ipcip 1.3 VPN et route IP

[poudre]

Bonjour, <BR> <BR>j'utilise actuellement une machine Linux IPcop 1.3 patch 6 comme Firewall pour un réseau 192.168.1.0 /24 la machine IPcop possède deux cartes réseau et deux adresses ip fixes une privé l'autre Colt. <BR>Sur cette machine est configuré un VPN pour permettre à un ou plusieurs PCs de venir se connecter sur le réseau privé 192.168.1.0/24 depuis l'extérieurs ce ou ces PC possèdent une adresse IP fixe Internet (FREE). <BR> <BR>Le firewall IPcop est configuré de manière à laisser passer une connexion SSH depuis les adresses des PCs extérieurs ceci afin de prendre la main sur la machine IPcop en cas de pb sur le VPN. <BR> <BR>Maintenant mon soucis (autrement cela ne serait pas drôle). <BR> <BR>Après un reboot de la machine IPcop pas de problème il est tout a fait possible de se connecter depuis les PCs extérieurs via SSH sur le Firewall. <BR>Maintenant à partir d'un PC extérieur on active la connexion VPN vers le réseau privé. A ce moment la connexion via SSH, si elle est active, tombe ce qui est normal vu que les routes IP viennent de changer à cause de l'activation du VPN. <BR> <BR>On peut donc reprendre la main via SSH sur la machine IPcop mais en passant par le VPN vers l'adresse privé de la machine IPcop. <BR> <BR> <BR>Maintenant on ferme le VPN depuis le PC extérieur (ipsec -off) et c'est la que cela ne va plus j'ai un problème de route qui reste positionnées sur la machine IPcop du genre: <BR> <BR> # route -n <BR>Kernel IP routing table <BR>Destination Gateway Genmask Flags Metric Ref Use Iface <BR>81.57.163.120 62.23.48.122 255.255.255.255 UGH 0 0 0 ipsec0 <BR> <BR>81.57.163.120 est l’adresse fixe du pc extérieur. <BR>62.23.48.122 est la route par défaut du Firewall <BR> <BR>et donc plus moyen de prendre la main comme au début depuis le pc extérieur via SSH sur l'adresse publique du firewall IPcop. <BR> <BR> <BR>Quelqu'un aurait il une idée sur comment éliminer cette route au moment de la fermeture du VPN ? <BR> <BR> <BR>Merci Pascal. <BR>

[belugha]

A mon avis c'est normal car tu fais tomber le service en faisant ipsec -off pas la VPN. <BR> <BR>Essaye plutôt la commande : # ipsec auto --down lenomVPN <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">

[poudre]

Bonjour Belugha <BR> <BR>Certainement vrai ta réponse, <BR> <BR>mais je fais tomber le vpn du coté de la machine Windows2000 pas du coté IPcop, donc pas de prompt #, mais juste deux ou trois parametre possibles comme: <BR> <BR>Microsoft Windows 2000 [Version 5.00.2195] <BR>(C) Copyright 1985-2000 Microsoft Corp. <BR> <BR>c:program filesresource kit>ipsec -help <BR>IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller <BR>Getting running Config ... <BR>Microsoft's Windows 2000 identified <BR>Usage: Ipsec [-off] [-delete] [-debug] [-nosleep] <BR> <BR>Ce qui ne laisse pas beaucoup de choix... <BR> <BR>Pascal.

[belugha]

Peut être une question idiote que je vais te poser mais si tu es connecté via ssh, tu es en mode console sur Ipcop à partir de ton Win 2000, non ? <IMG SRC="images/smiles/icon_confused.gif">

[poudre]

Exact, <BR> <BR>je peux donc essayer de scier la branche sur laquelle je suis assis ( j'y ai pensé après ma première réponse), mais cela ne fonctionne quand même pas, la route est toujours présente après avoir lancé ta commande . <BR> <BR>Pascal.

[belugha]

Bon ben alors la seule méthode qu'il me reste c'est # route del xx.xx.xx.xx sur la console Ipcop <IMG SRC="images/smiles/icon_wink.gif">

[tomtom]

extrait de la manpage de ipsec : <BR> <BR>"Normally, pluto's route to a destination remains in place when a --down operation is used to take the connection down (or if connection setup, or later automatic rekeying, fails). This permits establishing a new connection (perhaps using a different specification; the route is altered as necessary) without having a ``window'' in which packets might go elsewhere based on a more general route. Such a route can be removed using the --unroute operation (and is implicitly removed by --delete)." <BR> <BR> <BR>ca parait clair.. <BR>La bonne reponse est donc : <BR> <BR> ipsec auto --delete lenomVPN <BR> <BR>tu pourrais utiliser --unroute, mais evidemment... tu perds la connexion, et le vpn reste up <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>t.

[poudre]

Merci tomtom et belugha <BR> <BR>Effectivement la commande ipsec auto --delete VPNname fonctionne, elle detruit la route mais peut être aussi le VPN je verifierai depuis chez moi ce soir. <BR> <BR>il est vrai que si cette commande est trop violente il me reste route del.. <BR> <BR>Pascal.