vpn net to net

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

vpn net to net

Messagepar epl toulouse » 05 Mai 2008 14:14

Bonjour à tous

Une petite question me trotte dans la tete au sujet du VPN :

le pas à pas concernant la mise en place d'un vpn net to net avec rpvs du newbie kit est trés bien concu

cependant il parle de ipcop1.dydns.org et ipcop2.dydns.org correspondant à des ip publiques

dynamique sur les cartes rouges.

Nous n'avons pas d'ip publique sur nos cartes rouges, ce sont des ip locales et statiques.

Pouvons nous creer un alias en ip publique et monter le vpn sur ces alias?

merci de vos reponses précieuses
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar epl toulouse » 05 Mai 2008 17:15

un petit up!
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar tetsuo44 » 05 Mai 2008 19:10

tu entend quoi par alias ??? au niveau DNS oui si tu as créé les enregistrement dans ton DNS a ce moment la tu créé tes enregistrement (A ou CNAME ca depend de ta conf) mais il faudra le faire sur un serveur DNS externe (visible des deux coté aka sur le net). sinon au niveau des fichiers hosts de tes ipcop je pense que ça doit être possible (précédence de résolution du host sur le DNS)
tetsuo44
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Mai 2007 07:42

Messagepar epl toulouse » 06 Mai 2008 10:05

bonjour

je veux faire un vpn mais sans DNS qui intervient donc qu'avec mes ip publiques...

cependant ma carte rouge ne possede pas d'ip publique, elle est en ip local fixe (10.1.1.2)

puis je creer un alias sur mes cartes rouges (ipcop1 et ipcop distant) avec chacun une adresse publique en 194.254.xxxx et monter le vpn sur ces alias???
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar gemoussier » 06 Mai 2008 10:37

Bonjour,
Je ne comprends pas très bien la topologie de votre réseau. Je suppose deux cas :
1) les 2 IPCops sont au sein d'un même réseau (sans passer par internet donc), auquel cas l'adressage privé peut-être utilisé, s'il n'y a pas de NAT au milieu.
2) les 2 IPCops sont sur des sites distants et utilisent internet pour communiquer : il faut alors utiliser un adressage publique à condition que l'IPCop soit en tête de réseau. Sinon il doit être possible de garder l'adressage local mais en s'assurant que la translation de port arrive bien au bon endroit.

Personnellement je n'ai pas testé les possibilité de VPN net2net avec IPCop.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar epl toulouse » 06 Mai 2008 11:40

Mes ipcops sont sur 2 reseaux distincts derriere des routeurs j'avoue commencer à appeler au secours pour creer un vpn net to net entre deux ipcops..

ma configuration est la suivante :

ipcop1:

vert-->10.31.1.2

rouge-->10.1.1.2

routeur-->10.1.1.1

en 255.255.0.0


ipcop2:

vert-->10.1.2.1

rouge-->10.1.1.2

routeur-->10.1.1.1

en 255.255.255.0

pour faire un vpn net to net est -il forcement obligé de passer les routeurs en mode bridge et avoir une

adresse IP publique sur la carte rouge?? en gros voila le fond de ma question...

merci d'avance
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar ccnet » 06 Mai 2008 12:21

Encore une fois cela dépend du trajet emprunté. Si internet alors ip publiques nécessaires, si réseaux privés (même avec des numéros de réseaux différents) les ip privées sont utilisables.
La façon de poser votre question laisse supposer que , peut être, il y a des routeurs faisant une translation entre le réseau interne et internet et que les machines ipcop sont situées après ce routeur ...
Ce n'est pas clair. Dites si oui ou non le flux doit emprunter le réseau internet.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 06 Mai 2008 12:41

Ceci illustre le manque de précision de la question posée.

Il est clair que TOUTES ces informations auraient gagnées à être indiquées dès le début.

Comme le mentionne "gemoussier", ce qui compte c'est que les Red de chaque IPCOP se "voient".

Au choix, soit un réseau reliant Red à Red (même un simple câble croisé), soit les routeurs face au Red se voient via Internet.

On comprend donc que c'est le cas des routeurs.

