2 passerelles. options DHCP ou Iptable ou autre ?

[phil17]

Bonjour,

Utilisateur d'IPCOP depuis la version 1.4.8, je l'utilisais sur 4 sites sans soucis, jusqu'au jour où !

Qui peut me dire si je dois chercher dans les options DHCP ou dans Iptable ou ailleurs ?
depuis une 15zaine je sèche.
On nous a imposé un Firewall avec un tunnel VPN sur lequel je n'ai aucune maitrise.
Le schema :

Internet
|
Modem/Routeur
10.0.0.2
sur une sortie du M/R Ipcop 1.4.18 Vert : 192.168.0.2 + dhcp Bleu : 10.x.y.1 + dhcp
sur une autre sortie du M/R Firewall :10.x.y.126

Les problèmes :
* le Firewall n'a pas de DHCP => Ipcop Dhcp sur bleu avec option routers 10.x.y.126 (passerelle)
OK ça marche impec.
* Mais les stations sur 10.x.y.0 ne voient pas 192.168.0.0 car elle sortent par Firewall puis par routeur (adresse passerelle) Normal. Si je change l'adresse passerelle plus de VPN 10.x.y.0!
Y a t-il une option dhcp qui peut dire : si 192.168.0.0 passer par Bleu Ipcop (passerelle 10.x.y.1)?
Faut-il passer par Iptable ou utiliser autrechose ?

* Bien sur comme le firewall a un VPN les miens ne marchent plus. Peut-on changer le port utilisé par le VPN d'Ipcop ?

S'il y a une âme charitable en ce début de semaine je suis preneur.
Merci les pros

[ccnet]

Pour moi tout cela est très brouillon.

Modem/Routeur
10.0.0.2
sur une sortie du M/R Ipcop 1.4.18 Vert : 192.168.0.2 + dhcp Bleu : 10.x.y.1 + dhcp
sur une autre sortie du M/R Firewall :10.x.y.126

Je ne comprend pas. Une sortie ... vous voulez dire un port je pense, mais ce n'est pas l'essentiel. Comment le trafic est il géré ?

Mais les stations sur 10.x.y.0 ne voient pas 192.168.0.0 car elle sortent par Firewall puis par routeur (adresse passerelle) Normal. Si je change l'adresse passerelle plus de VPN 10.x.y.0!

Il vous manque une route quelque part. Si 10.x.y.126 est la passerelle par défaut du réseau 10.x.y.0 (d'ailleurs si vous mettiez les masques, on saurait de quoi on parle) alors une route sur cette interface vers 192.168.0.? réglerait la question.
Tout cela sous toute réserve de ce que j'ai compris.

Bien sur comme le firewall a un VPN les miens ne marchent plus. Peut-on changer le port utilisé par le VPN d'Ipcop

Comprend pas. Qu'est ce qui vous permet de dire que c'est un problème de port ? Quel type de vpn ?

[phil17]

Bonjour ccnet,
1) Premier problème
Le Modem/routeur a 8 ports. Dhcp activé.
1 port vers IPCOP avec redirection vers ipcop des ports 22, 5445, 80...
1 port vers firewall en ip fixe avec redirection port VPN, ...
Sortie du Firewall 10.x.y.126/255.255.255.128 relié aux machines administratives et à la patte bleu d'ipcop

Sur le vert d'Ipcop la pédagogie
ipcop 192.168.0.2/255.255.255.0
dhcp

Sur le Bleu d'ipcop le service DHCP de l'administratif
ipcop 10.x.y.1/255.255.255.128
Dhcp activé avec option routeurs = 10.x.y.126

alors une route sur cette interface vers 192.168.0.? réglerait la question

Comment on fait une route?

2)Deuxième problème

VPN entre 4 IPCOP pour ma partie

Merci

[ccnet]

Comment on fait une route?

Ho !!

Linux :
route add -net <ipreseau> netmask 255.255.255.0 gw <IPpaserelle>

Sinon en cherchant sur ce forum, j'ai déjà posté 2 ou 3 fois ce genre de chose et je ne dois pas être le seul.

