IPCOP RPV - Routage pour Gateway Remote

[Patrouni]

Bonjour à tous,

j'ai monté un VPN (RPV) entre 2 IPCops 1.4.21 (via les interfaces RED : PPPOE IP FIXE)

green ipcop1: 192.168.0.254
green ipcop2: 192.168.1.254

tout va bien jusque là, les machines des 2 lans se ping et tout et tout ...

Ca se complique ici : sur le lan 2 (192.0.1.0/24), j'ai un routeur (192.168.1.200) qui permet d'atteindre un site via ls : 192.168.200.0/24

donc toutes les machines du lan 2 ont comme route spécifique :
192.168.200.0/24 Gateway 192.168.1.200 et ca marche nickel pour le réseau 2

j'aimerai atteindre depuis le réseau 1 le réseau 192.168.200.0/24 en passant par le VPN

pour cela il faudrait que je fasse : 192.168.200.0/24 Gateway 192.168.1.200 (ce qui n'est pas possible)

Or j'ai vu que c'est la def rule ipsec qui définie les réseaux source et dest du tunnel, donc ici uniquement possible traffic entre 192.168.0.x et 192.168.1.x

-1- Solution 1:
-----------------
De ce qu'on m'a dit; pour faire le routage 'plus loin', il me faudrait un VRAI tunnel avec L2TP/IPSEC
- IPSEC cripte le l2tp entre les deux ipcop
- L2TP lui encapsule le VRAI traffic entre les réseaux
- et là les 'routes' classiques marcheront...

ipcop et L2TP/IPSEC ? je ne sais pas si ça fait .... quelqu'un a la soluce ?

-2- Solution 2:
-----------------
???

Il y a forcément quelqu'un a déjà été confronté à ce genre de problème qui doit arriver souvent? Joindre un réseau depuis un réseau.

Merci pour vos réponses.

[ko08nz]

Salut,

Pour résumer :
192.168.0.0/24 ( ipcop1 ) <--- IPSec ---> ( ipcop2 )192.168.1.0/24 --- Routeur --- LAN 192.168.200.0/24

Il faudrait ajouter des routes statiques :
ipcop1 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev ipsec0
ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev "green"
Routeur $ route ip 192.168.0.0 /24 192.168.1.200

Dans le fichier de conf : /etc/rc.d/rc.local, ajouter une règle pour qu'au prochain reboot, la route reste.

++

[Patrouni]

Salut ko08nz,

ipcop1 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev ipsec0
=> OK

Routeur $ route ip 192.168.0.0 /24 192.168.1.200
=> ne serais-ce pas : route ip 192.168.0.0 /24 192.168.1.254

ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev eth0
=> ???
moi j'avais mis :
route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.1.200
dois-je supprimer ?


merci pour tes réponses !

[ko08nz]

<--IPSec ---> ( ipcop2 )192.168.1.254/32 --- 192.168.1.200 ( Routeur ) 192.168.200.x/32 --- LAN: 192.168.200.0/24

Routeur $ route ip 192.168.0.0 /24 192.168.1.200
=> ne serais-ce pas : route ip 192.168.0.0 /24 192.168.1.254

Si, si !

ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev eth0
=> ???
moi j'avais mis :
route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.1.200
dois-je supprimer ?

C'est bon.
La router est bonne.
Tu n'as pas besoin d'ajouter la mienne.

++

[Patrouni]

ko08nz,

Merci encore pour ton aide même si cela ne fonctionne pas :

<192.168.0.0/24 ( ipcop1 ) <--- IPSec ---> ( ipcop2 )192.168.1.0/24 --- Routeur --- LAN 192.168.200.0/24

Cela ne fonctionne pas et malheureusement pour moi, c'est normal...

et pourtant j'ai bien :
ipcop1 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev ipsec0
ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.1.20
et sur le routeur Cisco : route ip 192.168.0.0 /24 192.168.1.254

les tables de routages sont bonnes aussi et ça ne passe pas car IPSEC est construit au départ (on définit les lan/subnet explicitement, ceux qu'on autorise en effet dans le tunnel). Dans mon cas seulement 192.168.0.x et 192.168.1.x. Je ne peux pas non plus jouer avec les Subnets car trop différents... j'ai déjà vu ce problème signalé et la seule réponse fut L2TP/IPSEC...
et ça sur un IPCOP, je ne sais pas faire.

Pourtant, je suis sur que cette mésaventure est déjà arrivé à quelqu'un qui a du trouver une solution...

à l'aide ^^

[Patrouni]

Y'a personne qui saurait ?