Visibilité site en RPV depuis un client OPENVPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Visibilité site en RPV depuis un client OPENVPN

Messagepar Xand3r » 27 Nov 2009 18:29

Bonjour à tous,

Premier post sur ce riche forum ! merci à tous les contributeurs.

Voici mon problème : J'ai Trois sites connectés en VPN avec le module RPV d'ipcop (3 Ipcop 1.4.21), depuis peu j'ai installé OpenVpn/Zerina pour offrir un accès nomade à certains collaborateurs, voici la config :

Site 1 : réseau 10.10.10.0 (RPV, OpenVPN)
Site 2 : réseau 10.10.20.0 (RPV)
Site 3 : réseau 10.10.12.0 (RPV)

Les clients nomades (OpenVPN) se connectent au Site 1 et voient donc tous les réseaux et machines reliés à l'IPCOP du Site 1 (GREEN, ORANGE, BLUE), mais je voudrais aussi accéder aux machines des réseaux distants, par exemple accéder à la machine 10.10.20.10 (Site 2) depuis un client nomade connecté en OpenVPN sur le Site 1.

Je suis arrivé à pusher les routes aux clients OpenVPN, mes clients savent par où passer pour accéder aux réseaux 10.10.20.0 et 10.10.12.0, mais j'ai du mal avec la config de routage sur les IPCOP des sites 2 & 3, j'ai tenté ça (trouvé sur ce forum) sur le Pf du site 2 :

route add -net 10.243.145.0/24 gw 213.34.23.1 ipsec0

213.34.23.1 étant ma passerelle configurée sur l'IPCOP du Site 2 (adresse du routeur)
& 10.243.145.0 étant le réseau de clients OpenVPN

Mais cela ne fonctionne pas ...

Même après plusieurs relectures, je ne suis pas sûr d'avoir donné toutes les informations pour résoudre ce problème (J'espère en tout cas), donc ....

Merci d'avance en tout cas ...

@Bientôt,

Xand3r
Xand3r
Matelot
Matelot
 
Messages: 1
Inscrit le: 27 Nov 2009 17:56
Localisation: TROYES
Haut

Messagepar Franck78 » 27 Nov 2009 22:18

route add -net 10.243.145.0/24 gw 213.34.23.1 ipsec0

Si tu es sur le site2 pour atteindre Site1 (qui de la ira vers 10.243.145.0/24) c'est plutôt un

route add -net 10.243.145.0/24 gw dev ipsec0.

Pourquoi cette IP en dehors de tout 213.34.23.1 ???
Tu dois bien rester dans le tunel entre sites!

Maic cela ne suffit pas théoriquement car le IPsec est 'net1-to-net2' et rejetera à l'arrivée (sortie du tube) ce qui n'est pas destiné au 'net2'. Lastuce consiste grosso modo a jouer sur le masque.

chaque net a une adresse style 10.0.2.0/24 10.0.1.0/24 .... et l site central 10.0.0.0/16

si sur chaque extrémité, on construit le net-to-net avec 10.0.0.0/16 - 10.0.1.0/24, le site central acceptera tout (10.0.X.X/16) et connaissant tout les autreVPN, fera le routage.
Et du coup, plus de route add a ajouter!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz