Connexion

par **taquetman1** » 02 Juil 2003 11:01

Bonjour a tous, J'ai une question au sujet des VPN grace a MNF. Voici mon probleme, j'ai 4 agences que je veux interconnecter entre elles ( cad que chacune devra pouvoir aller chercher des infos chez les toutes les autres agences) (LYON IP fixe, troyes, dijon et paris) Donc si je suis la doc de MNF je pense que je n'aurais pas de probleme pour interconnecter LYON-troyes, LYON-paris, LYON-dijon. Sachant que lyon sera coté droit et les autres du coté gauche. 1ere question: Mais comment faire pour interconnecter PARIS et DIJON, etc sachant qu'il se retrouve tous les deux du meme coté.(gauche) Faut il recréer un deuxième serveur VPN?? 2eme question : Est ce que je dois créer un tunnel par connexion VPN ou je vais avoir 3 tunnels. 3eme question : Mon plan d'adressage IP est du type 192.0.0.0/24 pour toutes les agences, est ce qu'il est commpatible pour les liens VPN ou est ce qu je dois le faire passer au format 192.168.0.0/24. Merci de vos réponses.

par **belugha** » 02 Juil 2003 11:59

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-07-02 11:01, taquetman1 a écrit: Bonjour a tous, J'ai une question au sujet des VPN grace a MNF. Voici mon probleme, j'ai 4 agences que je veux interconnecter entre elles ( cad que chacune devra pouvoir aller chercher des infos chez les toutes les autres agences) (LYON IP fixe, troyes, dijon et paris) Donc si je suis la doc de MNF je pense que je n'aurais pas de probleme pour interconnecter LYON-troyes, LYON-paris, LYON-dijon. Sachant que lyon sera coté droit et les autres du coté gauche. 1ere question: Mais comment faire pour interconnecter PARIS et DIJON, etc sachant qu'il se retrouve tous les deux du meme coté.(gauche) Faut il recréer un deuxième serveur VPN?? 2eme question : Est ce que je dois créer un tunnel par connexion VPN ou je vais avoir 3 tunnels. 3eme question : Mon plan d'adressage IP est du type 192.0.0.0/24 pour toutes les agences, est ce qu'il est commpatible pour les liens VPN ou est ce qu je dois le faire passer au format 192.168.0.0/24. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> 1er question: Non il suffit que toutes tes VPN soient montés 2eme question: 3 tunnels 3eme question: tout depend si tu mets en place un routeur ou non

par **taquetman1** » 02 Juil 2003 12:04

Donc si je comprends bien une fois que j'ai suivi la configuration donnée par la doc MNF, et que j'ai validé tous mes tunnels (un par agence) toutes les agences se verront??? Je ne vais pas utiliser de routeur je reste en l'etat (cad la MNF qui gere l'acces internet, le proxy et les VPN) DOnc je dois changer d'adressages ou pas?? merci <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

par **belugha** » 02 Juil 2003 12:07

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-07-02 12:04, taquetman1 a écrit: Donc si je comprends bien une fois que j'ai suivi la configuration donnée par la doc MNF, et que j'ai validé tous mes tunnels (un par agence) toutes les agences se verront??? Je ne vais pas utiliser de routeur je reste en l'etat (cad la MNF qui gere l'acces internet, le proxy et les VPN) DOnc je dois changer d'adressages ou pas?? merci <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non pas de chgmt.

