Routage via VPN

par **tomtom** » 09 Oct 2003 15:36

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-09 14:19, franckux a écrit: ____________________________________________________________________ sur IPcopB route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.69.253 ppp0 ____________________________________________________________________ Angenoir, je ne suis pas sîr que ça puisse le faire : IPcop B est sur le réseau 192.168.72.0/24. Sa passerelle doit être sur le même réseau. Sinon... Network is unreachable !!! Me trompe-je ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> route add -host 192.168.69.253 ipsec0 (je suppose toujours que ipsec0 est ton interface de vpn) puis route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.69.253 Mais ce n'est pas sur que ca fonctionne. Sinon, tu dois pouvoir ajouter la route simplement par l'interface !! route add -net 192.168.16.0 netmask 255.255.255.0 ipsec0 ... t.

par **calamarz** » 09 Oct 2003 17:49

Je viens d'essayer ce que tu as mis TomTom mais pareil les passerelles s'installent bien en revanche je ne passe pas sur le réseau A a partir du B <IMG SRC="images/smiles/icon_frown.gif">

par **franckux** » 09 Oct 2003 18:10

Patiente un peu, Calamarz. J'ai réussi le routage via VPN. J'essaye de mettre ça au clair dans ma tête et sur papiere (c; J'expliquerai ma config, ma démarche... Franck

par **tomtom** » 09 Oct 2003 18:30

la soluce se trouve sur le site de freeswan ! C'est bien ce qu'il me semblait, tu as besoin d'un tunnel qui engobe ton lan C ! <a href="http://www.freeswan.org/freeswan_trees/freeswan-2.02/doc/adv_config.html#adv_config" target="_blank">http://www.freeswan.org/freeswan_trees/freeswan-2.02/doc/adv_config.html#adv_config</a> En clair, tu as juste à ajouter un tunnel comme suit : left=subnetB rigntsubnet=subnetC que tu crées entre les deux ipcop. Ensuite, sur ipcop A, tu mets bien la route vers le lan C, et ca devrait rouler. Note : Je ne sai spas si l'on peut creer avec ipcop plusieurs tunnels de cette manièere par l'interface. En particulier, je ne sais pas si tu peux creer un tunnel dont le reseau n'est pas directement connecté à IPCop. MAIS ce qui est sur c'est que freeswan permet ça, donc tu peux le faire à la main (c'est le principe que l'on utilise pour les "hub vpn". Le truc, c'est que si tu fais cette conf à la main dans les ipsec.conf, tu devras penser à modifer les scripts iptables pour autoriser tout ce qui vient du vpn à être routé. Ca me parait assez simple. Par contre, je suis etonné que ca ne fonctionne pas en modifiant simplement le masque du vpn (ramené à un /16), car d'apres la doc freeswan ca devrait focntionner... t.

