[RESOLU] IPCOP avec VPN + Internet ?

[Graffiti]

Bonjour à tous et meilleurs voeux pour 2008.

Je viens vers vous aujourd'hui car je suis utilisateur d'IPCOP dans une configuration "normale" (VERT - ROUGE - BLEU Wifi) depuis plusieurs mois sans rencontrer de problème majeur.

Cependant, je met en place un réseau VPN entre plusieurs sites et j'aurai voulu utiliser la patte BLEUE ou ORANGE de l'IPCOP pour faire passer le flux du VPN.

Cela donne le VERT pour mon réseau local, le ROUGE pour l'internet et le BLEU ou le ORANGE pour le VPN :



Pensez-vous qu'il soit possible de monter une configuration comme celle-ci et d'utiliser l'IPCOP pour router le trafic vers Internet quand c'est nécessaire et vers le VPN quand c'est pour joindre un autre site ?

Faut-il que j'installe 2 IPCOP (1 pour la partie internet et 1 pour la partie VPN) ?

Mes questions vont vous sembler peut-être un peu ridicules mais ma maitrîse des réseaux est loin d'être parfaite.

Merci pour vos réponses.

Graffiti.

[ccnet]

A la base IPCOP n'est pas conçu pour cela. C'est à dire pouvoir choisir l'interface sur laquelle on va faire transiter le flux vpn. Dans IPCOP, par constructon si l'on peut dire, le rôle des interfaces est défini à l'avance et des règles de sécurité, routage et autres sont liées à cette affectation prédéfinie des interfaces.

Si c'est vraiment cela que vous souhaitez faire il faudrat, je pense, vous tourner vers une autre solution. Pfesense éventuellement. Je ne dis pas que ce n'est pas possible dans IPCOP, mais à quel prix ...

Ensuite il y a peut être une autre façon de concevoir une solution répondant à vos besoins. Je m'interroge sur un point. Le réseau de votre opérateur (il me fait furieusement penser à une solution Oleane qui à l'époque était basée sur Numéris et dont j'ai oublié le nom) n'est il pas déjà un vpn ? Si c'est le produit auquel je pense, l'accès internet à partir du réseau opérateur n'est pas possible en configuration standard.

Vous pourriez aussi, en utilisant les fonctionnalités vpn tel que conçues dans ipcop, vous passer du réseau opérateur qui vous est facturé. L'intégralité du traffic inter site (hébergeur inclu) transitant via internet en vpn.

[Graffiti]

Merci pour votre réponse.

Effectivement l'IPCOP n'est pas vraiment fait pour l'utilisation que je veux (doit) en faire. Je ne peux déroger à l'utilisation d'un réseau VPN opérateur et je dois donc trouver la solution la plus adéquate dans ce cas là.

Je pensais qu'en modifiant la configuration iptables j'aurai pu rediriger une partie du trafic vers mon VPN ?

[ccnet]

...
Je pensais qu'en modifiant la configuration iptables j'aurai pu rediriger une partie du trafic vers mon VPN ?

Je ne suis pas certain que ce ne soit pas possible, probablement oui mais pas seulement avec iptables car vous devrez aussi changer le routage. Mais vous aller perdre tout ce qui fait l'efficacité d'IPCOP lorsque'on l'utilise dans son périmètre d'application. Plus rien ne sera gérable par l'interface prévue et le moindre changement deviendrat critique. Franchement je le déconseille.

Votre problème n'est pas basique. Un de mes clients utilise une configuration semblable, mais avec un PIX. Ce n'est plus le même contexte, ni le même prix.

je dois donc trouver la solution la plus adéquate dans ce cas là.

Je pense qu'il serait utile que vous regardiez Pfsense de près.

Vous ne m'avez pas dit une chose : le réseau opérateur est déjà un vpn ? Si oui je ne vois pas pourquoi vous ajouteriez "par dessus" le vpn IPCOP (en supposant que cela fonctione).

Je ne peux déroger à l'utilisation d'un réseau VPN opérateur

Pourquoi ? C'est juste de la curiosité. Je m'interesse toujours aux contraintes des environnements réels.

[Graffiti]

Je pense qu'il serait utile que vous regardiez Pfsense de près.

Je vais regarder cela de très près, merci pour la référence.

Vous ne m'avez pas dit une chose : le réseau opérateur est déjà un vpn ? Si oui je ne vois pas pourquoi vous ajouteriez "par dessus" le vpn IPCOP (en supposant que cela fonctione).

