Pas de trafic entre le client vpn et le lan

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Pas de trafic entre le client vpn et le lan

Messagepar sioca » 01 Juil 2005 14:32

Bonjour,

Je n'arrive pas a faire communiquer un client (Sentinel) et le LAN derriere un IPcop. Lorsque j'essaye de joindre une station (192.168.3.27 par exemple) du LAN ou meme l'interface lan de l'ipcop, je n'obtiens pas de reponse.

Un traceroute à partir du client me donne ceci :

C:\>tracert -d 192.168.3.27

Détermination de l'itinéraire vers 192.168.3.27 avec un maximum de 30 sauts.

1 * * * Délai d'attente de la demande dépassé.
2 * * * Délai d'attente de la demande dépassé.
3 * * * Délai d'attente de la demande dépassé.

Du coté IPcop, le traceroute vers l'ip privé du client sort directement en utilisant les meme hop qu'un traceroute vers l'adresse IP publique du client sans la finir.

Je suppute qu'il y a un probleme de route au niveau de l'ipcop (d'ou le fait qu'il n'y a pas de reponse au ping ou traceroute)
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar krisnalada » 02 Juil 2005 15:19

Tu essayes de faire quoi exactement ? connecter un pc d'internet à ton réseau local via un vpn ?
Si c'est le cas :
il faut que ton pc qui veux connuniquer avec le reseau local s'adresse à l'ip "public" de ton réseau local et non pas 192.168.3.27, ca ne marchera pas ca
tu as ouverts les bons ports sur ipcop et sur les pcs (dans le lan et celui qui est connecté via internet) ?
tu as configurer la redirection de traffic de ton serveur vpn dans le lan et ton ipcop, pour que le moment venu ta machine qui communique avec le lan puisse trouver le server ?
Avatar de l’utilisateur
krisnalada
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 24 Jan 2005 19:09
Localisation: UK

Messagepar sioca » 04 Juil 2005 09:48

krisnalada a écrit:Tu essayes de faire quoi exactement ?


Je voudrais connecter mon portable au bureau.

krisnalada a écrit:connecter un pc d'internet à ton réseau local via un vpn ?


Oui


krisnalada a écrit:Si c'est le cas :
il faut que ton pc qui veux connuniquer avec le reseau local s'adresse à l'ip "public" de ton réseau local et non pas 192.168.3.27, ca ne marchera pas ca


192.168.3.27 est simplement une station dans le lan que je voudrais acceder via le vpn

krisnalada a écrit:tu as ouverts les bons ports sur ipcop et sur les pcs (dans le lan et celui qui est connecté via internet) ?


Je pense avoir ouvert tous les ports :
10000 TCP pour Cisco
51 TCP pour l'AH
500 UDP/TCP pour l'IKE
50 TCP pour l'ESP
47 pour le GRE
4500 pour le NAT-T
80 UDP pour l'ESP Cisco
3456 TCP pour Cisco

krisnalada a écrit:tu as configurer la redirection de traffic de ton serveur vpn dans le lan et ton ipcop, pour que le moment venu ta machine qui communique avec le lan puisse trouver le server ?


c'est à dire ?


Voici la representation de la configuration réseau :
Image[/quote]
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar sioca » 04 Juil 2005 14:35

J'ai reinstallé IPcop et sentinel SSH. Je n'arrive toujours pas a faire passer le trafic. Mais en vérifiant les routes sur l'ipcop et sur ma station, j'obtiens :


Sur l'ipcop

root@ipcop:~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.4.100 $IP_GW_INTERNET 255.255.255.255 UGH 0 0 0 ipsec0
$SUBNET_INTERNET 0.0.0.0 255.255.255.240 U 0 0 0 eth2
$SUBNET_INTERNET 0.0.0.0 255.255.255.240 U 0 0 0 ipsec0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 $IP_GW_INTERNET 0.0.0.0 UG 0 0 0 eth2

Vu l'interface utilisé pour 192.168.4.100 (qui se trouve etre ma station), je pense la route est bonne. Par contre sur ma station, j'ai :

Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.4.1 192.168.4.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.4.0 255.255.255.0 192.168.4.100 192.168.4.100 20
192.168.4.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.4.255 255.255.255.255 192.168.4.100 192.168.4.100 20
224.0.0.0 240.0.0.0 192.168.4.100 192.168.4.100 20
255.255.255.255 255.255.255.255 192.168.4.100 192.168.4.100 1
255.255.255.255 255.255.255.255 192.168.4.100 2 1
Passerelle par défaut : 192.168.4.1


Je suppose donc que mon probleme vient de la, il n'y a pas d'interface ipsec0 sur ma station. Que faut il ?
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar antolien » 04 Juil 2005 15:27

Bonjour,

La première chose à vérifier c'est si le nat-traversal est coché sur ton ssh.
(ADVANCED/Enable Network Address Translation Traversal)
Vu que tu es derrière un routeur.

Ensuite, je ne sais pas comment on gère ça dans ipcop, mais normalement il faut définir une ip virtuelle.
J'entends par là qu'il faut que l'adresse ip définie pour l'interface vpn ne dois être sur aucun des deux réseaux. sinon il y aura un problème de routage.

Si ton tunnel s'établi bien(ipsec SA Established dans les logs), c'est plutôt l'adresse ip virtuelle du client vpn qu'il faudra changer.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar sioca » 04 Juil 2005 16:07

Bonjour,

La première chose à vérifier c'est si le nat-traversal est coché sur ton ssh.
(ADVANCED/Enable Network Address Translation Traversal)
Vu que tu es derrière un routeur.


Oui j'ai bien coché le NAT-T comme indiqué sur http://forums.fr.ixus.net/viewtopic.php?p=161103#161103

Ensuite, je ne sais pas comment on gère ça dans ipcop, mais normalement il faut définir une ip virtuelle. J'entends par là qu'il faut que l'adresse ip définie pour l'interface vpn ne dois être sur aucun des deux réseaux. sinon il y aura un problème de routage.


Je viens de rajouter une interface virtuelle dans sentinel ssh : 192.168.5.10, maintenant j'ai en route :

sur l'ipcop
192.168.5.10 $IP_GW_INTERNET 255.255.255.255 UGH 0 0 0 ipsec0

et sur ma station
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.4.1 192.168.4.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
$IP_IPCOP_INTERNET 255.255.255.255 192.168.4.1 192.168.4.100 1
192.168.3.0 255.255.255.0 192.168.5.10 192.168.5.10 1
192.168.4.0 255.255.255.0 192.168.4.100 192.168.4.100 20
192.168.4.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.4.255 255.255.255.255 192.168.4.100 192.168.4.100 20
192.168.5.0 255.255.255.0 192.168.5.10 192.168.5.10 20
192.168.5.10 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.5.255 255.255.255.255 192.168.5.10 192.168.5.10 20
224.0.0.0 240.0.0.0 192.168.4.100 192.168.4.100 20
224.0.0.0 240.0.0.0 192.168.5.10 192.168.5.10 20
255.255.255.255 255.255.255.255 192.168.4.100 192.168.4.100 1
255.255.255.255 255.255.255.255 192.168.5.10 192.168.5.10 1

Mais rien ne passe (ping et traceroute)

Si ton tunnel s'établi bien(ipsec SA Established dans les logs), c'est plutôt l'adresse ip virtuelle du client vpn qu'il faudra changer.
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar antolien » 04 Juil 2005 16:56

Pour info, si ton os est un XP Pro SP2, je pense que ssh sentinel ne marchera pas avec une ip virtuelle.

Je te conseille de passer par Softremote qui lui fonctionne avec le SP2, mais dans un premier temps de tester sans le sp2 voir si c'est ça.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar sioca » 05 Juil 2005 10:00

Oui j'ai XP Pro SP2. Mais cela marche encore moins bien avec SoftRemote :

09:56:28.488
09:56:28.559 My Connections\Test - The certificate "sioca's SOCIETE SI ID" is invalid.
09:56:28.599 Failed to initiate negotiation.
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar sioca » 06 Juil 2005 15:21

Finalement ça marche, j'ai simplement desinstallé le logiciel Cisco VPN :)
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron