[Résolu] Test de VPN dans lan et/ou machine virtuelle

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] Test de VPN dans lan et/ou machine virtuelle

Messagepar Lim-Dûl le Nécromancien » 21 Mars 2008 17:24

Bonjour.

Dans le cadre de ma formation j'ai comme tache de trouver un moyen de réaliser:
- un serveur proxy
- un serveur VPN
- un firewall

Le tout pour le moins cher possible.

Comme IPCop (et d'autres distributions) permet de le faire pour pas cher et en "tout-en-un" je suis en train d'évaluer cette solution pour savoir si elle est adapté à nos besoins.



Au niveau de l'installation tout vas bien.
J'ai un peut "bricolé" pour installer les cartes réseau au bonnes interfaces (ROUGE et VERTE) mais tout vas bien.



Maintenant le problème que j'ai est que je ne parviens pas à faire fonctionner le VPN.



Description de la configuration:
Une précision avant tout: je ne peut pas, à ce stade de test, faire sortir mon VPN pour le faire passer pas internet. Mais normalement cela n'est pas bloquant.

Réseau local en 172.x.x.x
|
IPCop1 VERT 172.a.b.c/22
IPCop1 ROUGE 214.20.30.40/8
|
Switch
|
IPCop2 ROUGE 214.10.20.30/8
IPCop2 VERT 173.a.b.c/22
|
Pour le moment rien de branché





Voici les réglages que j'ai fait:

IPCop1:

Paramètres généraux:
IP publique, nom complet de l'interface RED ou <%defaultroute>: 214.20.30.40
La case "Activé:" est cochée
Délai avant de lancer le VPN (secondes): 20

Contrôle et statut de la connexion :
Adresse IP de la machine: RED (214.20.30.40)
Sous-réseau local: 172.a.b.c/255.255.252.0
Serveur/IP distant: 214.10.20.30
Sous-réseau distant: 173.a.b.c/255.255.252.0
Action quand le 'pair' disparait: restart
Utiliser une clé partagée (PSK): 123456



IPCop2:

Paramètres généraux:
IP publique, nom complet de l'interface RED ou <%defaultroute>: 214.10.20.30
La case "Activé:" est cochée
Délai avant de lancer le VPN (secondes): 20

Contrôle et statut de la connexion :
Adresse IP de la machine: RED (214.10.20.30)
Sous-réseau local: 173.a.b.c/255.255.252.0
Serveur/IP distant: 214.20.30.40
Sous-réseau distant: 172.a.b.c/255.255.252.0
Action quand le 'pair' disparait: restart
Utiliser une clé partagée (PSK): 123456






Mais pourtant l'état du VPN reste toujours "FERME" même si je clique sur "Redémarrer"

J'avoue ne pas comprendre pourquoi cela ne fonctionne pas...

J'ai pourtant tenté de simplifier au maximum en prenant un mot de passe plutôt qu'un certificat.
J'ai aussi consulté ce post du kit newbie


Je ne pense pas que ce soit un problème de routage entre les deux IPCop.
Car il font parti du même réseau physique (connectés sur le même switch) et du même réseau logique (réseau 214.0.0.0 masque 255.0.0.0)

Je pourrai peut-être faire un ping en mode console de l'un vers l'autre mais je ne sais pas comment faire (je viens juste d'avoir l'idée en écrivant alors je vais chercher)



EDIT:
Je continu mes recherches et tests.
A tout hasard j'ai effectué un reboot sur les deux ipcop mais cela n'a pas aidé.

Et je suis tombé aussi sur une lecture souvent conseillée:
http://www.linux-france.org/article/the ... ns-fr.html
C'est intéressant, je ne fait que commencer à le lire mais c'est intéressant...

EDIT2:
Version 1.4.18 sur les deux ipcop
Dernière édition par Lim-Dûl le Nécromancien le 14 Avr 2008 17:43, édité 4 fois au total.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar ccnet » 21 Mars 2008 18:21

A supposer que les deux ipcop soient connectés par leurs interfaces RED sur le switch (mais pas les interfaces Green !!), vous auriez comme un problème de routage. Mais en même temps comme vous ne donnez pas les masques utilisés sur les interfaces RED, et comme votre schéma n'est pas clair, je ne suis même pas certain de ce que je dis.
Si je la route par défaut est bien celle que je lis dans votre description, je ne sais pas comme ipcop 1 peut trouver ipcop2 via RED.