Il importera que chaque extrémité soient correctement identifiée, c'est à dire l'ip publique de chacun des routeurs ET que chaque routeur assure le transfert des ports et protocoles nécessaires à IPSEC.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar epl toulouse » 06 Mai 2008 16:18

oui effectivement je dois emprunter les lignes internet

il s'agit de 2 sites distants à connecter entre eux.

ipcop1 <--> routeur <--> wan <--> routeur <--> ipcop2

Si je comprend bien je peu creer un alias (ip publique autorisée à traverser le routeur) sur la carte

rouge de ipcop1, un alias sur la carte rouge de ipcop2 et faire communiquer les deux tant que le

routeur possede des translation de ports relatif à IPSEC redirigant le flux VPN sur mes cartes rouges???

désolé de mon incomprehension total dans le domaine des VPN... :D
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar jdh » 06 Mai 2008 21:03

Un petit peu de réflexion :

- un IPCOP ne pourra que voir l'ip publique de l'autre routeur.
- si l'ip publique n'est pas fixe, il faut utiliser un nom dns dynamique associé à cette ip publique.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar epl toulouse » 07 Mai 2008 15:17

Bonjour

dans ma configuration de rpv il faut donc que j'utilise sur ipcop1 comme adresse de destination du vpn

l'adresse du routeur2 de mon reseau distant

et egalement pour ipcop2 l'adresse de destination de mon routeur1....

faut il egalement que les deux reseaux distants ai le meme masque de sous reseau????

j'ai un reseau en 10.0.71.0/255.255.255.0 et un autre en 10.31.0.0/255.255.0.0

et une autre question : quels sont exactement les ports et protocoles relatif à ipsec qu'il faut ouvrir??
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar jdh » 07 Mai 2008 15:28

On est pas là pour mâcher le boulot !

Un minimum de recherche est à réaliser : les ports (et protocoles), cela se trouve soit sur ce site soit sur un site tel frameip.

Quand aux masques réseaux, ne serait pas plus simple de se dire qu'il faut avoir le masque ... nécessaire, c'est tout ? De toute évidence, c'est une question totalement inutile !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar epl toulouse » 07 Mai 2008 16:00

:D

je veux bien arreté de poser des questions betes mais ca va pas etre facile!!!

j'ai suivi le newbie kit pour realiser un vpn net to net mais bien sur cela ne marche pas parceque je ne

suis pas dans la meme configuration reseau, d'une part je n'utilise pas de dns et d'autre par je suis

derriere des routeur qui font du NAT donc ce petit tunnel reste gentillement fermé.

je ne suis pas feneant mais pour les ports et protocoles je voulais avoir une source sur et fiable pour qui cela marche deja, car je n'ais pas la main sur mes routeurs et pour rajouter une petite route de rien du tout ca prend un peu de temps (et oui les lenteurs administratives sur le reseau aster!!! [mode coup de geule off])
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59

Messagepar jdh » 07 Mai 2008 16:11

Je ne pense pas qu'un vpn net2net puisse être mis en oeuvre sans ajouter sur les routeurs les renvois de ports et protocoles nécessaires .....

Par ailleurs, les infos se trouvent sur ce site (je les ai indiqué moi-même même sans avoir jamais pratiqué IPCOP) ou, mieux, sur le site que j'ai indiqué.

Moi, je dirais qu'il y a manque de recherche ...


En fait, les tutos, les mémos, les howtos sont faits pour indiquer une marche à suivre. Mais il y a un effort à faire pour comprendre quels sont les mécanismes en jeu derrière ces résumés de mise en oeuvre.

Quand on lit ipcop1.dyndns.org et ipcop2.dyndns.org, cela veut dire qu'il faut utiliser une adresse qui peut être pourquoi pas un nom dns. Le mécanisme (évident) c'est que chaque extrémité doit voir l'autre, d'une façon ou l'autre.

Dans le cas d'un routeur intermédiaire (faisant du NAT), il est clair que l'extrémité devra voir l'ip publique de ce routeur.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar epl toulouse » 07 Mai 2008 16:23

ok merci de ton aide je vais poursuivre mon periple en esperant un jour voir cette petite lueur verte au bout du tunnel...

mais attention si je ne me debloque pas je revient à la charge avec des questions encore plus betes :wink:
epl toulouse
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 13 Mars 2007 14:59


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité