e série d'essais
6 essais après désactivation LNS et activation du parefeu Windows XP. Toute les tentatives de connexions Client VPN sont couronnées de succès, ainsi que toutes les connexions Outlook ou autres.

A noter qu'après ces essais fructueux, si je désactive le parefeu Windows et active LNS, les connexions Outlook et autres sont couronnées de succès (essai fait deux fois).

Qu'en conclure ?
C'est comme si l'activation LNS suivi de celle de VPN Client bloquait toute connexion. Mais l'activation de VPN client avant celle de LNS ne causait aucun problème (essai fait 3 fois). J'ajoute que mon PC fonctionne à merveille, en dehors du problème exposé.

Et vous, chers amis détectives, qu'en concluez-vous et que me conseillez-vous ? Merci de votre réponse.

 

Salut

Quelques remarques:

1- D'après la seconde image de ton message:
a) il n'y a pas de journalisation des règles
b) apparament les règles sont palcées dans n'importe quel ordre

2- d'après l'image de la troisième image
a) les blocages UDP vers le port 1900 concernent le service SSDP ...
as-tu besoin de ce machin?
b) il y a aussi le blocage de paquets IGMP... d'où cela provient-il?
services mal configurés? application?

Suggestions:

I-
Précise-nous et upload ici le jeu de règles que tu utilise pour que quelqu'un puisse y jetter un coup d'oeil. L'ensemble des règles et leur place dans la liste est importante...

II- Il est important de tout journaliser les accès ET blocages: c'est à partir de cela qu'il est possible de voir où ça coince... Un exemplaire du journal peut être uploader ici pour nous aider à comprendre ce qui se passe...

III- La meilleure façon de trouver la solution à ce genre de problème est la plupart du temps de créer une règle Test non-restrictive pour l'application,
d'utiliser cette application pour obtenir des traces des accès à internet par cette application et d'utiliser le format brut du journal et un chiffrier pour trier les accès et comprendre ce qui se passe...

Pour te donner une idée de cette méthode (qui j'espère va t'aider) voir ceci:

http://climenole.wordpress.com/look-%E2%80%98n%E2%80%99-stop-5/
et
http://climenole.wordpress.com/look-%E2%80%98n%E2%80%99-stop/

Tu peux adapter cet exemple pour ton cas (Tous les protocoles plutôt que simplement TCP/UDP comme dans l'exemple présenté...)

Dans ton cas tu peux placer la règle test comme première règle de la liste...
(pour des fins de tests... )

IV- Aussi vérifie si le Virtual Private Network est bien détecté par LNS
dans l'onglet option | interfaces réseau...

Si qq1 utilise déjà un VPN avec LNS il sera plus simple de trouver la solution sinon ce sera un peu plus de boulot pour toi... (n'ayant pas de VPN il m'est impossible de le tester sur mon PC...)

Voilà. Pas d'autre idée.

A+

 

Merci de ta réponse, Climenole. Il me faut du temps pour étudier tout ça. Alors à plus tard.

 

Salut

OK. Tiens-nous au courant.

A+

 

Salut Climenole, salut à tous,

Ouh là là, l'ensemble de ce que tu me demandes ou me proposes dépasse mes compétences. Les fiches d'information que tu as faites et que tu me proposes sous chiffre III suppose un minimum de connaissances que visiblement je n'ai pas. Je comprends vaguement certaines choses mais bien peu en vérité. Alors je vais essayer de répondre à certaines questions que tu poses ou de te demander des éclaircissements sur certaines de tes remarques. Mais pour l'instant, je laisserai certains points en suspens, à moins que tu insistes. Pour moi, une chose après l'autre. J'espère que vous aurez de la patience avec moi, car il vous en faudra !!

Une chose encore, j'utilise LNS depuis plus d'un an à satisfaction complète. Cette fois-ci, en changeant de PC, j'ai dû réinstaller LNS avec 4 règles déjà installées sur l'ancien. Je les avais installées telles qu'elles, sans me poser de questions ni configuration particulière. Et ça marchait. Les choses semblent avoir changé. A remarquer que deux règles étaient installées à double, ce que j'ai rectifié.

Je numérote les questions et remarques pour faciliter le dialogue.

1.

J'ai cherché, probablement mal, et ne trouve pas où activer le journal des règles.

2.

Je ne vois pas cette règle. J'ai installé 3 règles, c'est tout. le reste est d'origine sur LNS; je n'ai rien touché. Alors, je veux bien la supprimer.

3.

