problème 3G + VPN + accès à la DMZ

par **sage74** » 02 Mars 2007 16:08

Bonjour à vous

voila ma configuration actuelle : j'ai un ipcop et derrière une machine dans la DMZ en (192.168.11.1), et mon local (192.168.1.0 255.255.255.0).
j'ai ajouté zerina afin d'utiliser openvpn pour mes utilisateurs nomades.

sur ma machine en 192.168.11.1 j'heberge le serveur mail (mail.*****.com et plusieurs petit site webmail.****.com).

petite explication de l'utilisation : j'ai deux cas d'utilisation :
- un nomade qui a une connexion ADSL, se connecte par vpn au réseau. résultat impecable. tout marche comme je le voudrais. c'est à dire qu'il a accés au machine sur le réseau afin de travailler, et il a aussi accès à ses mails et au sites hebeger localement. cependant je ne sais pas si pour récuperer ses mails il passe par le vpn ou alors si il passe par sa connexion ADSL. je pense qu'il passe par sa connexion ADSL.

- un nomade qui n'a pas de connexion internet. alors il utilise une carte 3G Vodafone, pour se connecter au réseau mobile, et ensuite à notre VPN, qui lui permet ainsi d'avoir un accès internet par notre vpn. mais voila le problème. c'est que une foi connecté sur le vpn, il n'a plus accès à ses mails, et au sites hébergés sur la machine 192.168.11.1.

pour résoudre ce problème en attendant de trouver une solution stable, je fais modifier le fichier HOST localement de la machine lorsque il utilise le 3G + VPN, je lui fais rajouter les lignes :
- 192.168.11.1 mail.*****.com
- 192.168.11.1 webmail.****.com

et la ensuite il arrive à retrouver ses mails et accéder au webmail.

1er question : est ce c'est vraiment cela mon problème ? un problème de route ?
2e question : j'ai donc essayé de rajouter cette ligne dans le fichier rc.firewall.local dans /etc/rc.d :
/sbin/iptables -I FORWARD -i tun0 -o eth1 -d 192.168.11.1 -j ACCEPT

mais mon fichier n'était pas vide, donc je savais pas trop où le rajouter, je vous fais une copie de mon fichier :
#!bin/sh
#used for private firewall rule

#see how we were called
case "$1" in
start)
##add your 'start' rules here
#copfilter START - do not modify
/etc/rc.d/init.d/copfilter-proxsmtpd config-fwrules
#copfilter END - do not modify
/sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m mport --dports * -j DROP

#Added for Zerina start -BEGIN
/usr/local/bin/openvpnctrl --create -chains-and-rules
#Added for Zerina start - END

;;
stop)
##add your 'stop' rules here
#Added for Zerina stop -BEGIN
/usr/local/bin/openvpnctrl --delete -chains-and-rules
#Added for Zerina start - END

;;

esac

Voila mon fichier, j'ai essayé de mettre un peu partout la règle qui aurait permis de donner accès aux seveurs 192.168.11.1. mais cela ne fonctionnait pas. ou alors je m'y prenais mal.

Merci de m'éclairer dans ce tunnel svp.

Bien cordialement.

par **ccnet** » 06 Mars 2007 19:59

pour résoudre ce problème en attendant de trouver une solution stable, je fais modifier le fichier HOST localement de la machine lorsque il utilise le 3G + VPN, je lui fais rajouter les lignes :
- 192.168.11.1 mail.*****.com
- 192.168.11.1 webmail.****.com

J'ai très récement installé et testé une solution du même type. Dès lors que la résolution de nom fonctionne correctement sur le réseau local je n'ai rencontré aucun problème. Si l'ajout de ces informations dans le fichier host local résoud le problème c'est bien un problème de résolution et non un problème de routage. Maintenant j'ignore ce que sont les routes par défaut sur les machines en dmz.
Dans le cas traité récement nous avions besoin d'accéder à un serveur Domino, un serveur Netware 5. Dès lors que le dns interne et le routage sont corrects tous fonctionne sans que nous ayons besoin d'ajouter des informations dans le fichier host.

Tout cela sans utiliser autre chose que l'interface ipcop. Si ce n'est, a vérifier, une ligne dans openvpn.conf.

par **haDidi** » 12 Mars 2007 17:12

Salut Sage74.

petite explication de l'utilisation : j'ai deux cas d'utilisation :
- un nomade qui a une connexion ADSL, se connecte par vpn au réseau. résultat impecable. tout marche comme je le voudrais. c'est à dire qu'il a accés au machine sur le réseau afin de travailler, et il a aussi accès à ses mails et au sites hebeger localement. cependant je ne sais pas si pour récuperer ses mails il passe par le vpn ou alors si il passe par sa connexion ADSL. je pense qu'il passe par sa connexion ADSL.

As-tu des règles de transfert de ports actives en direction de ton serveur de mails (192.168.11.1) ?
En gros, est ce que tu autorises tes utilisateurs à se connecter au serveur de mails sans utiliser la liaison VPN ?

Si c'est le cas, il y a de fortes chances que tes nomades utilisent simplement une connexion non cryptée pour accéder au serveur de mails.

Il me semble également que Zerina n'autorise par défaut, que le routage VPN -> Green. Pour qu'un client nomade accède à la DMZ, il faut ajouter manuellement une route dans le fichier de configuration d'Openvpn sur chacun de tes clients, ou alors intégrer directement la route dans le fichier "server.conf" (/var/ipcop/ovpn/server.conf) de ton IPCOP.

La route doit ressembler à ca : push "route 192.168.11.0 255.255.255.0"

pour résoudre ce problème en attendant de trouver une solution stable, je fais modifier le fichier HOST localement de la machine lorsque il utilise le 3G + VPN, je lui fais rajouter les lignes :
- 192.168.11.1 mail.*****.com
- 192.168.11.1 webmail.****.com

Ce problème à l'air d'être simplement lié à la résolution DNS, puisqu'avec ton fichier HOST, le souci est résolu. Dans Zerina, tu peux renseigner à tes clients nomades l'adresse IP de ton serveur DNS avec le bouton => Advanced Server options => DNS

2e question : j'ai donc essayé de rajouter cette ligne dans le fichier rc.firewall.local dans /etc/rc.d :
/sbin/iptables -I FORWARD -i tun0 -o eth1 -d 192.168.11.1 -j ACCEPT

J'en deduis qu'avec cette ligne, tu souhaite autoriser le trafic VPN -> Orange ou plutôt VPN -> Serveur de mails.
En fait tu n'as pas besoin d'ajouter cette ligne dans le fichier rc.firewall.local, car Zerina autorise déjà le trafic VPN -> Orange. Il faut simplement lui preciser la route à suivre, comme je te l'ai expliqué plus haut.

Tiens nous au courrant

par **sage74** » 15 Mars 2007 11:51

Bonjour,
Merci pour vos réponses.

1. j'ai essayé de mettre l'adresse : push "192.168.11.0 255.255.255.0" directement sur le client.
resultat : toujours pareil, impossible d'accéder au serveur mail.

2. je suis persuadé que c'est pas un problème de résolution de nom, car quand je fais un : tracert mail.****.com, il essaye de passé par une route qui met inconnu en 10.**.**.**, qui correspondrait plus à la passerelle de la carte 3G (mais je ne suis pas sur).

et je ne pense pas que ce soit un problème de resolution de nom car un utilisateur nomade avec une connexion ADSL + VPN, arrivent à accéder au serveur mail. (mais dans ce cas, je pense que la connexion vers le serveur mail passe pas l'ADSL, et pas par le VPN, je suis meme sur).

C'est ce qui se passe avec le 3G+ VPN : il essaye d'accéder au serveur mail par le 3G, alors que je voudrais qu'il passe par le VPN. Or, j'ai bien demandé de router tout par le VPN.
Pour info : l'abonnement 3G ne nous permet pas d'aller sur internet mais seulement à un vpn, c'est pour cela que j'ai demandé de tout router vers le VPN, pour qu'ils puissent avoir accès à internet par le VPN.

3. je suis un peu perdu. je comprend pas trop comment cela se passe.

Merci d'avance pour votre aide.

Cordialement.

par **ccnet** » 15 Mars 2007 13:21

Pour info : l'abonnement 3G ne nous permet pas d'aller sur internet mais seulement à un vpn

Je ne suis pas certain de comprendre ... Sur internet signifie http ou réseau public ?

La connexion 3G que votre opérateur vous fourni ne sortirai t- elle pas sur un vpn de cet opérateur ?

Avec ce genre de connexion, pour l'un de mes clients, j'ai une adresse ip publique sur la carte 3G lorsque l'utilisateur est connecté, or ici vous semblez indiquer une adresse 10.*.*.* . Dans ce cas l'utilisateur va sur internet via le vpn et donc l'infrastructure réseau de l'entreprise et non en direct. Ce que je souhaite.

Tout semble assez confu dans ce que vous nous rapportez. J'en viens à me demander si l'abonnement 3G dont vous disposez correspond à ce que vous souhaitez faire.

C'est ce qui se passe avec le 3G+ VPN : il essaye d'accéder au serveur mail par le 3G, alors que je voudrais qu'il passe par le VPN. Or, j'ai bien demandé de router tout par le VPN.

Si votre conf fonctionne le VPN sera établi sur la connexion 3G, cette dernière lui sert de support.

2. je suis persuadé que c'est pas un problème de résolution de nom, car quand je fais un : tracert mail.****.com, il essaye de passé par une route qui met inconnu en 10.**.**.**, qui correspondrait plus à la passerelle de la carte 3G (mais je ne suis pas sur).

Ce qui ne prouve rien du point de vue de la résolution. Par contre le routage ...

et je ne pense pas que ce soit un problème de resolution de nom car un utilisateur nomade avec une connexion ADSL + VPN, arrivent à accéder au serveur mail. (mais dans ce cas, je pense que la connexion vers le serveur mail passe pas l'ADSL, et pas par le VPN, je suis meme sur).

Ce qui tend à montrer que votre vpn ne fonctionne pas du tout ... Dans l'ipcop dans l'état des connexion on voit si une connexion vpn est active, d'où elle vient et où elle va avec quel port.

Un peu de méthode. Un utilisateur en ADSL parvient il à établir une connexion VPN (visible dans ipcop), sans même parler d'atteindre le serveur de mail pour le moment ? Bien sur on repart sur une config propre en suivant les infos données par haDidi.
Encore une fois je viens de faire fonctionner ce type de config il y a 10 jours à peine sans grosse dificulté.

par **sage74** » 15 Mars 2007 14:43

Pour info : l'abonnement 3G ne nous permet pas d'aller sur internet mais seulement à un vpn

La connexion 3G que votre opérateur vous fourni ne sortirai t- elle pas sur un vpn de cet opérateur ?

effectivement, la connexion 3G sort sur un vpn de leur opérateur, puisque la carte 3G obtient une adresse en : 10.76.***.***

le problème pourrait donc venir de là.

Tout semble assez confu dans ce que vous nous rapportez. J'en viens à me demander si l'abonnement 3G dont vous disposez correspond à ce que vous souhaitez faire.

oui il correspond à ce que l'on veut faire. On veut avoir un accès à notre Réseau d'entreprise. et Notre réseau d'entreprise nous permet ensuite d'aller sur internet.

C'est ce qui se passe avec le 3G+ VPN : il essaye d'accéder au serveur mail par le 3G, alors que je voudrais qu'il passe par le VPN. Or, j'ai bien demandé de router tout par le VPN.

Si votre conf fonctionne le VPN sera établi sur la connexion 3G, cette dernière lui sert de support.

explication : je n'ai pas d'accès internet. Cependant je dispose de ma carte 3G. je brance ma carte 3G. je me connecte au réseau 3G, qui me donne droit à me connecter à mon réseau d'entreprise. Je me connecte via OpenVpn à mon ipcop, donc à mon réseau d'entreprise. A partir de là, je peux aller sur internet, MAIS je ne peux plus accéder à mon serveur de mail, ainsi que à tout mes sites web hébergés sur cette machine.
A savoir, que sur cette meme machine : 192.168.11.1, j'ai mon serveur de mail et j'ai aussi 2 autres sites accéssible depuis n'importe où (connexion internet requise bien sur).

2. je suis persuadé que c'est pas un problème de résolution de nom, car quand je fais un : tracert mail.****.com, il essaye de passé par une route qui met inconnu en 10.**.**.**, qui correspondrait plus à la passerelle de la carte 3G (mais je ne suis pas sur).

Ce qui ne prouve rien du point de vue de la résolution. Par contre le routage ...

la résolution de nom se fait, mais le problème est que, lorsque je demande mail.****.com, il ne renvoie pas 192.168.11.1, mais mon adresse publique. et ensuite ipcop fait la direction, et apache se charge d'envoyer sur le bon site.

et je ne pense pas que ce soit un problème de resolution de nom car un utilisateur nomade avec une connexion ADSL + VPN, arrivent à accéder au serveur mail. (mais dans ce cas, je pense que la connexion vers le serveur mail passe pas l'ADSL, et pas par le VPN, je suis meme sur).

Ce qui tend à montrer que votre vpn ne fonctionne pas du tout ... Dans l'ipcop dans l'état des connexion on voit si une connexion vpn est active, d'où elle vient et où elle va avec quel port.

Mon vpn fonctionne, seulement le mail.****.com ainsi que mes sites web sont accessibles depuis n'importe où. (pas besoin de VPN pour y accéder).
Mais dans mon ce cas, j'ai besoin du 3G pour pouvoir me connecter à mon VPN, et j'ai besoin de mon VPN pour avoir accés à Internet. et je pensais que une fois sur Internet, je pourrais avoir accés à mon webmail.***.com ainsi que à mon serveur mail.

Un peu de méthode. Un utilisateur en ADSL parvient il à établir une connexion VPN (visible dans ipcop), sans même parler d'atteindre le serveur de mail pour le moment ? Bien sur on repart sur une config propre en suivant les infos données par haDidi.
Encore une fois je viens de faire fonctionner ce type de config il y a 10 jours à peine sans grosse dificulté.

Oui un utilisateur en ADSL parvient à établir une connexion VPN visible dans ipcop. il arrive meme à accéder au serveur mail, ainsi que tout les sites dispo sur la machine 192.168.11.1.

mais le problème que je soulève est le cas d'un utilisateur connecté en 3G, puis en VPN via OpenVpn.

J'espère vous avoir éclairer sur mon problème, et en espèrant trouver des pistes.
je vous remercie.

Cordialement.

par **ccnet** » 15 Mars 2007 15:30

Votre configuration vpn est fonctionnel d'un point de vue ipcop + openvpn.
Maintenant avec la carte 3g vous essayer de faire passer un vpn (openvpn) dans un autre vpn (celui de l'opérateur). Et cela ne fonctionne pas. C'est en cela que je dis que je ne suis pas certain que l'abonnement 3G actuel correspondonte à vos besoins. Pour moi quelque hose qui ne fonctionne pas ne répond pas au besoin.
Je ne suis pas du tout certain que l'on puisse faire fonctionner cela. Après tout si l'opérateur vous fourni un vpn pourquoi voulez vous en ajouter un second ?

Conserver Open VPN pour les connexions via adsl, donc non sécurisées par définitions et utiliser le vpn de l'opérateur, donc sécurisé, pour les connexions via la carte 3G ne vous convient pas ?

par **sage74** » 15 Mars 2007 15:51

ccnet a écrit:Votre configuration vpn est fonctionnel d'un point de vue ipcop + openvpn.
Maintenant avec la carte 3g vous essayer de faire passer un vpn (openvpn) dans un autre vpn (celui de l'opérateur). Et cela ne fonctionne pas. C'est en cela que je dis que je ne suis pas certain que l'abonnement 3G actuel correspondonte à vos besoins. Pour moi quelque hose qui ne fonctionne pas ne répond pas au besoin.
Je ne suis pas du tout certain que l'on puisse faire fonctionner cela. Après tout si l'opérateur vous fourni un vpn pourquoi voulez vous en ajouter un second ?

Conserver Open VPN pour les connexions via adsl, donc non sécurisées par définitions et utiliser le vpn de l'opérateur, donc sécurisé, pour les connexions via la carte 3G ne vous convient pas ?

L'abonnement que l'on a, est un abonnement VPN Illimité par le 3G.
On a pas opté pour un abonnement internet par le 3G, car trop chers.

Notre abonnement nous sert seulement à nous connecter à notre réseau d'entreprise via OpenVpn. Puis notre réseau fournit ainsi l'accès Internet.

En tout cas, en modifiant le fichier Host localement sur les clients, en disant d'aller pointer sur 192.168.11.1, lorsqu'il veut aller sur mail.***.com, cela fonctionne.
Donc je vais resté sur cette manipulation. Au final, c'est seulement deux # à ajouter ou à enlever, suivant l'utilisation ou pas de la carte 3G.

Mais à par l'utilisation que je fais de mon abonnement, et de la carte 3G. Quelles autres utilisations pourrais je en faire ?
La carte 3G, me connecte à leur VPN en 10.76.**.** et ensuite ? qu'est ce que cela m'apporte ?

Merci beaucoup en tout cas.

Cordialement.

par **ccnet** » 15 Mars 2007 16:18

La carte 3G, me connecte à leur VPN en 10.76.**.** et ensuite ? qu'est ce que cela m'apporte ?

Dans les solutions de ce type que j'ai pratiqué, en 3g ou autre chose, le principe reste le même, c'est ensuite l'opérateur qui route le traffic du vpn qu'il a mit à votre disposition sur le réseau de votre entreprise et c'est lui qui gère les problèmes de routage, de ports (Chez FT ils sont spécialistes du vpn qui ne passe que certains ports pour des raisons de sécurité disent ils, ensuite c'est 150 € pour ouvrir un port non standard). En clair c'est l'opérateur qui se charge de mettre en place ce que vous étiez en train d'esayer de faire avec openvpn sur 3G.

Maintenant si quelqu'un sait faire passer openvpn dans celui de l'opérateur pourquoi pas si ce n'est que cela ne sert à rien.