Le réseau opérateur est déjà un VPN, mais il n'est pas encore mis en service. La difficulté réside vraiment dans ce routage du trafic internet d'une part et du trafic VPN de l'autre.

Pourquoi ? C'est juste de la curiosité. Je m'interesse toujours aux contraintes des environnements réels.

La contrainte n'est pas technique mais humaine. Personne n'est compétent sur les sites distants pour assurer une administration correcte et sûre du VPN, voire son rétablissement en cas d'incident. L'utilisation d'un VPN opérateur permet de s'assurer une qualité et une continuité de service (certes, au prix fort).

Merci encore de vos réponses.

[ccnet]

Le réseau opérateur est déjà un VPN, mais il n'est pas encore mis en service. La difficulté réside vraiment dans ce routage du trafic internet d'une part et du trafic VPN de l'autre.

J'imagine que c'est une question de jours cette mise en service ?
Cela dit, vous n'avez donc pas besoin d'ipcop pour le vpn inter site. Vous avez juste un problème de routage. C'est déjà plus facile à résoudre si vous voulez conserver ipcop. J'ai eu un problème semblable même si il s'agit de Vlan sur le même site. Vous pouvez déjà tester en ajoutant manuellement la route depuis la console ipcop. Par exemple en remplacant masque et ethx par les valeurs adaptées.

route add -net 10.7.1.0 netmask <masque> gw 10.0.0.254 <ethx>

(Si votre réseau distant est bien 10.7.1.0, mais j'ignore quel est le bon masque).
Puis, pour conserver la route à chaque redémarrage si cela convient, ajouter la ligne dans /etc/rc.d/rc.local

La contrainte n'est pas technique mais humaine. Personne n'est compétent sur les sites distants pour assurer une administration correcte et sûre du VPN, voire son rétablissement en cas d'incident. L'utilisation d'un VPN opérateur permet de s'assurer une qualité et une continuité de service (certes, au prix fort).

VPN opérateur ou ipcop c'est un peu pareil. Dans les deux cas pas d'administration locale (il est exclu de laisser administrer localement un équipement qui fait partie de l'infrastructure réseau de l'entreprise) et l'intervention maximum consiste à appuyer sur le bouton ou à débrancher-rebrancher le routeur. Ipcop est suffisament fiable pour l'usage envisagé. Personellement je n'hésiterai pas. Le choix de conserver le vpn opérateur se justifie si vous ne voulez pas avoir à gérer cette configuration vous même.

[Graffiti]

J'imagine que c'est une question de jours cette mise en service ?

Oui c'est effectivement une question de jours. Le VPN est prêt, c'est à moi de prioriser mes activités pour que cela se fasse rapidement.

Je dois remplacer une carte réseau qui a flashé sur mon IPCop de test et je ne peux pas encore tester le route add mais dès que c'est réparé je teste.

Le choix de conserver le vpn opérateur se justifie si vous ne voulez pas avoir à gérer cette configuration vous même.

Ce n'est effectivement pas moi qui gèrerai cette configuration ...

Cdlt.

[Graffiti]

Voici quelques nouvelles,

En faisant l'ajout de routes avec la commande que vous m'avez fourni, j'arrive effectivement à diriger les flux vers Internet ou vers le VPN à partir de l'IPCOP. En revanche, à partir du LAN (réseau vert) si je peux joindre internet (rouge) il m'est impossible de joindre le vpn (bleu).

J'ai installé BOT et ajouté les règles en ouvrant le pare feu mais rien n'y fait.

En tout cas merci pour votre aide, j'ai déjà un peu avancé.

Cordialement.

[ccnet]

J'ai installé BOT et ajouté les règles en ouvrant le pare feu mais rien n'y fait.

Et en désactivant BOT ?

j'arrive effectivement à diriger les flux vers Internet ou vers le VPN à partir de l'IPCOP. En revanche, à partir du LAN (réseau vert) si je peux joindre internet (rouge) il m'est impossible de joindre le vpn (bleu).

Je ne suis pas certain de comprendre ?

[Graffiti]

Et en désactivant BOT ?

Rien à faire, activé ou désactivé c'est pareil.

Je ne suis pas certain de comprendre ?

Désolé, je n'ai pas été très explicite :

A partir de l'IPCOP, je peux pinguer des machines qui se trouvent sur Internet (réseau rouge), sur le VPN (réseau bleu) ou sur le LAN (réseau vert).