En pratique avant toute connexion vpn, peut-on pinguer red ipcop1 depuis red ipcop2 et l'inverse ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Lim-Dûl le Nécromancien » 21 Mars 2008 18:44

Oui les IPCop sont reliés par leurs interfaces ROUGE

Je suis désolé pour les masques.
Je n'avais pas remarqué que le /8 ) se transformais en smilie si l'espace n'est pas présent.
Le masque sur les interface ROUGE est donc /8 soit 255.0.0.0


J'ai trouvé comment faire un ping (et surtout comment le stopper, ça a été drôle de cherche comment stopper en urgence)

IPCop1 reçois des réponses au ping sur:
- sa VERTE 172.20.7.1/22
- sa ROUGE 214.20.30.40/8
- la ROUGE d'IPCop2 214.10.20.30/8


IPCop2 reçois des réponses au ping sur:
- sa VERTE 173.20.30.1/22
- sa ROUGE 214.10.20.30/8
- la ROUGE d'IPCop1 214.20.30.40/8



Donc ce n'est pas un problème de routage ou de carte réseau/câble

Je vais éditer le 1er post pour tenter de faire un schéma plus clair
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar ccnet » 21 Mars 2008 18:55

Si le masque avait été visible je n'aurai pas posé la question du routage.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Lim-Dûl le Nécromancien » 21 Mars 2008 19:13

ccnet a écrit:Si le masque avait été visible je n'aurai pas posé la question du routage.
Non !
C'est de ma faute: si je m'était relus après avoir posté j'aurai vu l'erreur du smilie.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Lim-Dûl le Nécromancien » 31 Mars 2008 11:37

Désolé de la semaine sans rien: j'étais en cours à 100km des ordinateurs.


Donc pour reprendre:

Chaque IPCop ping ses deux interfaces
Les deux IPCop parviennent à se pinguer mutuellement sur les interfaces rouge.

Donc il n'y à pas de problème de routage ou de réseau.
Pourtant je ne parviens pas à activer le VPN.

Une idée ou un indice pour me mettre sur la voie et activer cela ?




En attendant je vais tenter de faire la même chose mais en prenant des certificats au lieu d'un simple mot de passe.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Poupou94 » 02 Avr 2008 18:02

Bonjour,

Une idée un peu idiote mais qui ne peut pas faire de mal dans cette configuration de test

sur le premier IPCOP définir comme default gateway le red du second IPCOP
et sur le second IPCOP l'inverse.

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Lim-Dûl le Nécromancien » 08 Avr 2008 17:34

Poupou94 a écrit:Bonjour,
Une idée un peu idiote mais qui ne peut pas faire de mal dans cette configuration de test
sur le premier IPCOP définir comme default gateway le red du second IPCOP
et sur le second IPCOP l'inverse.
Pascal.
Pourquoi pas.
Je vais tester dés que je pourrais.


Pour le moment j'ai un autre problème:

Normalement deux réseau logiques peuvent être sur le même réseau physique.
Leurs adresse de réseau réciproques les empêches de communiquer entre eux.

Pour illustrer prenons l'exemple suivant

Ordinateur A en 192.168.0.1/24
Ordinateur B en 192.168.0.2/24
Ordinateur C en 168.255.0.1/24
Ordinateur D en 168.255.0.2/24

Tous reliés sur le même switch.

Il ont tous le même réseau physique mais des réseaux logiques différents.
Donc A et B communiquent entre eux mais pas avec C et/ou D
Donc C et D communiquent entre eux mais pas avec A et/ou B

J'ai bon ?



Maintenant si je branche toutes mes interfaces IPCop sur le même switch cela peut-il poser problème ?
Normalement non car les réseaux logique sont différents.




Dans ma configuration de test j'ai donc:

IPCop1:
VERT en 172.20.7.1/22
RED en 214.20.30.40/8

IPCop2:
VERT en 173.20.30.1/22
RED en 214.10.20.30/8

Toutes les interfaces sont reliées sur le même switch qui est lui-même branché sur le reste du réseau.




