Vérification de l’établissement du tunnel

Depuis un poste client situé sur le site distant, saisissez l’URL de votre site intranet dans un navigateur web. Par exemple : http://nom_site_intranet.

Si vous avez autorisé le protocole ICMP dans les règles de filtrage, vous pouvez également faire un PING depuis le poste vers le serveur intranet.

Vérification dans Stormshield Network Realtime Monitor

Lancez Stormshield Network Realtime Monitor, connectez-vous à l’IPS-Firewall du site principal par le biais du logiciel et cliquez sur le module Traces > VPN. Vérifiez que les phases 1 et 2 se sont correctement déroulées (messages « Phase established »):

Dans le module Tunnels VPN, vous pouvez également visualiser le tunnel ainsi que la quantité de données échangées:

 

Si ce n’est pas le cas, vous pouvez consulter la section Résolution d’incidents – Erreurs communes.

Résolution d’incidents – Erreurs communes

Dans la suite de cette section, l’IPS-Firewall du site distant est appelé « initiator », car il est à l’origine de l’établissement du tunnel pour l’exemple choisi. L’IPS-Firewall du site principal est quant à lui nommé « responder ».

 

Symptôme : Le tunnel entre les équipements est bien établi mais aucun trafic ne semble l’emprunter.

Solution : Vérifiez vos règles de filtrage sur le « responder ». Vérifiez également le routage entre les hôtes (poste client, serveur intranet) et leur passerelle respective (routage statique ou passerelle par défaut).

 

 

Symptôme : Le tunnel ne s’établit pas.

  • Aucun message n’apparaît dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « initiator ».
  • Aucun message n’apparaît dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « responder ».

Solution : Vérifiez le routage entre les hôtes (poste client, serveur intranet) et leur passerelle respective (routage statique ou passerelle par défaut). Vérifiez vos règles de filtrage sur l’« initiator ». Vérifiez également que le tunnel de l’ « initiator » n’est pas en mode « responder only » (onglet Correspondants du menu Configuration > VPN > VPN IPSec).

 

Symptôme : Le tunnel ne s’établit pas.

  • Un message « Negotiation failed due to timeout » en phase 1 est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « initiator ».

  • Aucun message n’est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « responder ».

Solution : La passerelle IPSec distante (« responder ») ne répond pas aux requêtes. Vérifiez que la politique VPN IPSec est activée sur l’IPS-Firewall « responder ». Vérifiez que les objets correspondant aux extrémités de tunnel soient renseignés avec les bonnes adresses IP (généralement des adresses IP publiques).

 

Symptôme : Le tunnel ne s’établit pas.

  • Un message « Negotiation failed due to timeout » en phase 1 est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall  « initiator ».

  • Un message « Negotiation failed » en phase 1 est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « responder ».

Solution : Les équipements tentent de négocier mais ne parviennent pas à s’entendre sur une politique d’authentification. Vérifiez que la clé prépartagée est bien identique sur les deux IPS-Firewalls.

 

Symptôme : Le tunnel ne s’établit pas.

  • Un message « Negotiation failed due to timeout » en phase 1 est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « initiator ».

  • Un message « Could not get a valid proposal » en phase 1 est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « responder ».

Solution : Les équipements tentent de négocier mais ne parviennent pas à s’entendre sur une politique de chiffrement en phase 1 (IKE). Vérifiez que le profil de chiffrement est bien identique sur les deux IPS-Firewalls (groupe Diffie-Hellman, durée de vie maximum...).

 

Symptôme : Le tunnel ne s’établit pas.

  • Un message « Could not get a valid proposal » en phase 2 est présent dans le module Traces > VPN de Stormshield Network Realtime Monitor sur l’IPS-Firewall « responder ».

Solution : Les équipements tentent de négocier mais ne parviennent pas à s’entendre sur une politique de chiffrement en phase 2 (IPSEC). Vérifiez que le profil de chiffrement est bien identique sur les deux IPS-Firewalls (propositions d’authentification, de chiffrement…).