VPN Dynamique entre 2 IPCop (début d'un HowTo)

par **EmpereurZorg** » 26 Juin 2002 12:20

Je n'ai pas trouvé de site expliquant clairement la mise en place d'un VPN entre 2 IPCop avec IP dynamiques... Si vous pouviez corriger, compléter et que cela devienne une mini doc, ce serai pô mal non ?! __________________ Création des DynDns : - S'inscrire sur le site de DNS Dynamique de son choix (no-ip.com, dyndns.org...) et créer 2 adresses site1.dyndns.org et site2.dyndns.org. - Dans la rubrique < Services/ Dynamic Dns > d'IPCop, configurer avec les identifiants et nom d'hôte choisi (sans oublier de cocher 'enabled'... <IMG SRC="images/smiles/icon_biggrin.gif"> ), puis faire un 'force update' - Depuis un poste relié au net ou directement sur l'interface SSH des IPCop, faire un ping des 2 'siteX.dyndns.org'. En cas de soucis, vérifiez bien que vous n'avez pas fait de faute dans les noms/password avant de poster sur un forum ! <IMG SRC="images/smiles/icon_biggrin.gif"> __________________ Mise en place du VPN - Editer le fichier /home/httpd/cgi-bin/vnp.cgi/vpnconfig.dat - dans le paragraphe commencant par <if ($cgiparam{'ACTION'} eq $tr{'add'})> mettre en commentaire (#) les lignes concernant les paramètres "LEFT", "LEFTNEXTHOP", "RIGHT", "RIGHTNEXTHOP" (2 ou trois lignes par paramètre suivant les versions...) - Enregistrer les modifs <IMG SRC="images/smiles/icon_rolleyes.gif"> - Sur chaque IPCop, configurer à l'identique la connexion VPN : Name : Connexion VPN Left : site1.dyndns.org LeftNextHop : %defaultroute LeftSubnet : <sous réseau gauche/classe> Right : site2.dyndns.org RightNextHop : %defaultroute RightSubNet : <sous réseau droite/classe> Pasword : comme son nom l'indique... Cocher : "Enabled" Compression ( beta3) : pour accélerer les transferts ?! (non testé) - Une fois la connexion ajoutée, retourner dans la partie "Control", vérifier que VPN est bien coché, puis cliquer sur Restart de chaque coté. __________________ Si tout c'est bien passé, ça doit se mettre au vert <IMG SRC="images/smiles/icon_biggrin.gif"> __________________ Bon, c'est de cette manière que j'ai procédé, le VPN est établi. Je cherche maintenant plusieurs choses : - je n'arrive pas à joindre les machines de chaque côté. Il faut certainement ajouter manuellement des routes sur les firewall/machines connectées ?! Le but de l'opération etant de prendre à distance des PC par Dameware (eq. VNC), faut il ouvrir des ports ou bien le VPN se charge de tous les forward entre les 2 réseaux ? - A chaque reconnexion, le VPN ne se 'restart' pas automatiquement. En fouillant sur le net j'ai trouvé la méthode mais j'ai pas encore testé. Voila l'adresse : <a href="http://ipcop.no-ip.com/ipcsupport/modules.php?op=modload&name=Downloads&file=index&req=viewdownloaddetails&lid=27&ttitle=VPN_script_v2" target="_blank">http://ipcop.no-ip.com/ipcsupport/modules.php?op=modload&name=Downloads&file=index&req=viewdownloaddetails&lid=27&ttitle=VPN_script_v2</a> Merci de votre aide <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

par **wann** » 26 Juin 2002 13:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Si vous pouviez corriger, compléter et que cela devienne une mini doc, ce serai pô mal non ?! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ce que tu présentes est déjà assez complet. Reste à expliquer le principe de la notation du masque en nombre de bits et à préciser que droite est droite des 2 côtés (de même pour gauche). <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Je cherche maintenant plusieurs choses : - je n'arrive pas à joindre les machines de chaque côté. Il faut certainement ajouter manuellement des routes sur les firewall/machines connectées ?! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non, c'est parfaitement inutile car ces routes nouvelles sont créée à l'établissement du VPN. Si tu tapes la commande 'nestat -r' tu verras que l'apparition d'une interface "ipse0" pour router vers le réseau distant. En tapant 'ipsec barf | more' tu auras également toutes les informations relatives à l'établissement du VPN. C'est très complet. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le but de l'opération etant de prendre à distance des PC par Dameware (eq. VNC), faut il ouvrir des ports ou bien le VPN se charge de tous les forward entre les 2 réseaux ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non tout passe par le tunnel créé, comme si tu étais dans un réseau local. la première vérification à effectuer est un ping d'une machine distante (réseau vert distant). <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> - A chaque reconnexion, le VPN ne se 'restart' pas automatiquement. En fouillant sur le net j'ai trouvé la méthode mais j'ai pas encore testé. (j'ai pas l'adresse www sur moi, mais je la poste ce soir si personne ne la donne avant) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Sur IPCop, c'est tout simple, il suffit de rajouter la ligne de commande permettant de relancer automatiquement le démon de VPN à la fin du fichier de connexion ppp. Là, c'est tout de mémoire car je n'ai rien sous la main pour vérifier. Je crois qu'il faut entrer : 'ipsecctrl R' (en respentant la même syntaxe, quotes ou doubles quotes) à la fin du fichier "ppp.up"... Joe Bar devrait pouvoir préciser ça <IMG SRC="images/smiles/icon_smile.gif"> @+ Wann

