Du VPN... compliqué... ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar antolien » 23 Déc 2002 20:39

impossible de faire fonctionner le vpn entre bri2 et moi car il nous manque des précisions pour établir celui ci. version 1.2pre5a pour les 2cotés. <BR> <BR>notemment divers paramètres comme : <BR>"IP locale du Réseau Privé Virtuel" <BR> <BR>et "%defaultroute" <BR> <BR>situation/ architecture : <BR> <BR>d'un coté droit une @ip fixe. <BR>avec une architecture du type RED+ORANGE+GREEN <BR>avec du RED = <BR>192.168.1.0 mask 255.255.255.240 <BR>@ip ipcop 192.168.1.1 <BR> <BR>et GREEN = <BR>192.168.10.0/24 <BR>@ip ipcop 192.168.10.1 <BR> <BR>du côté gauche, on a une @ip dynamique. <BR>avec une architecture "normale", ppoe pour le red et 192.168.0.0/24 pour le green <BR> <BR> <BR>Bon alors, le "%defaultroute" je sais pas ce que c'est et le "IP locale du Réseau Privé Virtuel" non plus. <BR> <BR>Please Help !!! <IMG SRC="images/smiles/icon_bawling.gif">
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar joebar » 23 Déc 2002 21:00

Salut, <BR> <BR>Bon alors le %defaultroute% ce pour le paramètre Prochain hote de gauche, et le IP locale du réseau prive virtuel tu laisse par defaut. <BR> <BR>@+ <BR> <BR>Ya un Howto pour ca en francais en plus. <BR> <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar antolien » 23 Déc 2002 21:19

j'ai lu le howto, mais en aucun cas il ne parle de ces paramètres. j'ai peut être lu vite, je vais y rejeter un oeuil. <BR> <BR>à propos, quels numéros de ports sont utilisés par ipsec ?
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar OXO90 » 23 Déc 2002 21:34

Ca c'est une question qu'elle est bonne. <BR> <BR>Regarde ici <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.chebucto.ns.ca/~rakerman/port-table.html" TARGET="_blank">TCP-Ip Ports</A><!-- BBCode u2 End --> <BR> <BR>ou ici <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.iana.org/assignments/port-numbers" TARGET="_blank">Liste des ports TCP/IP</A><!-- BBCode u2 End --> <BR> <BR> <BR>Ipsec utilise les ports : <BR> <BR> <!-- BBCode ulist Start --><UL> <BR>pkt-krb-ipsec 1293/tcp PKT-KRB-IPSec <BR>pkt-krb-ipsec 1293/udp PKT-KRB-IPSec <BR></UL><!-- BBCode ulist End --> <BR>et pour le NAT <BR> <BR> <!-- BBCode ulist Start --><UL> <BR>ipsec-msft 4500/tcp Microsoft IPsec NAT-T <BR>ipsec-msft 4500/udp Microsoft IPsec NAT-T <BR></UL><!-- BBCode ulist End --> <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">
"Passe Le Fun Autour De Toi ..."
Avatar de l’utilisateur
OXO90
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 29 Déc 2001 01:00
Localisation: Strasbourg

Messagepar antolien » 23 Déc 2002 23:05

Merci OXO, <BR> <BR>alors pour moi, dans ma tête, ces ports là devraient être ouverts, mais non en fait... <BR> <BR>Et bien comment qu'on fait ? ça reste en close <BR> <BR>petite précision, la modif pour le dns dynamique -> <BR>- Editer le fichier /home/httpd/cgi-bin/vnp.cgi/vpnconfig.dat <BR>- dans le paragraphe commencant par mettre en commentaire (#) les lignes concernant les paramètres "LEFT", "LEFTNEXTHOP", "RIGHT", "RIGHTNEXTHOP" (2 ou trois lignes par paramètre suivant les versions...) <BR>- Enregistrer les modifs <BR>- Sur chaque IPCop, configurer à l'identique la connexion VPN : <BR> <BR>Name : Connexion VPN <BR>Left : site1.dyndns.org <BR>LeftNextHop : %defaultroute <BR>LeftSubnet : <BR> <BR>Right : site2.dyndns.org <BR>RightNextHop : %defaultroute <BR>RightSubNet : <BR> <BR> <BR>ça nous à fait un beau plantage, d'autant plus que de mon coté, l'ip est fixe... <BR> <BR>si vous avez une idée, merci de vous manifester car nous sommes en galère...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar joebar » 24 Déc 2002 09:23

