Ipcop + Zerina: Problème de configuration

[TechnX]

Bonjour tout le monde

Tout d'abord pour les présentations, je suis un jeune admin réseau de 20ans, parisiens, et élève en BTS Informatique de Gestion.

J'ai pris la décision d’ajouter aux connexions TSE sur le parc informatique que je gère une connexion VPN pour proposer l'échange de fichier.

Quelques docs plus tard, je monte sur mon IPCOP OpenVPN Zerina. La version, d'il y a quelques jours, mon ipcop à jour aussi.

Mon install se passe nickel mais les problèmes de configuration arrivent (je suis très très loin de maîtrisé le VPN):

Je vous décris l'essentiel du réseau:

Un réseau de classe C avec des adresses sur les sous réseaux 192.168.0.x et 192.168.1.x.

Le serveur Ipcop possède 3 cartes réseaux:
- Le réseau red (Une freebox),
- Le réseau blue (Qui n'on pas accès à certain serveurs sur green et qui ne possède aucun serveur "privé"),
- Le réseau green (=de confiance, qui a donc accès à des serveurs "privés").

Et j'ai aussi, entre autre, un serv2003 (192.168.0.10) qui s'occupe du DHCP, AD... qui possède deux cartes réseaux (une vers green et une vers blue).

J'ai bien redirigé les ports dans la freebox

Les ip des clients vont de 192.168.0.0 à 192.168.0.100 et 192.168.1.0 à 192.168.0.200.

Mon souci est que lorsque j'active OpenVPN, je n'ai plus de connexion internet (je l'active sur red pour info).
Je ne sais pas non plus qu'elles sont les informations à entrer (pour le OpenVPN Subnet).

Mon serveur VPN pourrait être en 192.168.0.150 avec une vingtaine d'adresse ip disponible (151->169).


Voili voilou, je suis bien sur disponible pour toute(s) question(s)...


Bonne journée à vous,

[grome_bis]

Bonjour,

Je ne comprends pas pourquoi tu active le mode routeur de la freebox. Pourquoi ne pas laisser la freebox en bridge et laisser faire le boulot à Ipcop ? C'est comme çà normalement que çà doit fonctionner ...

[ccnet]

Vou seriez bien inspiré de lire très attentivement ceci :

http://zerina.de/?q=documentation/howto-roadwarrior

car :

Mon serveur VPN pourrait être en 192.168.0.150 avec une vingtaine d'adresse ip disponible (151->169).

est parfaitement impossible compte tenu de l'adressage de votre lan. Le sous réseau utilisé par openvpn doit ne pas être employé ailleur. Utilisez par exemple 192.168.3.0/255.255.255.0 comme sous réseau open vpn. Votre accès internet continuera à fonctionner lorsque vous démarrez Zerina.

[TechnX]

Merci pour vos deux réponses

Je ne comprends pas pourquoi tu active le mode routeur de la freebox. Pourquoi ne pas laisser la freebox en bridge et laisser faire le boulot à Ipcop ? C'est comme çà normalement que çà doit fonctionner ...

Tout simplement car il était activé avant que j'arrive, sa fait un sous réseau en plus si quelqu'un passe la Freebox, sa couûte rien en tout cas

http://zerina.de/?q=documentation/howto-roadwarrior

Je vais relire la doc plus attentivement

est parfaitement impossible compte tenu de l'adressage de votre lan. Le sous réseau utilisé par openvpn doit ne pas être employé ailleur. Utilisez par exemple 192.168.3.0/255.255.255.0 comme sous réseau open vpn.

Ok, je vais essayer ça demain matin
Pour l'hostname, je dois le mettre dans le sous réseau 192.168.3.x ou 192.168.3.x

[grome]

ben moi qu'en je suis arrivé dans la structure pour laquelle je bosse il y avait un routeur netopia. Je l'ai viré et j'ai mis un ipcop derrière mon modem adsl.

Je comprend le coup de la barrière suplémentaire mais au niveau config c'est vraiment ce faire ch... pour se faire ch... De plus un ipcop sera tout à fait efficace pas besoin d'avoir un routeur en plus. Techniquement je ne sais pas si il y a de bonnes raisons de faire çà, mais imagine un peu à chaque fois que tu vas devoir faire de la config il faudra répercuter sur le routeur. Quand quelque chose ne fonctionnera pas, il faudra aller voir ce qui se passe sur le routeur, sur l'ipcop.

Enfin c'est juste mon avis et çà n'engage que moi.

[TechnX]

Pour le moment, je laisse comme ça (3-4 redirectoion de port et puis c'est tout), mais c'est clair que si un jour j'ai de la grosse config à rajouté je le dégagerais
Pour le cou de la connexion internet qui se coupait... C'est réglé, merci CCnet

[TechnX]

Ok, ça marche pour moi, il me reste à mettre en place l'accé par le VPN au serveur privé de green, si quelqu'un à une idée...

[grome]

tu peux développer un peu. STP
merci

[TechnX]

J'accède donc à mon réseau VPN depuis l'extérieur, j'atterri donc sur le sous réseau 192.168.3/24 comme définie précédemment, j'ai un serveur interne à mon réseau green en 192.168.1.x, je souhaite que mes utilisateurs du réseau VPN (qui sont actuellement des utilisateurs de green) puissent accédé à ce serveur. Je dois faire des modif dans iptables ? C'est sensé marché par défaut ?

[grome]

Quand tu dis ...

je souhaite que mes utilisateurs du réseau VPN (qui sont actuellement des utilisateurs de green) puissent accédé à ce serveur.

tu parles des utilisateurs distants qui grâce au tunnel peuvent accèder au réseau, c'est çà ?

Ce serveur il fait quoi exactement ?

[TechnX]

tu parles des utilisateurs distants qui grâce au tunnel peuvent accèder au réseau, c'est çà ?
Ce serveur il fait quoi exactement ?

Il héberge la base de donné utilisé par les utilisateurs de green.
Pour exemple, monsieur dupont (membre de green) vient tout les jours à l'entreprise, demain il ne peux être sur le site pour travailler, sa nourice étant malade. Il se connecte donc en VPN pour travailler. Le serveur lui donne une adresse en 192.168.3.x, mais le serveur ayant une adresse en 192.168.1.x, ils ne peuvent communiquer. Je cherches donc à résoudre le problème. Simple routage probablement, mais comment Ajout d'une rêgle dans le firewall

P.S: Sa n'est que des utilisateurs de green qui utilise la liaison VPN

[grome]

C'est peut être un abus de language mais je considère que les utilisateurs de green et les utilisateurs distants ne sont pas les mêmes. Mais bon ...

Tu as plusieurs fàçon d'aborder le problème tout dépend de l'architecture logicielle de tes applications. C'est pour çà que je te demandais de développer un peu. Tu parles d'un serveur de base de données. ok mais il fait quoi ce serveur. Il y a une appli client server qui tourne dessus, une appli web ?

Je vais t'expliquer ce que j'ai fait chez moi, peut être que cela te permettra d'y voir plus clair.

J'ai un site principal derrière un ipcop sur lequel j'ai des serveurs win2k (un seul domaine). Ces serveurs font tourner plusieurs services, exchange, sql serveur, terminal service, et d'autres. J'ai des applis qui tournent sur le site principal. Certaines sont des applis web, d'autres sont des applis clients serveur. Les applis web sont accessibles par le biais du navigateur (oui c'est mieux en général), les applis clients serveur sont accessibles via le TSE. Donc pas d'applis installées sur les postes clients. Pour la messagerie c'est dispo aussi bien avec Outlook web access qu'avec un outlook 2000, 2003. A noter que le serveur exchange ne fait que récupérer les messages de chaque boite aux lettre utilisateur définie chez notre FAI. La récupération se fait par le biais d'un connecteur (le tout est configuré dans exchange).

Maintenant concernant les utilisateurs distants j'en ai de deux type. Il y a des agences et des utilisateurs plus nomade type commercial. Les agences ont leur propre ipcop et les nomades se connecte en roadwarrior. Bref les uns et les autres accèdent aux mêmes choses quelques soit la manière dont le tunnel est construit.

Les utilisateurs distants lorsqu'ils se connectent sont identifiés par le pdc du domaine. Leur messagerie fonctionnent de la même manière que ceux du site principal. Ils ont accès aux même appli de la même manière. Dans l'explorateur windows (c'est quand même un plus lent, et il faut être fin pédagogue pour leur expliquer pourquoi) ils ont accès aux mêmes ressources.

Pour faire ceci j'ai du m'appuyer sur le service DNS et WINS. J'ai définis des zones de recherches qui correspondent aux réseaux distants. Là désolé mais il faudra éplucher le fonctionnement des services, enfin un minmum en tout cas. L'aide microsoft te sera utile ... Et puis il faudra configurer sur l'ipcop distants les options du dhcp netbios-dd-server et netbios-node-type un peu d'aide à cet endroit http://www.delafond.org/traducmanfr/man/man5/dhcp-options.5.html

Oui car je ne l'ai pas dit mais les ipcop distants sont dhcp pour les utilisateurs distants, sur le site principal c'est un serveur win2k qui est dhcp. donc le dhcp est desactivé sur l'ipcop du site principal.

Voilà peut être qu' il y a des éléments de réponses là dedans. A la base je suis pas admins réseau alors il m'a fallu du temps pour faire çà, de nombreuses semaines, de nombreux tests. Alors si il y a des choses qui choquent merci de me le faire savoir.

[TechnX]

J'ai survollé ton post, je le lirais plus en détails tout à l'heure et te répondrais. En tout cas merci pour ton exemple