par **franckux** » 09 Oct 2003 18:42

Je viens de réussir un routage par VPN. J'ai 7 sites (5 en ADSL donc VPN et 2 en RNIS avec des routeurs CISCO 760). Comme j'ai des problèmes de déconnexion intempestive, il était important pour moi de pouvoir accéder aux différents sites via les routeurs pour pouvoir les reconnecter. site 0 : 192.168.0.0/24 (1024/256 Wanadoo, IpCop 1.3.0) Site 1 : 192.168.1.0/24 (512/128 Free, IpCop 1.3.1alpha4) Site 2 : 192.168.2.0/24 RNIS Site 3 : 192.168.3.0/24 (512/128 Free, IpCop 1.3.1alpha4) Site 4 : 192.168.4.0/24 RNIS Site 5 : 192.168.5.0/24 (512/128 Free, IpCop 1.3.1alpha4) Site 6: 172.87.0.0/16 (512/128 Free, IpCop 1.3.1alpha5) En cas de déconnexion du site 0, je me connectais au site 3 (via PcAnywhere), du site 3, je me connectais au site 4 (via PcAnywhere) et du site 4, je me connectais au site 0 (via PcAnywhere). De là, je pouvais réactiver ma connexion et donc le VPN. Considérons donc les Sites 0, 3 et 4 J'ai édité les routes des différents IpCops. sur IPcop0 : $ route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 193.253.48.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 193.253.48.1 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0 192.168.5.0 193.253.48.1 255.255.255.0 UG 0 0 0 ipsec0 192.168.4.0 193.253.48.1 255.255.255.0 UG 0 0 0 ipsec0 192.168.3.0 193.253.48.1 255.255.255.0 UG 0 0 0 ipsec0 192.168.1.0 193.253.48.1 255.255.255.0 UG 0 0 0 ipsec0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 1.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 172.87.0.0 193.253.48.1 255.255.0.0 UG 0 0 0 ipsec0 0.0.0.0 193.253.48.1 0.0.0.0 UG 0 0 0 ppp0 sur ipcop3 : $ route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.254.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.254.254 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0 10.0.0.138 0.0.0.0 255.255.255.254 U 0 0 0 eth2 192.168.5.0 192.168.254.254 255.255.255.0 UG 0 0 0 ipsec0 192.168.4.0 192.168.3.200 255.255.255.0 UG 1 0 0 eth0 192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.1.0 192.168.254.254 255.255.255.0 UG 0 0 0 ipsec0 192.168.0.0 192.168.254.254 255.255.255.0 UG 0 0 0 ipsec0 172.87.0.0 192.168.254.254 255.255.0.0 UG 0 0 0 ipsec0 0.0.0.0 192.168.254.254 0.0.0.0 UG 0 0 0 ppp0 REMARQUE : On peut donc bien avoir une passerelle sur un autre réseau ;o) J'ai rajouté dans Ipcop0 : route add -net 192.168.4.0 mask 255.255.255.0 gw 193.253.48.1 metric 0 ipsec0 et : route add -net 192.168.4.0 mask 255.255.255.0 gw 192.168.0.150 metric 1 eth0 (routeur vers site 4) J'ai rajouté dans Ipcop3 : route add -net 192.168.0.0 mask 255.255.255.0 gw 193.253.48.1 metric 0 ipsec0 et : route add -net 192.168.0.0 mask 255.255.255.0 gw 192.168.4.200 metric 1 eth0 (routeur vers site 4) A partir d'une station Win XP du site 0, j'ai fait un tarcert 192.168.4.1. Ca passait bien par Ipcop0 mais pas de réponse <IMG SRC="images/smiles/icon_eek.gif">( J'ai créé, à l'aide de l'interface graphique d'ipcop0 et d'ipcop3, un nouveau VPN Site0Site4 avec : 193.253.x.x %defaultroute% 192.168.0.0/24 (193.523.x.x correspond à l'adresse publique su site 0) x.x.x.x %defaultroute% 192.168.4.0/24 (x.x.x.x correspond à l'adresse publique du site 3) Clé + compression Remarque : Site0Site4 est équivalent au Site0Site3 sauf pour l'adresse réseau privée de droite et la clé. J'ai redémarré mon VPN, actualisé et ça roule Je sais pas faire court... Désolé J'espère que ça pourra t'aider

par **franckux** » 09 Oct 2003 18:46

Oups, TomTom, tu m'as devancé ;o) Oui tu peux créé plusieurs VPN à partir de l'interface graphique (J'en ai maintenant 5 par Ipcop) Franck

par **tomtom** » 09 Oct 2003 18:46

Un peu long mais correct <IMG SRC="images/smiles/icon_bise.gif"> Le truc important est que tu n'enverras dans le VPN que des paquets qui sont à destination d'une ip "protégée" par le tunnel. D'ou l'interet (donné dès le depart <IMG SRC="images/smiles/icon_wink.gif"> ) de créer un second tunnel ou encore d'elargir le premier, pour englober le lan C ! t. [edtit] A ton tour de me devancer <IMG SRC="images/smiles/icon_wink.gif"> [/edit] _________________ "Unix is user friendly. He's just very picky about who his friends are... "

par **calamarz** » 10 Oct 2003 11:16

Merci pour vos réponses bon je bosse dessus la mais je bloque (je dois avoir du mal quand même) voila pour l'ipcop 0 tu fais un moment un "route add -net 192.168.4.0 netmask 255.255.255.0 gw 192.253.48.1 metric 0 ipsec0" Mais 192.253.48.1 c'est une IP qui change je ne saisi pas bien. oufff bon je vais ressayer encore <IMG SRC="images/smiles/icon_bise.gif">

par **tomtom** » 10 Oct 2003 11:24

A mon humble avis, Calmarz, si tu crées le tunnel correctement, les routes s'ajouteront toutes seules ! Rien à faire de plus donc ! T.

par **franckux** » 10 Oct 2003 12:21

Salut Calamarz, En fait, c'est vrai que moi je suis en @IP fixe. Mais comme le dit Tomtom, en créant juste le VPN avec l'interface graphique, ça devrait le faire. Je n'ai jamais fait ce genre de chose avec DynDNS ou autre. Je suis Néophyte sous Linux (et les réseaux) et je ne pourrai pas t'aider beaucoup plus. Franck

par **calamarz** » 10 Oct 2003 12:28

Je sens que je brule garce a votre aide Nom: messagerie Activé: Gauche: 62.212.x.x Prochain hôte de gauche: %defaultroute Sous-réseau de gauche: 192.168.69.0/24 Droite: 213.41.x.x Prochain hôte de droite: %defaultroute Sous-réseau de droite: 192.168.32.0/24 Clé de cryptage:****** Compression: on Sélectionner: Nom: liaison Activé: Gauche: 62.212.x.x Prochain hôte de gauche: %defaultroute Sous-réseau de gauche: 192.168.69.0/24 Droite: 213.41.x.x Prochain hôte de droite: %defaultroute Sous-réseau de droite: 192.168.70.0/24 Clé de cryptage:********* Compression: on Sélectionner: Voila la configuration sur le site A et B les deux tunnels sont ouverts mais depuis le site B (192.168.70.0) par l'intermediaire d'un pc je n'arrive pas a pinguer mon réseau de test (192.168.32.0) qui est relie au site A (192.168.69.0) par un routeur. je viens de faire un tracert a partir du site B vers le reseau de test mon paquet prnd bien Ipcop B en revanche apres il part sur le net <IMG SRC="images/smiles/icon_confused.gif">

par **franckux** » 10 Oct 2003 12:42

Booouuuuhhh <IMG SRC="images/smiles/icon_bawling.gif"> Calamarz, je ne comprends pas ton dernier message. J'avais imprimé ton schéma pour arriver à suivre mais là, je ne m'y retrouve plus <IMG SRC="images/smiles/icon_bawling.gif">

par **franckux** » 10 Oct 2003 12:49

---------------------------------------------------------------------------------------- Voila la configuration sur le site A et B les deux tunnels sont ouverts mais depuis le site B (192.168.70.0) par l'intermediaire d'un pc je n'arrive pas a pinguer mon réseau de test (192.168.32.0) qui est relie au site A (192.168.69.0) par un routeur. ------------------------------------------------------------------------------------------- Je présume que tu voulais dire 192.168.72.0 en parlant du site B ? Et que le réseau 192.168.32.0 "remplace le temps des tests" ton réseau 192.168.69.254 ?

par **franckux** » 10 Oct 2003 12:51

------------------------------------------------------------------------------------------ Et que le résea ... [zap] ;;; ton réseau 192.168.69.254 ? -------------------------------------------------------------------------------------------- je voulais dire ton réseau 192.168.16.0

par **calamarz** » 10 Oct 2003 12:57

Oullallala je ne ne vais pas sur le net rectification, depuis mon poste sur le reseau B en faisant un tracert j'arrive a ça 1 <10 ms <10 ms <10 ms 192.168.70.253 2 <50 ms <49 ms <52 ms 62.4.16.248 3 <51ms <51 ms <52 ms 62.4.16.7 4 * * * Delai depasse lorsque je compare avec mes tables dans IPCOP A et B j'ai ceci IPCOP A Destination Gateway Genmask Flags Metric Ref Use Iface 62.4.16.248 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 62.4.16.248 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0 192.168.70.0 62.4.16.248 255.255.255.0 UG 0 0 0 ipsec0 192.168.69.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.55.0 62.4.16.248 255.255.255.0 UG 0 0 0 ipsec0 #Autre VPN 192.168.32.0 192.168.69.184 255.255.255.0 UG 0 0 0 eth0 #Paserelle vers réseau de test 192.168.32.0 62.4.16.248 255.255.255.0 UG 0 0 0 ipsec0 1.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.72.0 62.4.16.248 255.255.255.0 UG 0 0 0 ipsec0 #Autre VPN 0.0.0.0 62.4.16.248 0.0.0.0 UG 0 0 0 ppp0 IPCOP B Destination Gateway Genmask Flags Metric Ref Use Iface 62.4.16.248 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 62.4.16.248 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0 192.168.70.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.69.0 62.4.16.248 255.255.255.0 UG 0 0 0 ipsec0 1.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 62.4.16.248 0.0.0.0 UG 0 0 0 ppp0 Je ne vois pas ce qui cloche peut être un oubli sur des routes ???

Routage via VPN

Qui est en ligne ?