En revanche, à partir d'une machine qui se trouve sur le LAN (réseau vert), si j'arrive à pinguer des machines qui sont sur internet (rouge), il m'est impossible de pinguer celles qui sont sur le VPN (bleu).

Je suis en train de relire la documentation IPCop ainsi que ce qui concerne l'iptable sur le site de linuxguruz. J'espère y trouver la solution.

Merci.

[ccnet]

En revanche, à partir d'une machine qui se trouve sur le LAN (réseau vert), si j'arrive à pinguer des machines qui sont sur internet (rouge), il m'est impossible de pinguer celles qui sont sur le VPN (bleu).

Que dit un trace route , tracert, vers une adresse située à l'autre bout du vpn ?
Je ne suis pas certain que ce soit un problème iptable. Quelle est la route ajoutée ?

[Graffiti]

La configuration de mon ipcop du site A est la suivante :
interface GREEN : 10.0.0.253
interface BLEUE : 192.168.1.1
Le routeur VPN du site A est en 192.168.1.254

Un machine connectée au réseau GREEN est en 10.0.0.99

Le routeur VPN du site B est en 192.168.100.254

Sur l'IPCop j'ai fait un :

Code: Tout sélectionner

route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.1.254

Si je fais un traceroute à partir de l'IPCop sur le routeur VPN du site B tout se passe bien et j'obtiens

Code: Tout sélectionner

traceroute 192.168.100.254

1  192.168.1.254 (192.168.1.254)  2.240 ms  0.912 ms  0.941 ms
2  10.151.30.1 (10.151.30.1)  8.943 ms  10.173 ms  7.990 ms
3  10.151.31.1 (10.151.31.1)  26.106 ms  31.343 ms  26.063 ms
4  192.168.100.254 (192.168.100.254)  30.126 ms  29.341 ms  26.065 ms

si je fais un traceroute sur ce même routeur à partir de la machine connectée sur le réseau GREEN :

Code: Tout sélectionner

C:\>tracert 192.168.100.254

Détermination de l'itinéraire vers 192.168.100.254 avec un maximum de 30 sauts.

  1    <1 ms    <1 ms    <1 ms  ipcop-test.org [10.0.0.253]
  2     *        *        *     Délai d'attente de la demande dépassé.
  3     *        *        *     Délai d'attente de la demande dépassé.
  4     *        *        *     Délai d'attente de la demande dépassé.
  5     *        *        *     Délai d'attente de la demande dépassé.
  6     *        *        *     Délai d'attente de la demande dépassé.
  7     *        *        *     Délai d'attente de la demande dépassé.
  8     *        *        *     Délai d'attente de la demande dépassé.
  9     *        *        *     Délai d'attente de la demande dépassé.
10     *        *        *     Délai d'attente de la demande dépassé.
11     *        *        *     Délai d'attente de la demande dépassé.
12     *        *        *     Délai d'attente de la demande dépassé.
13     *        *        *     Délai d'attente de la demande dépassé.
14     *        *        *     Délai d'attente de la demande dépassé.
15     *        *        *     Délai d'attente de la demande dépassé.
16     *        *        *     Délai d'attente de la demande dépassé.
17     *        *        *     Délai d'attente de la demande dépassé.
18     *        *        *     Délai d'attente de la demande dépassé.
19     *        *        *     Délai d'attente de la demande dépassé.
20     *        *        *     Délai d'attente de la demande dépassé.
21     *        *        *     Délai d'attente de la demande dépassé.
22     *        *        *     Délai d'attente de la demande dépassé.
23     *        *        *     Délai d'attente de la demande dépassé.
24     *        *        *     Délai d'attente de la demande dépassé.
25     *        *        *     Délai d'attente de la demande dépassé.
26     *        *        *     Délai d'attente de la demande dépassé.
27     *        *        *     Délai d'attente de la demande dépassé.
28     *        *        *     Délai d'attente de la demande dépassé.
29     *        *        *     Délai d'attente de la demande dépassé.
30     *        *        *     Délai d'attente de la demande dépassé.

Itinéraire déterminé.


Là le résultat me laisse perplexe.

J'ai comme l'impression que c'est l'IPCop qui interdit le routage vers le routeur du site B...

Si jamais cela vous inspire quelque chose ...

Merci.

[Graffiti]

Bonjour à tous.

Quelques mois plus tard j'ai pu résoudre mon problème avec la distribution PfSense et faire tout le routage nécessaire au bon fonctionnement du VPN.

Il a fallu créer quelques routes statiques, quelques NAT et maintenant tout fonctionne à la perfection.

A+. Graffiti.