Or je suis confronté au problèmes suivants:

-Quand je branche l'interface RED en 214.20.30.40/8 de mon IPCop1 je ne parviens plus à accéder à son interface web pour la gestion sur https://172.20.7.1:445/


Comment cela se fait-il ?





Je vais voir demain avec d'autre branchements.
Peut-être que le fait de débrancher IPCop2 ferai marcher "correctement" IPCop1 alors que les deux interfaces sont sur le même switch.

D'ici demain d'autres idées ?
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Poupou94 » 08 Avr 2008 17:59

Bonjour,

Lim-Dûl le Nécromancien a écrit:
Poupou94 a écrit:Bonjour,
Une idée un peu idiote mais qui ne peut pas faire de mal dans cette configuration de test
sur le premier IPCOP définir comme default gateway le red du second IPCOP
et sur le second IPCOP l'inverse.
Pascal.
Pourquoi pas.
Je vais tester dés que je pourrais.


Pour le moment j'ai un autre problème:

Normalement deux réseau logiques peuvent être sur le même réseau physique.
Leurs adresse de réseau réciproques les empêches de communiquer entre eux.

Pour illustrer prenons l'exemple suivant

Ordinateur A en 192.168.0.1/24
Ordinateur B en 192.168.0.2/24
Ordinateur C en 168.255.0.1/24
Ordinateur D en 168.255.0.2/24

Tous reliés sur le même switch.

Il ont tous le même réseau physique mais des réseaux logiques différents.
Donc A et B communiquent entre eux mais pas avec C et/ou D
Donc C et D communiquent entre eux mais pas avec A et/ou B

J'ai bon ?

OUI

Maintenant si je branche toutes mes interfaces IPCop sur le même switch cela peut-il poser problème ?
Normalement non car les réseaux logique sont différents.

Sauf pour les redirections un routeur est "fainéant" par défaut ça peut provoquer des effets de bord, pas inexplicables mais pas toujours très simple à bien comprendre.


Dans ma configuration de test j'ai donc:

IPCop1:
VERT en 172.20.7.1/22
RED en 214.20.30.40/8

IPCop2:
VERT en 173.20.30.1/22
RED en 214.10.20.30/8

Toutes les interfaces sont reliées sur le même switch qui est lui-même branché sur le reste du réseau.




Or je suis confronté au problèmes suivants:

-Quand je branche l'interface RED en 214.20.30.40/8 de mon IPCop1 je ne parviens plus à accéder à son interface web pour la gestion sur https://172.20.7.1:445/


Comment cela se fait-il ?


pas d'idée. mais deux switchs ce serait mieux (idéal 3)


Je vais voir demain avec d'autre branchements.
Peut-être que le fait de débrancher IPCop2 ferai marcher "correctement" IPCop1 alors que les deux interfaces sont sur le même switch.

D'ici demain d'autres idées ?


Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Lim-Dûl le Nécromancien » 10 Avr 2008 15:04

Rebonjour.

Pour faire court ça ne marche toujours pas.


Bon, n'ayant pas de switch en rab et manquant d'écrans j'ai tout recommencé en machine virtuelles.
Grâce à VMWare Server

J'ai remarqué aussi que mes adresse IP ROUGE n'était pas forcément bien choisies. Je les ais donc changées.



Schéma réseau:

Réseau 1:
IP du réseau: 172.20.4.0/22
Masque du réseau: 255.255.252.0
Broadcast: 172.20.7.255

XP1
IP: 172.20.7.10/22
Passerelle par défaut: 172.20.7.1

IPCop1 VERTE:
IP: 172.20.7.1/22
Masque: 255.255.252.0

IPCop1 ROUGE:
IP: 192.1.1.1/24
Masque 255.255.255.0






IPCop2 ROUGE:
IP: 192.1.1.2/24
Masque: 255.255.255.0

IPCop2 VERTE:
IP: 173.20.28.1/22
Masque: 255.255.252.0

XP1:
IP: 173.20.28.11/22
Passerelle par défaut: 173.20.28.1



Réseau 2:
IP du réseau: 173.20.28.0/22
Masque du réseau: 255.255.252.0
Broadcast: 173.20.31.255