Mêmes remarques que sous 2.

4.

J'ai installé les règles LNS suivantes, sans toucher à leur configuration:

ftp.rie
IP 47. rie et NortelVPN.rie (voir https://www.wilderssecurity.com/showthread.php?t=129630)
partage.rie (voir https://www.wilderssecurity.com/showthread.php?t=79782)

5.

http://img134.imageshack.us/img134/9210/nouveau14qa.jpg

Voilà ce que je peux faire dans un premier temps. Merci de ta (vos) réponse(s).

 

Bonjour,

Normalement l'interface réseau devrait rester sélectionnée sur la connexion primaire/initiale et non sur le VPN.
Donc vous devriez essayer de spécifier soit (IP) - Look 'n' Stop Driver, soit la carte ethernet (selon l'interface qui sert pour la connexion internet initiale).

Si ça change tout seul, alors sortez du mode automatique et spécifier la en "dur".

Cordialement,

Frédéric

 

Bonjour,

J'ai donc décoché "sélection automatique" et coché une fois "IP LNS driver" ce qui a pour résultat que LNS perd l'adresse IP, et une fois "carte Ethernet". Dans les 2 cas, après redémarrage, la situation reste inchangée.

 

Bonjour,

Vous ne devriez pas obtenir du tout les mêmes logs en changeant l'interface réseau.

Normalement avant de lancer le client VPN vous êtes déjà connecté (sur l'une des 2 interfaces) sur une première adresse IP et Look 'n' Stop doit vous l'afficher dans la page d'accueil (quand la bonne interface parmi les 2 est sélectionnée).

Une fois le client lancé, Look 'n' Stop devrait rester sur cette interface réseau et afficher la même adresse IP.

En sélectionnant l'interface VPN, Look 'n' Stop va afficher l'adresse IP de cette nouvelle connection et filtrer juste cette connection, ce qui n'est en général pas la configuration normale.
Peut être que ça marche différemment avec le clien VPN Cisco.

Sinon, en regardant les premiers logs fournis, on constate que les ports utilisés sont au delà de 5000, par exemple 62215 (peut être normal sur une connexion VPN), dans ce cas il est nécessaire d'ajouter ou de modifier certaines règles pour accépter ces paquets car par défaut Look 'n' Stop autorise juste la plage habituelle 1024-5000 pour ces ports.

Cordialement,

Frédéric

 

Bonjour,

Merci à Frédéric pour sa réponse. Je crois comprendre cette histoire d'interface réseau. Je l'ai laissée sur "automatique".

A propos du port 62515 (et non 62215), curieusement, suite aux tentatives de connexion de VPN Client et Outlook, je l'ai vu cité dans le journal, mais une seule fois depuis mon premier post. Je l'ai ouvert par le journal (clic droit) et appliqué. Mais la problème subsistant, j'ai enlevé cette règle.

Pour avancer un peu, j'attends une réponse à mes questions posées à Climenole (mais peut-être fait-il du surf en Bretagne !). Je patienterai donc.

Deux remarques encore:
1. J'utilise LNS depuis un an. Je n'avais jamais configuré quoi que ce soit, sinon importé les 4 règles et citées plus haut. Ces 4 règles étaient mises en tête de liste. Tout fonctionnait à merveille. Pourquoi cette fois-ci, la même installation exactement sur mon nouveau PC causerait-elle un problème? Je ne comprends pas. Par acquis de conscience, et pour éliminer d'éventuels tripatouillages que j'aurais faits, j'ai désinstallé LNS proprement, puis tout réinstallé, règles comprises. Situation inchangée.

2. Lorsque vous répondez à mes demandes, étant donné mes compétences très très limitées (eh oui !), vous est-il possible de parler sans trop d'expressions techniques et que vos conseils soient opérationnels pour moi. Par exemple: essaie de faire ceci ou celà, à tel ou tel endroit.

Je compte sur vous pour poursuivre la recherche.

Merci beaucoup.

PS. En attendant la résolution du problème, j'ai désactivé LNS et activé le parefeu Windows, hélas !

 

Bonjour,

J'ai toujours un doute sur le fait que l'interface réseau soit bien sélectionnée.

Sans le client VPN lancé et actif, j'aimerais vraiment savoir quelle interface réseau est sélectionnée, quelle addresse IP est affichée dans la page d'accueil (donnez-nous juste les 2 premier chiffres du style 80.76.x.y) et si tout se passe bien.

Est-ce que le nouveau PC utilise vraiment la même version de Windows que votre ancien PC ?