par **tomtom** » 02 Juil 2003 14:23

Hey Belugha tu es un peu expeditive sur le coup ! Monter un VPN avec un site central pour tous les groupper est loin d'êtrre une trivialité, tu as déja oublié le temps que tu y a passé ? <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> Taquet, en fait pour obtenir le resultat que tu souhaites, tu as deux approches. Je vais schematiser pour generaliser. On veut grouper N sites L'adresse du sit n sera 192.168.n.0/24 (pour simplifier...) Solution 1 : On cree pour chaque sit un tunnel vers les N-1 autres. Ainsi, tout le monde se verra puisque pour parler à un site distant, on utilise le tunnel vers ce site. Inconvenient majeur : sur chaque site, N-1 tunnels à gerer, et un total de N*(N-1)/2 tunnels. Ex pour ton cas : sur chaque site 3 tunnels, et 6 tunnels au total. Ca fait de la gestion. Avantage : pas de routage à gerer, pas de changement de classe de réseau. Solution 2 : On crée artificiellement un genre de "HUB VPN" representé par un site (LYON par exemple puisqu'il a une ip fixe). L'idée est assez simple : chaque site sera relié uniquement au site central par un tunnel. Et chaque site "pense" que tout le reste du vpn est "derrière" le site central. Le site central (site 0) prendra l'ip 192.168.0.0/24 ensuite, chaque site prend son numero d'ip (ex : site 1 = 192.168.1.0/24 etc.) On cree pour chaque site distant un tunnel ou gauche = 192.168.0.0/16 (note bien le changement de classe, on parle de CIDR ici) et droite = 192.168.n.0/24 Ainsi, si on veut parler par exemple à 192.168.2.xxx, le routage nous indiquera de passer vers 192.168.0.0/16, et on enverra cela au site central. Ensuite, c'est lui qui se charge de router via un autre tunnel jusqu'au distant. Avantage : Un seul tunnel à gerer sur chaque site, gestion centralisée. Inconvenients : Il faut bien maitriser les bases du reseau, savoir ce que l'on fait. Ca peut etre aussi plus delicat à depanner. Et surtout cela induit une surcharge sur la bande passante du site central, puisque toutes les communications, même celles qui ne le concernent pas vont passer par lui. Voila, le choix d'une solution 1 ou 2 depend de tes gouts, du nombre de sites, de la competence de l'ingenieur reseau et de sa capacité à se deplacer sur les divers sites. IL faut aussi prendre en compte les moyens d'acces au reseau sur chaque site (si on a un site avec un T1 par exemple, ca peut faire un bon site central, surtout si les distants sont connectes en ADSL <IMG SRC="images/smiles/icon_wink.gif"> ). Je pense que pour 4 sites, les deux methodes sont à peu pres equivalentes en complexité. Donc c'est un peu au choix. Un autre point est que en cas de defaillance sur les equipements du site central, c'est tous les liens qui tombent. C'est aussi à prendre en compte si tu as des besoins de disponibilité importants.... A ton service pour l'implementation technique ou si tu as besoin d'eclaircissements sur les methodes de VPN. A noter qu'en revanche, je ne connais pas la MNF, donc c'est quelquechose de plus theorique sur Linux que je peux t'apporter, mais ca devrait etre OK. Bon courage, tu te lances dans un beau projet ! T.

par **belugha** » 02 Juil 2003 14:37

Non je ne suis pas expéditive Tomtom mais je n'ai pas ton envergure <IMG SRC="images/smiles/icon_wink.gif"> Sinon je suis tjs dans l'attente de ma publication de ma doc 'IPCop centre de VPN' sur Ixus, ou je me suis déjà taper tout un topo. Voilà <IMG SRC="images/smiles/icon_smile.gif">

par **taquetman1** » 02 Juil 2003 14:53

Resumons la situtation : Je pense que je vais choisir la solution 1 sachant que je n'utilise que des lignes ADSL je ne veux pas ecombrer le réseau. Comment est ce que je différencie mes tunnels si je n'ai pas d'adresse IP fixe sur chaque agence. Je vais donc devoir faire 3 tunnels identique a chaque fois??? (pour etre plus calir adresse IP de la passerelle sera toujours la meme???) Un truc que je ne comprends pas, il va bien falloir que je choisisse un coté pour l'ajout des serveurs VPN or comment 2 Serveur VPN ayant le meme coté peuvent communiquer?? Supposons que LYON soit a gauche tous les autres seront donc a droite il n' y a pas un beug qq part?? Encore une question quand je genere mon CA trois fichiers devrait etre créer afin que je les copie sur les postes MNF. Or j'ai beau regarder a l'endroit indiquer par la doc MNF je ne trouve rien pkoi?? je vous remercie de votre aide.

par **tomtom** » 02 Juil 2003 15:20

Il y a une chose que tu dois bien comprendre : Pour chque tunnel, il y a un gauche et un droite. Un serveur peut bien etre le gauche d'une connexion et le droite d'une autre. Si tu prends la soluce 1, garde bien en tete que pour chaque tunnel, il va y avoir une configuration distincte. Autre poin, en relisant tes posts precedents, chaque reseau distant doit avoir un adressage IP différent. ex : lan 1 = 192.168.1.0/24 lan 2 = 192.168.2.0/24 .... ensuite, sur CHAQUE serveur de VPN tu vas configurer 3 tunnels différents : un vers chaque autre site. Au total, tu auras 6 tunnels à configurer : lan 1 - lan 2 lan 1 - lan 3 lan 1 - lan 4 lan 2 - lan 3 lan 2 - lan 4 lan 3 - lan 4 Pour chaque tunnel, tu peux choisir aleatoirement gauche et droite. Ce qui est important, c'est que la configuration aux deux bouts de chaquye tunnel soit la même sur les deux serveurs pour le même tunnel ! T. P.S Belugha : t'inquiètes j'attends avec impatience ton doc ! Je poste de longs messages car j'ai du temps à tuer, ce n'est pas une question d'envergure <IMG SRC="images/smiles/icon_lol.gif"> Mais là tu vas le decourager en repondant en 1 ligne à des questions un peu complexes <IMG SRC="images/smiles/icon_bise.gif"> T.

par **belugha** » 02 Juil 2003 15:27

C'est vrai Tomtom tu as raison <IMG SRC="images/smiles/icon_wink.gif"> Excuse Taquetman1 <IMG SRC="images/smiles/icon_bise.gif"> Et je te laisse avec Tomtom qui a plus de temps que moi et bon courage

par **taquetman1** » 02 Juil 2003 15:37

Bon prenons le cas réel : Lan de lyon du type 192.0.0.0/24 ca on y touche pas trop de postes. lan de dijon du type 192.0.1.0/24 modification sera faite land de paris du type 192.0.2.0/24 lan de troyes du type 192.0.3.0/24 1ere pour l'ajout des zones pas de problème c facile une zone VPN par SERveur MNF 2eme L'ajout de l'interface IPSEc pas de probleme une par serveur MNF. ca ok 3eme les règles du firewall autoriser VPN all ok 4eme ca se complique ajout des tunnels : A chaque fois un ID unique, nous avons dis 3 tunnels par agence ca ok. donc mon premier tunnel Lyon-dijon : Sur la MNF de lyon: sur la mnf de dijon ID 1 ID1 type IPSEC the same zone WAN the same ip passerelle dijon ip non fixe non 0.0.0.0/0 coté dijon mon adresse ip fixe ok???? gateway VPN pour tous les deux. je fais ça trois fois pour chaque agence troyes et paris. 5eme : il faut ajouter les serveurs VPN Lyon gauche les autres droits. 6eme il faut configurer les clients VPN la je bloque complet. je bloque aussi sur les certificats. IP passerelle Je te donne mon adresse mail, est ce que j'aurais la possibilité de te joindre au telephone on irait plus vite, il faut que mon projet sois fini pour le 11 juillet, tu me serais d'une aide tres precieuse

par **taquetman1** » 02 Juil 2003 15:39

j'ai oublié mon adresse <a href="mailto:nrosay@yahoo.fr">nrosay@yahoo.fr</a>

par **tomtom** » 02 Juil 2003 16:12

Alors plusieurs choses.... D'abord, si j'ai du temps pour poster je passe en revanche enormement de temps à mon boulot, donc je ne peux pas trop passer de temps au tel pour faire ce genre de depannage. Ensuite, c'est une responsabilité inportante que je ne prefère pas prendre, ca n'a rien de personnel, mais c'est ton réseau, ta boite etc... Je ne peux que te donner des conseils d'ordre général, ce n'est pas moi qui vais configurer ton reseau. Enfin et surtout, je ne connais absolument pas la MNF, je ne sais pas comment elle gère plusieurs tunnels ipsec. Mais à mon avis deja tu devrais avoir une interface ipsec par tunnel ! Pour ce qui est des certificats, idem je n'ai jamais fait ça, j'ai toujours utilisé des clefs RSA directement renseignées dans les fichiers ipsec.conf, je ne sais pas comment fonctionne le patch freeswan. Tu peux me mailer, l'adresse sur ixus est la bonne mais je ne peux pas la consulter du boulot.... Mais je ne te donnerai que des conseils théoriques.... T.

par **taquetman1** » 02 Juil 2003 16:17

Je comprends merci quand meme, pour ce qui est de ipsec dans la doc il est ecrit que l'on peut associer plus d'un VPN par interface ipsec. donc sur ce point ca devrait marcher. Please qq un peut m'aider sur les CA. svp merci

par **taquetman1** » 02 Juil 2003 16:59

CERTIFICAT : en allant sur l'interface graphique Clé du CA si je configure un CA ici rien n'appararait dans /etc/freeswan/ipsec.d/... Par contre si je le configure dans Autres clés avec un ajout d'une entrée VPN alors j'ai bien 2 fichiers : "nomdemoncertificat".crt dans /etc/freeswan/ipsec.d "nomdemoncertificat".key dans dans /etc/freeswan/ipsec.d/private. Ce sont ces deux fichiers que je dois mettre dans chacun de mes serveurs MNF?????

Connexion

Qui est en ligne ?