RPV sous IPcop

[manxounet]

Bonjour,


Je sais que je suis loin d'avoir autant de connaissance et c'est pourquoi je sollicite votre aide, mon problème est le suivant :

Je suis actuellement en entreprise et je dois créer un vpn entre 2 sites distants.

Pour l'instant je suis au stade des tests et j'ai à ma disposition 2 lignes internet (une du réseau local de l'entreprise et une autre du wifi de l'entreprise; c'est deux lignes sont entièrement indépendantes.

Au niveau de ces deux connections, il y a deux IPcop. Je me suis donc tourné vers eux pour la mise en place du VPN, j'ai appliqué le tuto suivant :

DEBUT

1. Sur ipcop1, menu RPVs:

1. Faire un RAZ Config pour supprimer les anciennes config s'il y a lieu.
2. Taper dans le champ “Nom d'hôte ou IP locale du RPV:” ipcop1.dyndns.org, cocher la case Activé et cliquer sur Enregistrer

2. Sur ipcop2, menu RPVs

1. Faire un RAZ Config pour supprimer les anciennes config s'il y a lieu.
2. Taper dans le champ “Nom d'hôte ou IP locale du RPV:” ipcop2.dyndns.org, cocher la case Activé et cliquer sur Enregistrer

Géneration des certificats racine et Systeme

3. Sur ipcop1: Cliquez sur “Géneration des certificats racine et Systeme” et remplir comme ci-dessous:

1. ipcop1 pour “Nom d'Organisation"
2. ipcop1.dyndns.org pour “Nom d'Hote IPCop's”
3. Selectionner le pays
4. Cliquer sur “Géneration des certificats racine et Systeme”, cela va creer les certificats (qui peut prendre un moment) et enfin retour à la page d'accueil de RPVs.
5. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat racine”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est cacert.pem, renommez le cacertipcop1.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau.
6. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat système”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est hostcert.pem, renommez le hostcertipcop1.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau

4. Sur ipcop2: Cliquez sur “Géneration des certificats racine et Systeme” et remplir comme ci-dessous:

1. ipcop2 pour “Nom d'Organisation"
2. ipcop2.dyndns.org pour “Nom d'Hote IPCop's”
3. Selectionner le pays
4. Cliquer sur “Géneration des certificats racine et Systeme”, cela va creer les certificats (qui peut prendre un moment) et enfin retour à la page d'accueil de RPVs.
5. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat racine”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est cacert.pem, renommez le cacertipcop2.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau.
6. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat système”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est hostcert.pem, renommez le hostcertipcop2.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau
Upload the CA Certificates

A ce stade, nous allons faire connaitre les 2 machines ipcop entre eux, ainsi ils pourront mutuellement faire confiance grace aux certificats de l'un et l'autre.

5. Sur ipcop1:

1. Taper ipcop2 pour le “Nom de l'autorité de certification"
2. Cliquer sur Parcourir et selectionner le fichier cacertipcop2.pem (qui se trouve sur votre bureau)
3. Cliquer sur “Transferer le certificat CA", cela a pour but de transferer le certificat d'ipcop2 sur ipcop1. Une 3ème ligne va s'afficher en bas dans la colonne Autortités de Certification.

6. Sur ipcop2:

1. Taper ipcop1 pour le “Nom de l'autorité de certification"
2. Cliquer sur Parcourir et selectionner le fichier cacertipcop1.pem (qui se trouve sur votre bureau)
3. Cliquer sur “Transferer le certificat CA", cela a pour but de transferer le certificat d'ipcop1 sur ipcop2. Une 3ème ligne va s'afficher en bas dans la colonne Autorités de Certification.

Creation d'un VPN

7. Sur ipcop1: Cliquer sur “Ajouter” button situé au milieu. Sur l'écran suivant, séléctionner "RPV réseau à réseau" et remplir comme ci-dessous :

1. ipcop2 pour le “Nom”
2. left pour le “Coté IPCop”
3. 192.168.0.0/255.255.255.0 pour le sous “Réseau Local"
4. ipcop2.dyndns.org (ou son IP fixe) pour le “Serveur/IP distant”
5. 10.0.0.0/255.255.255.0 as the “Sous Réseau Distant"
6. Dans la partie “Authetification", cliquer sur ''Transférer un certificat". Cliquer sur "Parcourir" afin de mettre le fichier hostcertipcop2.pem (qui se trouve sur le bureau).
7. Cliquer sur Enregistrer.

8. Sur ipcop2 (tout est inversé): Cliquer sur “Ajouter” button situé au milieu. Sur l'écran suivant, séléctionner "RPV réseau à réseau" et remplir comme ci-dessous :

1. ipcop1 pour le “Nom”
2. right pour le “Coté IPCop”
3. 10.0.0.0/255.255.255.0 pour le sous “Réseau Local"
4. ipcop1.dyndns.org (ou son IP fixe) pour le “Serveur/IP distant” (
5. 192.168.0.0/255.255.255.0 as the “Sous Réseau Distant"
6. Dans la partie “Authetification", cliquer sur ''Transférer un certificat". Cliquer sur "Parcourir" afin de mettre le fichier hostcertipcop1.pem (qui se trouve sur le bureau).
7. Cliquer sur Enregistrer.


FIN


Une fois arrivé au bout de se tuto, l'état de mon RPV est toujours "fermé" et les pings d'un serveur à l'autre ne marchent pas.
Quand je fais un tracert entre les deux réseaux locaux ( 192.168.0.0 pour l'un et 192.168.100.0 pour l'autre) les paquets vont jusque sur internet puis le délai est dépassé:

192.168.100.1 (mon ipcop)
192.168.10.1 (routeur free)
88.169.205.254 (mon ip sur le net)
213.228.26.254 (?)
Délai dépassé ...

Donc voilà je ne sais pas trop d'où vient le problème.
Dois-je ouvrir des ports ? Si oui, pouvez vous me dire lesquels?

Je vous remercie d'avance pour l'attention que vous apporterez à mon problème.

[ccnet]

Donnez le contenu des logs. je serai étonné qu'il n'en existent pas avec des messages d'erreurs.

[manxounet]

Désolé d'avance si je ne met pas assez d'informations (dites le moi) mais je met ce qui me laisse penser qu'il s'agit d'erreur (merci à votre forum pr votre aide).

Logs sur ipcop1:


Serveur HTTP:


Requests with error response codes
401 Unauthorized
/cgi-bin/dial.cgi: 1 Time(s)




Logs sur IPcop2 :

Serveur HTTP:

1.30 MB transferred in 78 responses (1xx 0, 2xx 77, 3xx 0, 4xx 1, 5xx 0)
26 Images (0.03 MB),
51 Content pages (1.22 MB),
1 Other (0.04 MB)

Requests with error response codes
401 Unauthorized

/cgi-bin/vpnmain.cgi: 1 Time(s)

Noyau et pare-feu:

WARNING: Kernel Errors Present
hdb: task_no_data_intr: error=0x04 { DriveStat...: 1 Time(s)
hdb: task_no_data_intr: status=0x51 { DriveReady SeekComplete Error }...: 1 Time(s)


J'ai pris ces informations dans résumé des journaux, dites moi si vous voulez que je regarde ailleurs .

Je vous remercie d'avance.

[Franck78]

I)

3. 10.0.0.0/255.255.255.0 pour le sous “Réseau Local"

entre les deux réseaux locaux ( 192.168.0.0 pour l'un et 192.168.100.0 pour l'autre) l

Les tutos ne se suivent pas à la lettre. Comment monter un VPN avec un réseau qui n'existe pas...?




II)
dyndns.org:
Ca semble évident, mais en fait non. ipcop1(2).dyndsn.org se résout en quoi?
-l'IP publique d'un routeur
-l'IP publique RED de l'ipcop
-rien, j'ai pas de compte dyndns....

[manxounet]

J'ai seulement citer le tuto, et je l'ai adapté à mon cas dans la pratique.
Je vais vous donner les détails :

Routeur Free ---- IPcop2 ---- Wifi || LAN---- IPCOP1 ----- Routeur cisco 871 ------ modem--- connexion easynet


Dans les 2 cas j'ai une IP fixe donc pas de souci avec dyndns (car pas utilisé).


Alors en sous réseau local pour le lan, j'ai mis 192.168.0.0/255.255.255.0
pour le wifi 192.168.100.0/255.255.255.0

J'ai scrupuleusement suivi le tuto et je pense l'avoir adapté correctement à mon cas.

Cependant je ne sais pas du tout si j'ai des ports à ouvrir ou à rediriger.

Ai je d'autres manipulations à faire pour créer le VPN?

Merci =)

ps : On est bien d'accord que si notre connexion a une ip fixe, alors l'ip publique de l'ipcop sera la même?

[jdh]

Le rpv IPSEC fonctionne bien avec l'adresse ip publique directement sur l'interface Red d'Ipcop.
MAIS quand Ipcop est derrière un routeur, c'est bien plus difficile !!!!

Pour la Freebox, il FAUT la passer en bridge : comme cela, Red a bien l'ip publique.
Pour le routeur Cisco, il est possible que cela ne puisse fonctionner si le Cisco (ou n'importe quel routeur) réalise du NAT : Il faut avoir un IPSEC supportant le NAT traversal (j'ignore si Ipcop gère bien le NAT traversal). De plus, il faudra savoir renvoyer TOUS les trafics utiles et cela ne se résume pas à tcp ou udp !

Bref, le tuto suppose que l'ip publique est directement sur ipcop, et adapter cela n'a rien d'évident !
(Pourquoi faire un effort de présentation notable et oublier les routeurs/modem : cela montre qu'il vaut toujours le maximum d'informations car ici cela joue un rôle non négligeable !)

[Franck78]

Entre les Box et IPCop? C'est comment?

[manxounet]

"Entre les Box et IPCop? C'est comment?"

C'est à dire? (dsl je suis pas vraiment habitué à avoir ce genre de problème =) )


"la Freebox, il FAUT la passer en bridge "

Apparemment je ne peux pas car elle a le rôle du serveur DHCP.

Est il possible que le routeur cisco réalise du NAT sachant qu'il n'a pas été configuré ? (apparemment il n'a jamais été configuré).


Je m'excuse encore une fois car je débute avec les firewalls (merci de votre patience) =)

edit : adresse ip de la machine : RED(l'ip fixe) sur chaque ipcop

[jdh]

Les tutos pour créer des VPN (pour ipcop ou pfsense) partent du principe que le firewall dispose de l'adresse ip publique. C'est clair.

Parce que, quand il y a quelque chose devant le firewall, il est possible que cela ne fonctionne pas (surtout avec ipsec).


La freebox DOIT être passé en bridge, parce qu'ainsi, l'ipcop sera recevra l'adresse ip publique (par dhcp). Ca c'est simple et facile.

Le routeur Cisco vous a été fourni ?
Le Red d'ipcop est en ip statique et privée ? Si la réponse est oui, cela ne va pas être forcément possible ...

Dans le cas d'un routeur (avec adressage privé derrière),
- d'une part, il faut bien préciser à l'autre ipcop l'adresse ip publique du routeur,
- d'autre part, il faut renvoyer les trafics utiles vers le firewall et ceux ci ne se résument pas à 4500/udp !


C'est pour cela qu'il est important de préciser ce qui vous semble inutile : quand on est débutant, on identifie pas toujours ce qui joue un rôle ...

[manxounet]

Il est clair que je ne suis peut être (surement) pas en mesure d'identifier tout ce qui joue un rôle dans tout ça, mais j'essaye et j'aimerai bien. =)


"Le Red d'ipcop est en ip statique et privée ?"
Alors pour ce qui est des IPcop, ils sont bien en IP statique et privé mais en green.
Pour le red il s'agit bien de l'ip fixe d'internet 84.37.xxx.xxx


"La freebox DOIT être passé en bridge, parce qu'ainsi, l'ipcop sera recevra l'adresse ip publique (par dhcp). Ca c'est simple et facile."
Et comme je l'ai dit avant, si je met la freebox en mode bridge vais je perdre son rôle de serveur DHCP?
Si oui, n'y a t il aucun autre moyen pour la freebox ?


J'ai fait une erreur lors de mon précédent schéma, il n'y a rien avant le routeur cisco, dsl.

Le matériel après l'ipcop a t il une importance?

Je viens de faire une petite représentation graphique du réseau :

[jdh]

(Visio : c'est rapide ...)

Dans ce schéma, il manque des infos :
- un ipcop ça a 2 interfaces donc il faut 2 adresses ip : l'une en Red, l'autre en Green (le mieux étant directement de jouer sur la couleur du texte !)
- le réseau Green du site a 2 firewalls : ça c'est très insecure !
- je ne vois pas les adresses Red des 2 ipcop ... donc je ne peux rien dire !


Le freebox DEVRA passer en bridge.
Le Cisco 878 gagnerait à n'être que routeur et fournir l'adresse ip publique à Red d'ipcop.


(Il faudra penser à casser le Zyxel et son accès Internet : ipcop ne sait pas gérer 2 Wan tandis que pfSense le sait !)

[manxounet]

Alors l'ipcop1 :

en red : l'ip du routeur = ip fixe (84.37.xxx.xxx)
en green = 192.168.0.1 (= ip de l'ipcop1 en local)
en blue = 192.168.10.1
en orange =10.0.0.1

sur ipcop2 :

en red : l'ip du routeur free = ip fixe 88.169.xxx.xxx
en green = 192.168.100.1 (=ip de l'ipcop2 en local)

[jdh]

en red : l'ip du routeur = ip fixe (84.37.xxx.xxx)

Je ne comprends pas !

Quelle est l'ip de l'interface Red de chaque ipcop ? Est ce une adresse publique ?

Usuellement un Cisco est un routeur, alors ip de Red est généralement privée.

[manxounet]

Exact l'interface red des ipcop correspond à l'ip publique (fixe), dsl si je m'étais mal fait comprendre.

[jdh]

Si Red est publique alors il ne devrait pas y avoir de problèmes ...