par **joebar** » 26 Juin 2002 19:06

Oui c'est bien ca, tu rajoute ca à la fin du ip-up dans /etc/ppp et ca roule tout seul. En fait c'est ce qu'il ont fait sur la beta 0.1.2b3 system('/usr/local/bin/ipsecctrl','R'); @+

par **xavier** » 26 Juin 2002 22:52

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>Si vous pouviez corriger, compléter et que cela devienne une mini doc, ce serai pô mal non ?! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> excellente idée, c'est dans ce sens qu'il faut aller <IMG SRC="http://www.freegaia.com/smileys/enaccord/enaccord8.gif"> _________________ <a href=http://zalowe.homeip.net/gallery target=blanc>Quelques photos sur un SME</a>

par **EmpereurZorg** » 26 Juin 2002 23:45

Je viens de rajouter dans mon premier post le lien avec le script pour automatiser les reconnexion VPN. C'est "in english" dans le texte mais je n'ai pas trop le temps de tester pour le moment. Toujours est-il que malgré une connexion "OPEN" entre mes 2 IPCop (une beta3 d'un côté et une 1.1 de l'autre), je ne fait pas encore grand chose : - "côté beta3", je ping le firewall "coté 0.1.1" mais pas les machines du réseau, - "côté 0.1.1", je ne vois rien du tout, ni le firewall opposé et encore moins les machines (c'est là que ça coince apparament !) J'aurais plus de temps la semaine prochaine pour tout passer en beta 3 et/ou résoudre le pb...

par **xavier** » 29 Juin 2002 16:34

par **cakay** » 01 Juil 2002 20:16

Bonsoir <IMG SRC="images/smiles/icon_wink.gif"> Je profite de ce HowTo pour exposer à nouveau mon problème J'ai, sur un site A, un IPCOP. Ce site A à plusieurs réseaux - 192.168.0.0, 192.168.1.0 etc... Mon IP Internet est fixe. Mon IPCOP est sur le réseau 192.168.0.0 J'ai, sur un site B, un IPCOP. Ce site B à comme réseau 192.168.100.0/24. Ma connexion Internet est ADSL. Je crée un VPN entre A et B Si d'une machine du site B, 192.168.100.2, je fais un ping sur une machine du site A, ping 192.168.0.2, sur le réseau de IPCOP le ping est réussi Si je fais un ping sur 192.168.1.2 à ce moment là plus de réponse et inversement bien sûr <IMG SRC="images/smiles/icon_frown.gif"> Pourquoi n'arrive-je pas à voir mes autres réseaux <IMG SRC="images/smiles/icon_confused.gif"> Y'a-t-il une option pour traverser les réseaux ? j'ai pourtant mis le masque adéquat je pense : 192.168.0.0/16 dans subnet réseau A Merci pour l'aide et la lumière que vous pourriez apporter à ce mystère <IMG SRC="images/smiles/icon_help.gif">

par **EmpereurZorg** » 01 Juil 2002 21:55

remise en forme pour voir si j'ai tout compris <IMG SRC="images/smiles/icon_smile.gif"> : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Site A : A1=192.168.0.0 (IPCOP) A2=192.168.1.0 IP Internet : fixe. Site B : 192.168.100.0 (IPCOP) IP Internet : ADSL. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ok !? <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> VPN entre A et B, ping B vers A : - vers 192.168.0.2 : réussi. - vers 192.168.1.2 : foiré </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ok !? <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> j'ai pourtant mis le masque adéquat je pense : 192.168.0.0/16 dans subnet réseau A </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Bah les adresses 192, c'est pas /24 plutôt ? Ensuite si ton IPCop est sur le réseau A1, je pense qu'il faut ajouter une route sur la A2, style ROUTE ADD 192.168.1.0 255.255.255.0 Ceci dit, je me débrouille avec des bribes de souvenirs de cours réseaux et pis <a href="http://www.commentcamarche.net/internet/ip.php3..." target="_blank">http://www.commentcamarche.net/internet/ip.php3...</a> On fait comme on peut, mais au moins on progresse ! <IMG SRC="images/smiles/icon_biggrin.gif">

