ipcop et les sous réseaux

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

ipcop et les sous réseaux

Messagepar staple » 26 Mars 2004 15:51

Bonjour à tous,

et oui encore un sujet sur IPCOP et le routage vers des sous réseaux :shock:

Désolé pour les répétitions, mais j'ai bien regardé tt les posts sur IPCOP et les sous réseau et je n'arrive pas à régler mon Pb.

Voici mon architecture:

PC windows XP---------IPCOP--------Routeur-interne-----routeur externe---wan ----lan B

Je l'ai un peu simplifié :D

Bon voila l'objectif:

il faut que le PC xp accède à des serveurs ( ex. messagerie ) qui sont physiquement sur des sites distants via du wan

Détail de la conf:

IPCOP

Eth0 = réseau 10.1.1.1
eth1 = 192.168.1.1 ( réseau où est connecté mon xp en vpn )

table de routage IPCOP

route add -net 10.0.0.0/8 10.1.1.254 ( @ routeur interne )

ipsec.conf

conn p1165272
left=192.168.1.1
leftsubnet=10.0.0.0/8
leftcert=srvipcop.pem
right=%any
right=%any
rightsubnet=192.168.1.12/32 ( @IP de mon XP )
pfs=yes
auto=add


configuration de mon xp

ipsec.conf
connp1165272
left=%any
leftsubnet=192.168.1.12/32
right=192.168.1.1
rightsubnet=10.0.0.0/8
rightca=.......
network=auto
auto=start
pfs=yes

voili,voilou je pense n'avoir rien oublié, si une chose:

- le serveur que j'essaye d'atteindre est sur un réseau distant en 10.12.1.23

- sur le routeur externe il existe une route
route add 192.168.1.0 10.1.1.1

- sur le routeur interne, il existe plusieur vlan en 10.x.x.x

voila ce que j'arrive à faire depuis mon pc xp
-
connexion VPN =OK
ping routeur interne = OK
ping un serveur dans un vlan en 10.2.1.3 = ok
ping routeur externe, interface lan 10.3.1.1 =ok
ping serveur distant 10.12.1.23 =NOK :x

J'ai essayé pas mal de chose par rapport aux différents post, mais rien à faire je n'arrive tjs pas à pinger le serveur distant. Juste une paranthèse, mon IPCOP arrive à pinger le serveur distant.

Donc je pense que mon pb est que je n'ai pas le retour du serveur. certainement que l'ipcop doit le bloqué.
J'ai essayé la commande :

iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 (interface green du ipcop A) -j MASQUERADE

ça donne rien, tjs même problème.

Dernière chose, je suis en IPCOP 1.3.0 et toutes mes IP's sont statiques

Je pense n'avoir rien oublié, alors si quelqu'un à une idée, je commence à ne plus savoir quoi faire.

Merci :help: :help: :help: :help: :help: :help: :help: :help:

Je continu à chercher
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

sous réseaux ipcop

Messagepar staple » 26 Mars 2004 17:25

je continu de cogiter un peu et je pense que mon pb vient du plan d'adressage du wan dont je ne maitrise pas :(

schéma:

XP ----IPCOP----routeur interne---routeur externe----wan----lan2

le plan d'adressage utilisé pour le wan est du type 172.x.x.x

sachant que de mon xp j'arrive à pinger le routeur externe et que après je suis bloqué, donc je me dis que le pb vient du fait que l'adressage wan 172.x.x.x n'est pas connu de mon vpn. Quenpensez-vous :shock: :shock:

si c'est ça le pb, quelqu'un peut il m'aider pour la conf de mon ipsec du coté ipcop et du coté xp. j'essaye multiple combninaison mais ça ne marche tjs pas :cry: :cry: :cry:

j'ai ajouté sur l'ipcop

route add -net 172.0.0.0/8 gw 10.1.1.1 metric 1

ipsec.conf

conn wan
left=192.168.1.1
leftsubnet=172.0.0.0/8
leftnexthop=10.1.1.1
leftcert=srvipcop.pem
right=%any
rightsubnet=192.168.1.12/32 ( @ du XP )
pfs=yes
auto=add

coté XP

ipsec.conf
conn wan
left=%any
leftsubnet=192.168.1.12/32 ( @ XP )
right=192.168.1.1
rightsubnet=172.0.0.0/8
rightca=.....
network=auto
auto=start
pfs=yes


Voili,voilou mais ça ne marche tjs pas :evil: :evil: :evil:

mon IPCOP ping bien le réseau 172.x.x.x et les serveurs distants en 10.12.x.x

Quelqu'un a t-il une idée :idea: :idea: :idea: :idea:
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

Re: sous réseaux ipcop

Messagepar Franck78 » 26 Mars 2004 18:08

staple a écrit:schéma:

XP ----IPCOP----routeur interne---routeur externe----wan----lan2

sachant que de mon xp j'arrive à pinger le routeur externe et que après je suis bloqué,



Bloqué ? On sait pas. C'est peut être la réponse qui ne te revient pas !
Essaie d'écouter ce qui se passe sur le serveur.
Veux pas avoir l'air d'insister avec tcpdump, mais vraiment
pour voir ce qui se passe (ou pas), c'est l'outil de diag
number one.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar staple » 29 Mars 2004 09:06

tu as certainement raison franck78. Aurai-tu queqlues exemples à me donner avec TCPDUMP, malheureusement je ne maitrise pas cet outils. Je vai regarder de mon côté et je te tiens au courant dès que j'ai des nouvelles news.

Merci pour ton aide
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

tcpdum

Messagepar nl » 29 Mars 2004 10:39

tcpdump --help ou google.com

tcpdump host nomouIp src nomouip -i eth1

host = destination
src = source
-i = interface (essaye avec tcpdump -i ipsec0)

-------------
J'ai le même problème que toi, j'ai remarqué que j'arrive à me connecter lorsque je demande une connexion des 2 côtés (ping).

Je pensais que j'avais une règle dans rc.firewall genre /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT qui me bloquais le retour des pings, j'ai tout supprimer, mais toujours le même problème.
Si l'automobile avait progressé de la même façon que l'informatique, une Rolls-Royce couterait aujourd'hui 100 dollars, ferait 300.000 kilomètres avec un seul litre d'essence et exploserait une fois par an en tuant tous ses passagers. (Cringely)
Avatar de l’utilisateur
nl
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 254
Inscrit le: 19 Déc 2002 01:00
Localisation: Suisse

les mysteres d'ipcop

Messagepar staple » 02 Avr 2004 14:27

Bon je suis tjs sur mon pb mais j'ai avancé. Mon premier pb est résolu ( le pb venait que mon sous réseau n'était ouvert à tt le réseau :evil:

Enfin bref, maintenant j'ai un phénomène étrange. Je vous rappel l'architecture

192.168.1.12 192.168.1.1 10.1.1.1 10.1.1.254 rézo 130.1.0.0

PC------------------------------IPCOP------------Routeur interne-------

Mon pb est le suivant. De mon PC je pingue l'ipcop, le routeur interne sans aucun pb. Qd je créer un tunnel ipsec sur le réseau 130.1.0.0/16, j'arrive à pinguer n'importe quel machine de ce réseau. Par contre qd je monte un tunnel en 130.0.0.0/8, la je n'arrive à pinguer plus rien :( :(

Le but du jeu est que je puisse atteindre n'importe quel sous réseau qui est en 130.x.x.x

C'est vraiment bizarre que d'un masque à un autre cela ne fonctionne plus !!! L'ipcop est capable d'atteindre tt les réseaux qui sont en 10.x.x.x et 130.x.x.x

Voici ma config

IPcop

ipsec.conf
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=3
compress=no
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn wan
left=192.168.1.1
leftsubnet=130.0.0.0/8
leftcert=srvipcop.pem
right=%any
rightsubnet=192.168.1.12/32
pfs=yes
auto=add

route:
route add -net 10.0.0.0 gw 10.1.1.254 metric 1dev eth0
route add -net 130.0.0.0 gw 10.1.1.254 metric 1 dev eth0

eth0=10.1.1.1
eth1=192.168.1.1

Conf PC
ipsec.conf
conn wan
left=%any
leftsubnet=192.168.1.12/32
right=192.168.1.1
rightsubnet=130.0.0.0/8
rightca="C......."
network=auto
auto=start
pfs=yes


Voil,voilou, la je sêche un peu, si qqu'un peu me donner une explication et une solution je suis prenneur.

Merci à vous tous :P :P :P
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

Messagepar staple » 05 Avr 2004 14:59

au secours, quelqu'un peut-il venir à mon aide :help: :help: :help: :help: :help: :help: :help: :help: :help: :help: :help: :help: :help:

Je n'arrive tjs pas à comprendre pourquoi dans mon fichier ipsec.conf ( côté PC et IPCOP ) si je met un masque /16 sur le réseau 130.1.0.0 cela fonctionne et dès que je met un masque /8 sur 130.0.0.0, ça ne marche plus, je n'arrive plus à atteindre qui que ce soit du réseau 130.

Quelqu'un a-t'il une idée :idea: :idea: :idea: :idea:

La seule chose qui me parait bizarre, c'est peut être une piste, c'est dès lors que je mets le masque en /8, qd je fais un traceroute vers une machine du réseau 130, il me répond :
1 <1 <1 <1 192.168.1.1
2 * * * Délai d'attente......

Alors que qd je mets un masque en /16, j'obtiens :
1 * * * Délai ....
2 * * * Délai ...
3 1 1 1 monpc.chezmoi.com

J'ai l'impression que le saut 1 correspond à l'IPCOP, le saut 2 à mon routeur interne.