[phil17]

Re,

Je me suis encore mal exprimé, comment faire ce routage avec les options du DHCP ?
car actuellement les machines prennent leur passerelle à travers le DHCP et donc se connectent en utilisant la passerelle indiquée par celui-ci ( 10.x.y.126). Donc le route ne sera pas suivi si je le fais sur l'IPCOP, et sur le firewall je n'ai pas la main!

[ccnet]

On ne fait pas de routage avec un serveur DHCP.
Si l'on peut passer, via l'option 21 (router), une liste de routeurs envoyée à la station, encore faudrait il en trouver un qui indique ensuite la bonne route vers 192.168.0.0.
D'après la rfc, on peut indiquer à la machine cliente une route statique à charger en mémoire.
http://abcdrfc.free.fr/rfc-vf/pdf/rfc2132.pdf - page 15.

J'ignore totalement si cette option, que je n'ai jamais vu utilisée, est implémentée correctement dans tous les clients DHCP. Pour windows la question mérite d'être posée. Elle pourrait vous sauver si c'est le cas.

Un commentaire général quand même. Se trouver dans cette situation, en gros un lundi matin en arrivant au bureau (c'est à peu près comme cela que vous nous le présentez) me semble relever pour le moins d'une impréparation assez étonnante. Ce genre d' opération est à l'évidence délicate, sensible sur un réseau, donc elle se planifie, fait l'objet d'une réflexion, de test. Enfin il me semble.

[phil17]

En fait l'academie a mis cela en place (sécurité oblige) suite à une pré étude et ça devait marcher.
Mais une fois en place, ils m'ont dit que c'était plus possible. Et m'ont laissé en plan avec les problèmes de reseaux partagés, d'antivirus etc...
Alors pltot que de mettre 2 cartes réseaux sur les machines qui doivent-être sur les 2 réseaux je cherchais une solution

[ccnet]

Toutes mes condoléances. J'espère que l'option DHCP dans le lien donné va pouvoir vous aider.

[jdh]

Quel problème !!!



Je vais faire une présentation différente et d'après ce que je comprends :

- un réseau "pédagogique" (192.168.0.0/255.255.255.0)
- un réseau "administratif" (10.x.y.0/255.255.255.128)

Il y a un réseau accessible pour le réseau "administratif" via un routeur (VPN) en 10.x.y.126. (Il serait utile de préciser QUELS réseaux sont accessibles via ce routeur !)

Les règles de trafic :

- le réseau "pédagogique" doit accéder à Internet (avec contrôle) et (je suppose) ne doit pas accéder au réseau "administratif",
- le réseau "administratif" doit accéder à Internet (avec contrôle) et accéder aux réseaux "académie".

Il faut de plus fournir du DHCP au 2 réseaux ("pédagogique" et "administratif").


Solution :
- on installera BOT sur l'IPCOP (de toute façon, c'est indispensable AMHA).
- Le réseau "pédagogique" sera le Green de l'IPCOP, tandis que le réseau "administratif" sera le Blue.
- Pour chacun de ces réseaux, la passerelle sera la patte correspondante de l'IPCOP.
- L'IPCOP contiendra une route vers les réseaux "académie" via le routeur (VPN) (cf réponse de ccnet).


Le fait, pour la zone Blue, d'utiliser la patte Blue comme passerelle et d'avoir une route (cf ccnet), permet aux micros "administratifs" d'accéder à Internet via l'IPCOP et aux réseaux "administratifs" en passant par le routeur VPN. C'est donc bien meilleur que d'avoir comme passerelle par défaut le routeur VPN ! Mais pour créer cette route, il faut connaitre l'étendue complète des réseaux accessibles via ce routeur.

(NB : pourquoi cela peut fonctionner : un pc "administratif" essaie d'accéder à un PC en réseau "académie", il envoie le paquet à l'IPCOP, celui sait via sa table de routage qu'il faut passer par le routeur/vpn, il informe le pc qu'il doit utiliser le routeur, le pc passe alors par le routeur, cqfd).

[phil17]

Merci jdh,

Suffisait de prendre le problème dans le bon sens!


Il ne me reste plus que les 2 VPN en parallele