par **cakay** » 01 Juil 2002 23:22

la route à A2 a été ajouté dès le départ <IMG SRC="images/smiles/icon_wink.gif"> route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.254 à moins que...je rajoute cette route sur le PC en réseau B <IMG SRC="images/smiles/icon_confused.gif"> concernant le mask, je mets /16 car le réseau B se connecte sur le subnet A qui a un réseau avec plus de 800 machines. donc un mask à /24, 254 machines, enfin je cherche <IMG SRC="images/smiles/icon_wink.gif">

par **cakay** » 02 Juil 2002 17:31

après un traceroute, je constate que c'est IPCOP qui fait barrage <IMG SRC="images/smiles/icon_eek.gif"> cela ne viendrait-il pas des règles IPCHAINS qui n'accepte pas le forward des mes différents segments <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_help.gif"> plize c'est quand même nul de ne pas pouvoir dialoguer avec les différents segments de son réseau <IMG SRC="images/smiles/icon_frown.gif">

par **wann** » 02 Juil 2002 18:59

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Bah les adresses 192, c'est pas /24 plutôt ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Pas nécessairement ! Même si l'on associe souvent un masque de classe C (255.255.255.0) à une adresse de classe C (192.x.x.x à 223.x.x.x), on peut tout à fait utiliser des masques de classe B (255.255.0.0) ou A (255.0.0.0) ainsi que faire du subnetting ou du supernetting... Toutes les combinaisons sont envisageables ! <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> concernant le mask, je mets /16 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Dans ton cas, il s'agit d'un masque de classe B (255.255.0.0) qui englobe à la fois tes réseau A1, A2 et B ! En effet, avec un masque de classe B, la partie réseau de l'adresse se limite aux 2 premiers octets (c'est à dire 192.168), le reste servant à définir les hosts. Pour que ça marche, essaie la config suivante : - du côté A : 192.168.0.0/21 (de 192.168.0.1 à 192.168.7.254) - du côté B : 192.168.100/24 (de 192.168.100.1 à 192.168.100.254) <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> après un traceroute, je constate que c'est IPCOP qui fait barrage. cela ne viendrait-il pas des règles IPCHAINS qui n'accepte pas le forward des mes différents segments ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non, je pense que ça vient simplement d'un problème de masque.

par **wann** » 05 Juil 2002 12:09

<IMG SRC="images/smiles/icon_up.gif"> par ce que ça le mérite... Qui se propose de rédiger un beau how-to à partir des informations recueillies ? Qui a essayé le script donné en référence ? Cakay, ton VPN fonctionnet-til désormais ? (mieux vaut créer un nouveau topic pour s'étendre sur ton sujet) ... @+ wann

par **pharaon** » 05 Juil 2002 13:09

<IMG SRC="images/smiles/icon_up.gif"> et pour se connecter a partir d'un poste isolé (98 ou xp ) sur ipcop qq'un a des tuyaux <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_help.gif">

par **wann** » 05 Juil 2002 15:28

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2002-07-05 13:09, pharaon a écrit: <IMG SRC="images/smiles/icon_up.gif"> et pour se connecter a partir d'un poste isolé (98 ou xp ) sur ipcop qq'un a des tuyaux <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_help.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Pour ça également, je suis hyper demandeur d'informations ! Malheureusement, je ne crois pas qu'IPCop supporte les connexions "road warrior" pour le moment.

par **cakay** » 07 Juil 2002 21:09

non Wann, ça ne fonctionne toujours pas <IMG SRC="images/smiles/icon_frown.gif"> je vais essayé avec eSmith 5.5 la partie VPN et voir si j'ai le même problème dans ma table de routage j'ai bien spécifié les routes mais rien à faire <IMG SRC="images/smiles/icon_boxe2.gif"> c'est vraiment dommage car je touchais presque à la perfection avec cet outil <IMG SRC="images/smiles/icon_biggrin.gif">

VPN Dynamique entre 2 IPCop (début d'un HowTo)

Qui est en ligne ?