Probleme d'accès au réseau green avec OpenVPN

[Kiolul]

Bonjour,

J'ouvre ce post, après pas mal de recherche sur ce forum concernant mon problème d'accès qui semble assez récurant et ne trouvant pas réponse à mon problème (sauf cette piste: http://forums.ixus.fr/viewtopic.php?t=42202&highlight=zerina).

Ma configuration: IpCOP version 1.4.21 avec comme addon AdvProxy, URLFilter et Zerina dans les versions compatible.

3 interfaces réseaux: RED (ip:192.168.1.57 mask:255.255.255.0 gtw:192.168.1.1), GREEN (ip:180.48.74.50 mask:255.255.224.0 gtw:180.48.64.2) et ORANGE (ip:192.168.0.200 mask:255.255.255.0)

Le routeur ADSL se trouvant sur l'interface RED est de type NetGEAR DG834.

L'idée à la base est de faire une connection Roadwarrior avec des clients portables depuis l'interface RED vers GREEN.
Ma configuration de Zerina fonctionne bien car je me connecte sans problème depuis un client avec le soft OpenVPN Gui. Le soucis est que je ping très bien l'adresse IP de l'interface GREEN IpCOP mais je ne ping, ni communique avec aucun poste sur cette même interface car ils ont comme passerelle 180.48.64.2 que je ne peux changer (routeur/firewall vers le réseau de mon groupe). J'ai fait l'essai sur un poste en changeant la passerelle et en mettant l'adresse de l'interface GREEN de l'IpCOP et celà fonctionne.

Faut-il se lancer dans l'ajout d'une règle iptable (comme l'a fait vico_fr) ou y a t'il une autre solution.

Merci pour vos réponses et je peux donner d'autres détails si besoin.[/list]

[jdh]

GREEN (ip:180.48.74.50 mask:255.255.224.0 gtw:180.48.64.2)

Le schéma est : Internet <-> routeur Netgear <-> (Red) Ipcop (Green)

Mais le réseau Green comporte 2 routeurs : un routeur (non décrit) et l'ipcop. Et bien sur le routeur non décrit est la passerelle par défaut.

(No comment sur l'adresse non privé de Green : va falloir le faire un jour ...)


Soit chaque PC concerné dispose d'une route vers le réseau VPN via IPCOP, (N config)
Soit le routeur non décrit dispose d'une route vers le réseau VPN, (1 config)
Soit l'ipcop devient le routeur par défaut et possède une route vers les réseaux accessibles via le routeur non défini. (N config)

Le plus simple à réaliser est le cas n° 2.



(NB : la logique de ces 2 routeurs n'est pas décrite, (la logique de cet adressage non RFC1928 n'est pas décrite), les réseaux accessibles via le routeur non décrit ne sont pas plus décrits. Sans trahir des secrets, on peut mettre plus d'explications ... parce que nous n'avons pas de boule de cristal ...

[Kiolul]

Merci pour votre réponse Jdh,

Voici un petit schémas expliquant l'architecture:


Il y a une migration en adresses privées de prévue, mais pour ma part je ne m'occupe que du réseau "Process" et doit respecter toutes ces contraintes d'adressage.
Je n'ai donc pas toute les infos ni la possibilité d'administrer le routeur du groupe.

Je pense donc que la meilleurs solution dans mon cas est la première.
Il faut que je trouve ensuite comment ajouter une route statique vers le routeur IpCop via GPO ou autre.

Si vous avez d'autres idées/solutions je suis preneur.
Merci.[/img]

[jdh]

Sous Windows, on ajoute une route par l'instruction :

route -p add 192.168.4.0 mask 255.255.255.0 192.168.1.1

avec
-p : route permanente
192.168.4.0 : réseau distant
255.255.255.0 : masque du réseau distant
192.168.1.1 : passerelle


Quelques remarques :
- beaucoup, dont moi, déconseille fortement de virtualiser un firewall.
- ipcop est conçu pour un réseau Green "simple", pas pour un Green avec routeur vers autre sites
- les micros de Green font comment pour accéder aux serveurs en Orange (dmz) ?
- je serais responsable réseau groupe, je ne tolérerais certainement qu'une antenne établisse toute seul un VPN.

[ccnet]

Quel plat de spaghettis !! Je ne vois pas comment on peut maintenir quelque chose de sûr avec une configuration telle. La mise en place d'un firewall sous forme de machine virtuelle est à proscrire bien sûr. Lors de la dernière session Black Hat, il a été démontré que les sorties d'isolation étaient possibles sous Vmware. Pas simple mais faisable.
L'architecture est tout à fait impropre à couvrir les besoins. Basiquement ipcop ne convient pas dans ce cas. Quatre interfaces seraient nécessaires sur le firewall, dont une pour connecter le router du groupe. L'opérateur télécom, pour le routeur, est Ntt ?

[Kiolul]

Merci pour vos commentaires.

- Cette architecture me sert de test.
Effectivement à terme je n'utiliserai pas de machines virtuelles pour l'IpCOP et la DMZ (plusieurs sources déconseilles fortement ceci, même si je n'avais pas eu connaissance que la sécurité sous VMware avait été compromise).
- J'ai essayé de contacter à plusieurs reprise, l'entité s'occupant du réseau groupe en leurs présentant ma solution de test sans avoir de réponse. Je voulais essayé IpCOP avant de retourner vers du matériel Cisco.
- Pour le moment pas de connection vers les serveurs en DMZ car ils n'existent pas.
- Dernier point l'opérateur de télécom n'est pas NTT.

[jdh]

Pour la virtualisation, il faut rappeler les principes de sécurité les plus communément admis :
- on ne virtualise pas un firewall (en production),
- on ne virtualise pas sur le même host des machines virtuelles qui doivent être sur des zones différentes.

Cela tombe sous le sens. (Et hélas, nous devons le réécrire régulièrement ...)

Pour un réseau multi-sites,
- l'adressage interne doit être rfc1918 compliant,
- la protection "périphérique" suppose de limiter toute liaison Internet de sites "satellites",
- les accès VPN doivent être contrôlés (puisqu'ils sont un accès depuis l'extérieur qui traversent un firewall).

[ccnet]

Merci pour vos commentaires.
- Dernier point l'opérateur de télécom n'est pas NTT.

Pourquoi utilisez vous alors des adresses leur appartenant ? Sans être gravissime ce n'est ni normal ni prudent.

[Kiolul]

Pourquoi utilisez vous alors des adresses leur appartenant ? Sans être gravissime ce n'est ni normal ni prudent.

Je ferai remonter l'info , mais je ne pense pas qu'il y aura grand changement avant la migration d'adresse que j'attends depuis près d'un an et qui est compatible rfc1918.
Je testerai à tout hasard la mise en place de la route sous un client Windows et ferai un retour demain.
Merci.

[Kiolul]

Après essais, l'ajout d'une route statique de type:
route -p add "OpenVPN Subnet" mask "OpenVPN Mask" "Ip OpenVPN sur le GREEN"

fonctionne parfaitement.

Merci pour tous vos conseils.

[Mister-Magoo]

C'était pas plus simple de juste mettre l'IP de ton IPCop en passerelle ??