Au niveau des ping:

XP1 ping correctement IPCop1 verte
XP1 ping correctement IPCop1 rouge

IPCop1 ping correctement XP1
IPCop1 ping correctement IPCop2 rouge
IPCop1 ne ping pas IPCop2 verte

IPCop2 ping correctement XP2
IPCop2 ping correctement IPCop1 rouge
IPCop2 ne ping pas IPCop1 verte

XP2 ping correctement IPCop2 verte
XP2 ping correctement IPCop2 rouge




J'en déduit donc que mes configuration réseau sont bonnes.
Aussi bien au niveau de mon réseau physique (virtuel) que logique.

Et donc que mon problème vient du routage.





Au niveau du VPN:

Je prend IPCop1 mais IPCop2 est pareil avec les ip et nom inversés.


Paramètres généraux:
IP publique de l'interface rouge: 192.1.1.1
Case "Activé" cochée
Le reste n'est pas rempli ou coché


Contrôle et statut de la connexion:
Un seul vpn de créé:
Nom: IPCop2
Type: Résea (clé partagée (PSK))
Nom d'usage (CN):
Remarque:
Etat: fermé
Action: la case activé est cochée


Quand je vais dans les paramètres de ce VPN en faisant "modifier":
Nom: IPCop2
La case "Activé" est cochée
Adresse IP de la machine: RED (192.1.1.1)
Serveur/IP distant: 192.1.1.2
Sous-réseau local: 172.20.4.0/255.255.252.0
Sous-réseau distant: 173.20.28.0/255.255.252.0
ID Locale:
ID Distante:
Action quand le 'pair' disparait: restart
Remarque:

Authentification:
Utiliser une clé partagée (PSK): 123456





J'espère ne pas m'être trompé dans les réglages.
Mais cela ne fonctionne pas.
Je ne parviens pas à faire un VPN entre mes deux IPCop virtuels
Donc mes deux XP virtuels ne communiquent pas (ce qui est le but)




Le seul truc que je vois et qui peut peut-être poser problème c'est que mes interfaces rouge des deux IPCop font parti du même réseau.
Mais dans ce cas je vais avoir du mal à trouver un routeur pour pouvoir faire le test.

D'autres idées pour faire fonctionner tout ça ?



EDIT:
IPCop version 1.4.18

De plus que ce soit avec des machines virtuelles ou des réelles j'ai énormément de difficultés à pouvoir me connecter sur l'interface web.
Sur les machines réelles il faut que je débranche le cable réseau sur RED pour pouvoir avoir l'interface web sur VERT depuis un poste en XP pro.



EDIT2:
J'ai fait le test de mettre en passerelle de chaque IPCop l'autre IPCop pour les interfaces ROUGE mais cela ne fonctionne pas plus, toujours pas de vpn.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Lim-Dûl le Nécromancien » 14 Avr 2008 10:52

SVP aidez moi :cry:

Je ne vois pas où cela à "foiré".
Normalement si cela viens de la configuration réseau je ne devrai pas pouvoir faire les ping.
Et la configuration du vpn me semble correcte.

Le seule "truc" que je trouve et qui peut poser problème est le suivant:
IPCop ne peut faire un vpn entre deux interfaces rouge que si elle font parti de deux réseau différents.

Soit les cartes rouge font parti du même réseau soit elle ne font pas parti du même réseau et il me faut un routeur.
Mais dans ce cas là je ne peut pas faire le test car je n'ai pas de routeur sous la main.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Lim-Dûl le Nécromancien » 14 Avr 2008 17:47

Bon, voila c'est résolut.

La solution d'un autre problème (ici) à résolu aussi celui là.


Bien que chaque interface ai une adresse de réseau différente il ne faut pas brancher tout sur le même switch.
Il faut utiliser des réseau physiquement différents.
Donc plusieurs switch reliés par des ipcop.

J'ai aussi mis comme passerelle par défaut de chaque ipcop l'autre ipcop.


Je ne sais pas pourquoi il faut faire les deux (si on peut m'expliquer je suis preneur) mais ça marche.





Merci à tout ceux qui m'ont aidés.
Je vais pouvoir passer à l'étape suivante: le proxy web et l'identification.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron