VPN toujours

par **loup** » 19 Oct 2002 09:34

salut , j ai lu les docs citées sur un autre post concernant les Vpn et IPcop, j'ai une question auquelle je n'ai pas trouver de réponse. Je vous dresse le décors et je pose ma question. Imaginez une agence principale "A" et trois agences délocalisées "B,C,D". Question: est il possible de faire un vpn entre A et B, A et C, et A et D, le tout en même temps, sans trop de pb? @+ ciao <IMG SRC="images/smiles/icon_biggrin.gif">

par **bri2** » 19 Oct 2002 12:15

ATTENTION loup, je ne te réponds pas en spécialiste puisque je n'ai toujours pas trouvé quelqu'un pour s'amuser au VPN avec moi (toi, peut-être ???), mais je réponds OUI pour plusieurs raisons : 1/ C'est l'intérèt principal d'un VPN 2/ Dans le GUI de IPcop, on peut ajouter plusieurs connections 3/ En théorie rien ne s'y oppose Alors on y va !!!!

par **antolien** » 19 Oct 2002 13:07

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2002-10-19 12:15, bri2 a écrit: ATTENTION loup, je ne te réponds pas en spécialiste puisque je n'ai toujours pas trouvé quelqu'un pour s'amuser au VPN avec moi (toi, peut-être ???), mais je réponds OUI pour plusieurs raisons : 1/ C'est l'intérèt principal d'un VPN 2/ Dans le GUI de IPcop, on peut ajouter plusieurs connections 3/ En théorie rien ne s'y oppose Alors on y va !!!! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Tenez nous au courant pendant le déroulement de votre test, car cela doit intéresser plus d'une personne. 2 questions cependant : -Comment on ajoute des connexions dans le GUI d'ipcop ? -Une fois que tout fonctionne à merveille, le A peut joindre toutes les agences, mais est-ce que les agences B,C,D peuvent se joindre entre elles(à priori oui mais...)

par **sfrld** » 19 Oct 2002 13:59

Bri2 fais moi signe on s'attaque au vpn quand tu veux Perso j'ai deja fait marcher mais avec qq pb qd meme euh... j'ai qd meme quelques imperatifs mais je pense etre decide au moins autant que toi a faire marcher le vpn entre 2 ou plusieurs IPCOP pourquoi pas E-SMITH aussi... J'utilise ipcop chez moi + 2 au boulot et bientot 1 de plus Fais moi signe sur ce post ou en prive CA VA MARCHER ! ! !

par **bri2** » 19 Oct 2002 15:45

SFRLD, je suis bien sur OK, si mes souvenirs sont bons, le premier et principal problème et de le faire avec une IP dynamique !!!! Je me trompe ??? Sinon on peut démarrer, on suit la même procédure ensemble , oulala çà va être bon !!! Mais non chéri, c'est pas à toi que je parle, excusez la <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">

par **loup** » 20 Oct 2002 07:48

Salut BRI2 entierement dispo a partir de mardi pour effectuer VPN. c'est de chez moi, donc aucun risques majeur à casser des configs en millieu pro!! ma conexion est ADSL ,netissimo 1, et IPcop bien-sûr. je change d'IP tous les jours, voila pour la connection: maintenant, sur la machine qui sert de test, y a t il, des trucs à faire en particulier, du style , partage d'un dossier spécialement nommé pour voir ce que l'on fait, etc, etc, bref tiens moi au courant. <IMG SRC="images/smiles/icon_confused.gif"> voilà, je te filerai mon N° de tel dans message privé lundi soir pour démarrer mardi matin et voir comment on s'y prends. @+ ciao

par **wann** » 20 Oct 2002 12:33

Ya pas mal de doc sur le site d'ipcop, en français qui plus est ! Donc... <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR</a> <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_utiliser_des_VPNs_avec_d" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_utiliser_des_VPNs_avec_d</a> Pour ce qui est de faire du VPN entre plusieurs site, il n'y a pas de problème, ça marche (à condition de pouvoir différencier les site par rapport à leur adressage et d'être rigoureux)

par **jhiezely** » 27 Oct 2002 02:24

<IMG SRC="http://jhiezely.free.fr/ArchiVPN.jpg" BORDER="0"> Mon probleme est le suivant : Je souhaite créer un VPN entre les 2 FW IPCop. Le premier souci c'est que je ne vois pas du tout comment il va gerer le routeur du reseau de droite et comment le reseau de gauche va atteindre la patte RED du FW de Droite...

par **antolien** » 27 Oct 2002 02:56

oui, une question : A quoi sert ton routeur puisque ton ipcop EST un routeur/firewall ? A moins qu'il s'agisse d'un modem/routeur... Dans tous les cas, je ne vois pas ou est le blème. Si ton routeur est bien configuré, il renvoies tous les paquets de tous les protocoles vers ton 192.168.1.x/24. Puis ton Ipcop, à comme passerelle par défault le 192.168.1.1 ainsi que les dns de ton FAI sur le red. Dans ce cas , ça devrai fonctionner correctement. Maintenant pitetre ke c'est un routeur/firewall alors là, il va falloir ke ton machin fasse pass trough, cad : laisser passer le vpn. Penser aussi à virer toutes les anciennes règles de NAT...

par **jhiezely** » 27 Oct 2002 11:56

NB Il y a une erreur sur le schema... l'adresse du poste B est 10.0.1.1/24... Le Modem/Routeur ADSL fait une redirection de tout ce qui arrive sur sa patte publique vers la patte RED du FW. Donc ma config VPN devrait etre la suivante : Left: 212.194.27.115 Left next hop: %defaultroute Left subnet: 192.168.2.0/24 Right: 212.11.36.94 Right next hop: %defaultroute Right subnet: 10.0.1.0/24 mais bon ca ne marche pas... (NB je n'ai fait aucun route add...) J'ai lu qqe part qu'il fallait mettre un ip_masquering.o ou un truc dans ce genre, mais je sais plus ou, ca fait deux ou trois jours que je cherche...) <IMG SRC="images/smiles/icon_cry.gif">

par **cakay** » 28 Oct 2002 12:38

J'ai le même besoin depuis un certain temps... J'ai tout essayé, tout lu, et énormémement cherché, je suis malheureusement tombé sur une difficulté que je n'arrive point à solutionner : - impossible du site B de voir les sous réseaux du sit A - impossible du site A dans un réseau autre que celui de l'IPCOP d'accéder au site B évidemment vous imaginez les problèmes que cela engendrent <IMG SRC="images/smiles/icon_frown.gif"> celui donc qui a un site A avec : 192.168.0.0 -> 192.168.0.1 (IPCOP) 192.168.1.0 192.168.2.0 -> 192.168.2.1 (une machine lambda) site B 192.168.100.0 -> 192.168.100.1 (IPCOP) 192.168.100.2 (une machine lambda) et que machine lambda site A ping machine lambda site B je serais heureux qu'il me fasse (et nous fasse) partager sa solution <IMG SRC="images/smiles/icon_boxe2.gif">

par **jhiezely** » 28 Oct 2002 12:54

Bon apres qques BUG, je recommence tout. Donc je vais partir sur la 0.1.2PreC4 qui me parit bien. Donc je vous tiens au courant de mon avancement...

par **wann** » 28 Oct 2002 16:42

Hello, Le problème vient du fait que ton IPCop de droite n'a pas d'adresse publique mais utilise une connexion masquée (masquerading) pour accéder à internet. Cela pose quelques soucis pour monter un VPN IPSec. Il faut donc utiliser un module spécial : <a href="http://lt.nett.org/ip_masq_mods/ip_masq_ipsec.o" target="_blank">http://lt.nett.org/ip_masq_mods/ip_masq_ipsec.o</a> "Description: VPN masquerading module, enables use of IPsec-based VPN clients through an ip masquerading server." Tu devrais pouvoir trouver de la doc intéressante sur cette page : <a href="http://www.impsec.org/linux/masquerade/ip_masq_vpn.html" target="_blank">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a> Bon courage.

par **jhiezely** » 29 Oct 2002 00:42

Le module ip_masq_ipsec.o permet sur une machine linux qui fait du NAT de faire passer IPSEC, mon probleme c'est que c'est le Routeur EICON DIVA 430 SE qui fait le NAT et qui se situe entre mon adresse IP publique et mon serveur IPCOP. En resume: Je ne peux pas pinger mon IPCOP directement depuis l'exterieur sur l'adresse 192.168.1.2 (Normal) Je peux le pinguer de l'exterieur en utilisant l'adresse ip publique, en fait dans ce cas je tombe sur mon routeur qui ensuite nat et forward donc au 192.168.1.2 qui forward la reponse au routeur qui me la forward Avec IPSec ca ce complique : Les paquets se present avec l'adresse IP 192.168.1.2, donc mon IPCOP gauche les rejettent. Si je mets l'adresse IP publique, IPSEC droite me dit qu'il n'a pas d'interface pour cette adresse.....

par **antolien** » 29 Oct 2002 01:22

par contre ce que tu pourrai essayer c'est mettre 212.194.27.115 comme rézo gauche pour la config du rézo droit car peut être que ton routeur cache l'adresse ip public du coté exterieur. où alors, l'adresse ip privée du routeur (à mon avis c plus ça d'ailleurs). essayes donc l'adresse ip privée du routeur, mais là je parle en théorique... qui ne tente rien n'a rien...

VPN toujours

Qui est en ligne ?