tu pourrait lire le Howto un peu mieux et aussi chercher ds le forum, ya des 10aines de topics la dessus. <BR> <BR>Pour les dns dynamiques, il faut juste mettre en commentaires les lignes qui concerne LEFT et RIGHT. <BR> <BR>Et surtout avoir les memes parametres de chaques cotés. <BR> <BR>@+
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar antolien » 24 Déc 2002 18:09

c'est sympa joebar, je l'ai lu et relu ce satané howto. <BR> <BR>je sais bien qu'il faut la même chose de chaque coté ! <BR> <BR>je pense plutôt que le problème viens de ma config car j'ai une interface rouge en @ privées. <BR> <BR>192.168.1.1 pour ipcop et 192.168.1.2 comme passerelle par défaut. <BR> <BR>à mon avis le problème viens d'ici mais j'ignore comment palier à ce problème. <BR> <BR>je vais fouiller dans le forum encore. <IMG SRC="images/smiles/icon_bawling.gif">
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar wann » 24 Déc 2002 20:47

Allez, je me fends de 2 petits liens : <BR> <BR>Le HowTo : <BR><!-- BBCode auto-link start --><a href="http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR" target="_blank">http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopVPNHowtoFR</a><!-- BBCode auto-link end --> <BR>(regarde la Feuille de travail, à la fin). <BR> <BR>L'aide pour les VPNs dynamiques : <BR><!-- BBCode auto-link start --><a href="http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_utiliser_des_VPNs_avec_d" target="_blank">http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_utiliser_des_VPNs_avec_d</a><!-- BBCode auto-link end --> <BR> <BR>Si ton IP rouge est adresse privée, ça ne marchera jamais... Relis bien tout ça, regarde avec attention les schémas et réfléchis un peu à la façon dont ça fonctionne et ça devrait tourner rentrer...
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar antolien » 25 Déc 2002 06:53

Merci wann; enfin un conseil de connaisseur. <BR> <BR>en réponse à: <BR>"Si ton IP rouge est adresse privée, ça ne marchera jamais..." <BR> <BR>et bien comment faire ? <BR>je ne pense pas avoir une architecture très complèxe ! <BR> la plupart des entreprises que j'ai rencontré ont ce type d'archy. <BR> cad un routeur (qui utilise le NAT d'ipcop par défaut ), et une plage d'@ privées pour le RED <BR>(lien entre le routeur et le RED d'ipcop->bonne sécurité je pense) <BR> <BR>de toute façon le problème viens sûrement de chez moi ,et je vois une certaine utilité à ce que ça marche de cette manière. <BR> <BR>sinon, j'ai vraiment vraiment bien bien lu ce howto, vous me prenez pour qui ???? <BR> <BR>si ce problème est RESOLU , JE m'ENGAGE à rédiger une seconde partie de HOWTO POUR IPCOP 1.2 un peu plus appronfondi... <BR> <BR>par ailleurs, le vpnconfig.dat est différent des versions précédentes, il y a une ligne "warnmessage" supplémentaire qui, SI elle n'est pas en commentaire nous procure un "internal server error" . <BR> <BR>Alors ? <BR> <BR> <BR>
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar wann » 26 Déc 2002 11:57

les IP gauche et droite doivent être publiques dans la mesure où elles servent à identifier les 2 extrémités du VPN...
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar antolien » 26 Déc 2002 12:18

Donc il faudrai que je change ma config ? <BR> <BR>comment je peux faire pour avoir mon eth2 avec une addresse publique, me mettre en ppp ? je n'ai qu'une addresse publique, <BR>ce que je ne comprend pas c'est que le forward de ports fonctionne bien.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 26 Déc 2002 12:59

je viens de réagir à un truc, c'est que les entreprises qui ont ce genre d'architecture, ont plusieurs addresses publiques. et donc une ip pour le modem et une autre pour le firewall ! <BR> <BR>alors que moi j'ai mis ça en privé ! je suis bête, <BR>donc j'ai plus qu'a essayer de mettre mon truc en ppoe, et ça ira mieux je pense... <BR>du coup j'ai plus qu'a attendre que les 7CD debian soient terminés de télécharger pour essayer ça ... <BR> <BR>merci bcp wann, j'ai mis du temps à comprendre le pourquoi du comment.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité