souci de config avec neuf box pour lier ipcop à ma box

[nifo]

bonjour
Après quelques prises de têtes à essayer de lier le réseau rouge d'Ipcop à ma neufbox je vous propose de m'aider à trouver la bonne config.Alors l'adresse de la neuf box est 192.168.1.1 donc j'ai ipcop installé entre cette box et 2 switchs vers le reseau orange et vert.
Mon objectif est de créer un vpn me permettant de me connecter à mon réseau vert par l'intermédiaire du réseau rouge de l'extérieur .je suis en adresse fixe sur le réseau rouge et j'ai donné 192.168.2.0 comme reseau orange et 192.168.3.0 pour le reseau vert.La neuf box est relié par rj45.
Merci d'avance pour votre réponse.

[jdh]

Quel est le problème ?

(Le schéma est correct parce qu'élémentaire, mais il n'y a pas de problème exposé ...)


Attention, il faudrait être un peu plus complet : par exemple :

Schéma :
Internet <-> Neufbox (routeur) <-> (Red) Ipcop (Orange + Green)

Adressage :
Neufbox : adresse ip publique fixe 74.x.x.x / adressage interne 192.168.1.1/255.255.255.0

Ipcop (Red) : adresse statique : ip 192.168.1.10/255.255.255.0, dns 192.168.1.1, gateway 192.168.1.1
Ipcop (Orange) : ip 192.168.2.1/255.255.255.0
Ipcop (Green) : ip 192.168.3.1/255.255.255.0

PC en green : dhcp fourni par Ipcop : range 192.168.3.10-192.168.3.39

Qu'est ce que je veux faire :

Qu'est ce que j'ai configuré :

Les tests effectués : (descr des config) + (descr des tests) + (résultats)


Avec ce type d'infos, le forum peut devenir efficace ...


NB : "nifo" à l'envers, cela veut bien dire INFO ou je me trompe ?

[nifo]

Schéma :
Internet <-> Neufbox (routeur) <-> (Red) Ipcop (Orange + Green)

Adressage :
Neufbox : adresse ip publique dynamique / adressage interne statique 192.168.1.1/255.255.255.0

Ipcop (Red) : adresse statique : ip 192.168.1.254/255.255.255.0, dns 192.168.1.1, gateway 192.168.1.1
Ipcop (Orange) : ip 192.168.2.254/255.255.255.0
Ipcop (Green) : ip 192.168.3.254/255.255.255.0

PC en green : dhcp fourni par Ipcop : range 192.168.3.1-192.168.3.30

Qu'est ce que je veux faire : je veux creer un reseau avec une dmz(orange--->2 serveur sous linux (web-mail/ftp)-->192.168.3.253 et 192.168.3.252 et un reseau sécurisé(vert--->1 serveur sous linux(samba/impression)--->192.168.1.253+ 6 postes clients(windows et linux).
Le but est de sécuriser le tout avec un poste dédié IPCOP qui fait serveur DHCP au méme temps pour le réseau vert et permet l'accés en VPN à la zone verte de postes clients se situant sur un autre site et ayant comme configuration --Internet<-->livebox<---->IPCOP<---->postes client.Pour le moment je suis encore au début du travail donc j'ai installé IPCOP les clients de 192.168.3.0 se connectent bien sur ipcop mais le ping que j'effectue du firewall sur ma box m'indique que cette derniére n'est pas joignable.je pense que ça vient de la configuration de ma neufbox mais je tourne en rond et toujours pas de solution.peut étre l'adresse publique doit obligatoirement étre statique????
Voilà j'espére que mon probléme est plus clair maintenant

[jdh]

Bon, je ne peux plus dire qu'il n'y a pas beaucoup d'infos. (Je me demande qui vous a suggéré de les mettre sous cette forme lisible !)

(Le serveur Linux/Samba doit être en 192.168.3.253 et non .1.253 !)

Remarque 1 :
Quand on installe un ipcop, il est important et indispensable de penser à BOT, seul moyen de vraiment contrôler les flux.

Remarque 2 :
Un pc en green peut tout à fait pinguer la box, sous réserves que le flux icmp de Green vers Red soit autorisé et qu'Ipcop fasse son boulot c'est à dire NATER le flux sortant et passant par Red.
Si le flux n'est pas NATE, la box ne pourra savoir comment retourner le paquet retour.

Il y a là une anomalie grave à ce qu'un ping ne revienne pas. C'est curieux puisque le schéma est simple, les adressages sont bons et corrects. Il faut comprendre pourqoui cela ne fonctionne pas : tcpdump sur ipcop est indispensable pour cela ...

Remarque 3 :
Attention : Ipsec et Livebox ne font pas bon ménage. Il faut aussi pensez à la difficulté entre Ipsec et une adresse dynamique (voire 2) même dûment nommée via un nom dynamique. J'ai lu que Zerina, alias OpenVPN est en alpha pour le net2net.