Donc là ou je voulais en venir, c'est dès que je mets /8 en masque, j'ai l'impression qui ne passe pas par le tunnel ipsec. Mais comment fair pourqu'il y passe !!!!!!!

Please Help-me :help: :help: :help: :help: :help: :help:
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

Messagepar phaby » 05 Avr 2004 15:29

130.xxx.yyy.zzz /8 te donne l' @reseau (NetID) 130. et xxx.yyy.zzz est le HostID (numero de machine)

alors que

130.xxx.yyy.zzz /16 te donne @reseau 130.xxx et yyy.zzz = numero de machines

c'est du coup pas du tout pareil !!!!
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar staple » 05 Avr 2004 16:37

phaby a écrit:130.xxx.yyy.zzz /8 te donne l' @reseau (NetID) 130. et xxx.yyy.zzz est le HostID (numero de machine)

alors que

130.xxx.yyy.zzz /16 te donne @reseau 130.xxx et yyy.zzz = numero de machines

c'est du coup pas du tout pareil !!!!


Je suis tout à fait d'accord avec toi. Le pb est que je veux atteindre des réseaux dont seul le 1er octet est en commun. ex:

130.1.x.x
130.2.x.x
130.3.x.x, etc....

Je le fais avec un réseau en 10 .x.x.x /8 et ça marche très bien. Alors la je ne comprend pas pourquoi ça ne marche pas. LA seule différence est que le réseau en 134.x.x.x est un réseau distant ( accéssible depuis un autre routeur ) alors que le réseau en 10.x.x.x, j'ai un de ces sous réseau directement connecté sur l'interface green de l'IPCOP. C'est la seule différence. En plus l'IPCOP, arrive à atteindre n'imprte qu'elle machine du réseau 10.x.x.x ou 134.x.x.x.
C'est qd même super étrange :shock:

Si vous avez une idée je suis prenneur, surtout n'hésitez pas :D :D :D
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

Messagepar staple » 06 Avr 2004 17:47

:(
Bonsoir à tous,

bon et bien j'en suis tjs au même point, je n'arrive tjs pas à comprendre pourquoi dans mon vpn je ne peux pas mettre un réseau de classe B privé avec un masque de classe A.

Je viens de faire l'essai avec plein d'autres réseaux de classe B qui sont raccordés à ma boite par le wan, et je n'arrive pas lui mettre un masque de classe A.

Je vous avourais franchement que c'est super étrange :shock: :shock: :shock: :shock: :shock:

Quelqu'un a t-il une explication à me fournir, et savoir si c'est faisable ??? Tout en sachant que j'ai un réseau en 10.x.x.x avec un masque /8 et j'arrive à atteindre toutes les machines de ce réseau, même les réseaux en 10.x.x.x distant.

Je commence même à me demander s'il n'y a pas un bug dans IPCOP :?: :?: :?:

Je pense que non, mais là :!: :!: :!:

J'ai la version 1.3.0 et j'ai appliqué tt les patchs jusqu'au 9, et rien n'a changé.

Je suis sec, quelqu'un peut -il me venir en aide [-o< [-o<[-o<[-o<

PS: Pour info, le serveur IPCOP arrive à atteindre tt les réseaux de la boite sans aucun pb !!!
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00

Messagepar Franck78 » 06 Avr 2004 18:04

Ca doit être ce réseau B(130) avec masque classe A qui déroute un équipement ou un logiciel quelque part , ou même free.swann.

Tu peux pas passer ton 130 en vrai classe A ?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar staple » 07 Avr 2004 08:58

Franck78 a écrit:Ca doit être ce réseau B(130) avec masque classe A qui déroute un équipement ou un logiciel quelque part , ou même free.swann.

Je ne comprend pas bien ce que tu veux dire par là :?: :?: :?:


Tu peux pas passer ton 130 en vrai classe A ?


Malheureusement non, le plan d'adressage de chaque site est figé et je n'ai pas la maitrise. Mon site a un id réseau de type : 130.1.x.x/16. Le site tartenpion a un id réseau de type: 130.2.x.x/16

Donc je ne peux pas modier mon id réseau.

Ce qui me parait bizarre, c'est que j'ai également un id réseau sur mon site qui est : 10.1.x.x /16 et que d'autres sites ont également un id réesau de type 10.2.x.x/16.

Qd je configure mon tunnel vpn ipcop sur le réseau 10.x.x.x/8, j'arrive à atteindre tout mes sites distants qui disposent d'un id en 10.x.x.x

Donc je ne comprend pas pourquoi je ne peux pas appliquer cette logique sur mon id réseau 130.x.x.x

Si quelqu'un a une idée sur le sujet je suis prenneur. Je rappel que mon serveur IPCOP arrive à atteindre tout les réseaux distants, que ce soit en 130.x ou en 10.x.

Merci pour votre aide
Avatar de l’utilisateur
staple
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 10 Oct 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron