Routage apres un vpn

[calamarz]

Bonjour une petite question réseau voila j'ai deux sites avec des plans IP différents, je souhaite router une adresse via un VPN voici le détail:

RESEAU A (172.168.72.0/255.255.255.0) -- Ipcop A 172.168.72.253 ==VPN== Ipcop B 192.168.89.90 -- RESEAU B (192.168.89.64/255.255.255.224) -- Routeur Oleane 198.168.89.65 -- vers l'IP 192.168.198.113 PC TOYO

Probleme je n'ai pas la main sur le routeur 198.168.89.65 (Oleane) et bien évidemment la machine 192.168.198.113 ne connait pas mon reseau A, je pensais faire ceci:

Configuration VPN A:
local :172.168.72.0/255.255.255.0
distant: 192.168.0.0/255.255.0.0

Configuration VPN B:
local: 192.168.89.64/255.255.255.224
distant: 172.168.72.0/255.255.255.0

Ainsi normalement l'ip du PC toyo passe dans le tunnel, apres j'ajoute une route sur mon ipcop B pour rediriger vers le bon routeur: route add -host 192.168.198.113 gw 192.168.89.65

Le probleme est que je n'ai pas la route de retour, que faire ??? utilisation d'un NAT ??? ou est-ce impossible ??

Merci

[ccnet]

Plutôt confu. VPN site à site ? IPSec, ssl ? Toutes les ip sont bonnes ?
Il est assez clair cependant que si le routeur situé sur le chemin du retour ne prend pas en compte la destination finale, les choses ne vont pas être faciles.
Avec un exposé clair on y arrivera peut être ?

[calamarz]

Pas évident a expliquer mais je recommence

Donc j'ai deux sites connectés par VPN Ipsec sous Ipcop 1.4.21, mon probleme est que le site B possède un routeur qui le connecte au site C via un MPLS Orange, je n'ai pas la main sur ce routeur MPLS ni sur les machines du réseau C.

Je souhaite donc depuis mon réseau A (reseau que je gère) pouvoir me connecter au réseau C (réseau du constructeur que je ne gère pas) en passant par le réseau B (que je gere).

J'espère être un peu plus explicite.

Merci

[ccnet]

on apprend que finalement il n'y a pas deux mais trois réseaux.Si le routeur MPLS ne connait pas la route retour, je ne ois pas comment vous allez vous en sortir. Certes vous pouvez, sur le site B, faire en sorte que les paquets en provenance de A destinés à C soient routés correctement mais je ne vois pas comment le routeur distant sur C va pouvoir gérer le retour vers A.

utilisation d'un NAT ???

Je comprend mieux cette suggestion maintenant qu'il y a tous les éléments. Avec ipcop cela e me semble pas évident à réaliser.

[jdh]

Si j'ai bien compris, il y a 3 réseaux A, B et C avec
- un lien réciproque A vers B,
- un lien réciproque B vers C.
Et le but est de faire A vers C !

AMHA la seule solution serait de créer une machine dans le réseau B qui transférerai la totalité des flux l'atteignant vers la machine cible.
Et bien sur de pointer, à partir de A (ou B), sur cette machine là (et non la machine en C).

Cela est possible au moyen de règles iptables agissant
- en NAT en entrée vers la machine cible,
- et, en NATANT aussi l'adresse source de façon à remplacer la vraie adresse source (en A).

Il m'est arrivé de faire une machine comme cela, en écrivant, à la mano, la totalité du script iptables.
De mémoire, il fallait jouer sur PREROUTING et POSTROUTING dans la table nat (-t nat) (en sus du FORWARD de la table filter, forcément).
Cela était simple car les protocoles n'étaient pas nombreux (voire juste 2 ou 3 ports seulement).
La petite subtilité était de penser que les règles FORWARD s'écrivaient dans un sens avec une ip destination vraie et une ip source fausse, et dans l'autre l'inverse.
C'était tordu mais cela avait parfaitement fonctionné (et cela avait été pour moi l'occasion de découvrir netfilter/iptables avec un ingénieur assez calé).

[calamarz]

Merci pour vos réponses oui clairement le but est pour le site A de pouvoir utiliser un intranet situé sur le site C sans avoir a établir un liaison avec Orange entre le site A et C, pour le moment j'ai un vieux serveur Windows 2000 TSE sur le réseau B qui me permet via TSE de me connecter sur le site C mais pour des raisons techniques ce serveur ne pouvant être maintenu, je cherche une solution alternative...

Bon je vais me pencher sur le NAT en sachant que j'ai toujours mon vieux 2000 serveur qui je si je me souviens bien peut faire du NAT.

Merci !!!

[ccnet]

J'ai souvenir il y a un an ou deux d'avoir traité un problème du même style avec Pfsense sans écrire de code.
Bon courage pour régler le problème.

[calamarz]

Merci pour l'info justement je pensais faire des tests avec pfsense !!! Donc je monte cet apres midi un pfsense avec deux cartes reseaux et je vais faire les essais pour le NAT.

[ccnet]

Il est probable qu'il faille ajouter des routes statiques ce qui se fait bien dans Pfsense.