Merci,

Frédéric

 

Bonsoir,

Sans le client VPN activé, l'interface choisie automatiquement est "carte ethernet..." avec adresse IP 192.... (vous demandez les 2 premiers chiffres, mais dans votre exemple vous donnez les deux premiers nombres; il ne me semble pas souhaitable de donner les 2 premiers nombres de 3 chiffres, parce qu'il ne manque plus grand chose pour avoir l'adresse IP complète! Par contre s'il vous faut vraiment les 2 premiers nombres de 3 chiffres chacun, je vous les donne par message personnel).

Tout quoi ? Les connexions Internet ou par messagerie oui, sauf par VPN Client bien sûr.

Quant à la version de XP installée sur ma nouvelle machine, c'est exactement la même que sur l'ancienne, installée depuis le même CD (XP avec SP 2).

 

Bonjour,

Pourriez-vous nous indiquer votre type de configuration Internet (hors VPN):
- type de connexion
- à quoi est reliée votre carte ethernet

Merci,

Frédéric

 

Bonjour,

La connexion Internet est une connexion modem-câble.

La carte Ethernet est reliée à un routeur Netgear.

Les renseignements sont-ils suffisants ?

 

Ok, dans ce cas pourriez ré-obtenir un journal qui met en évidence le problème quand l'interface réseau est sélectionnée dans les options. La procédure doit ressembler à cela
- VPN inactif
- dans les options passer en manuel pour le choix
- cocher la carte éthernet (si pas déjà fait)
- cliquez le bouton appliquer
- dans la page d'accueil, la case connecté à internet est cochée et votre adresse IP 192... est affichée,
- "tout" est Ok (connexion, web, emails...) rien de spécial ne s'affiche dans le journal
- lancement du VPN
- dans la page Accueil, aucun changement (192... continue à être affichée)
- certaines connexions (nous dire quoi) ne passent plus, et le journal montre les packets bloqués => nous le montrer.

Merci,

Frédéric

 

Exactement ça !

Voici ce que donne l'activation de VPN dans le journal:
http://img153.imageshack.us/img153/8638/nouveau1yl8.jpg

Puis je lance Outlook 2003 et récupère normalement mes mails. D'autres essais me semblant nécessaires, je redémarre W XP, recommence la procédure demandée. Cette fois-ci, la récupération de mes mails bloque. Toute connexion Internet est impossible.

 

Bonjour,

Après avoir redémarré windows, à quelle étape cela n'a pas marché exactement ? (après ou avant le lancement du VPN, si après le lancement, donc avant le lancement du VPN vous pouviez récupérer vos emails).

Est-ce que l'interface réseau était toujours bien sélectionée ? ou avez-vous du réellement refaire la procédure entièrement ?

Désolé de toutes ces questions, mais j'ai du mal à savoir dans votre dernier post si le problème est général ou se passe uniquement après le lancement du VPN.

Egalement dans le 1er cas (avant redémarrage), je suppose que tout était Ok, mais vous aviez quand même ces fameuses alertes sur le port 62515 ?

Vous pouvez quand même ré-essayer de mettre une règle qui autorise le port 62515, ce serait bien que le journal ne comporte plus ces alertes.

Cordialement,

Frédéric

 

Frederic,

Je me suis mal exprimé. En fait, je n'ai pas recommencé la procédure, mais j'ai seulement vérifié si les réglages effectués étaient restés, ce qui était le cas.

Cela n'a pas marché après l'activation VPN client, donc seulement à la récupération des mails par Outlook.

Mais : j'ai autorisé le port 62515 et depuis, tout marche bien. J'ai redémarré 4 fois de suite le PC et ai pu récupéré tous mes mails.

Je ne crie pas encore victoire définitivement; j'observe encore quelques temps et donne des nouvelles.

Merci de votre aide. Heureusement que vous étiez là. C'est précieux !

 

J'aurais du commencé par là. Une petite recherche google (sur Cisco 62515) donne:
http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml
(chercher 62515 dans la page)

Enfin il n'était pas inutile de quand même régler l'interface réseau correctement.

A noter il est possible que d'autres ports du type 625xx soient à ouvrir vu la FAQ Cisco.

Cordialement,

Frédéric

 

Depuis le 17 juillet j'ai récupéré mes mails environ 3 fois par jour. Tout fonctionne nickel. Je suis enchanté de ton aide, Frédéric. Mille mercis donc à toi.

A noter que je n'ai pas eu à ouvrir d'autres ports 625xx.