VPN host-to-LAN

[nuer]

J'ai monté un ipcop 1.4.0b3 pour faire un VPN de type Host-to-LAN.

Après avoir suivi les procédures :
http://www.ipcop.org/cgi-bin/twiki/view ... opVPNHowto
http://www.ipcop.org/cgi-bin/twiki/view ... VPNW2Kv140

La liaison VPN se fait correctement entre un portable itinérant winXP et le ipcop (ping sur l'interface GREEN est ok), par contre il n'est pas possible de pinguer les postes du LAN ni de se connecter à leur ressources partagées. Est ce normal ? J'ai l'impression que oui dixit le howto sur le vpn road warrior. Y a t il une manière de rendre ça possible ?

Merci.

[braouazou]

Personnellement, pas de problème de ce genre de mon coté avec un client Win2k ou Debian. Bien entendu, tu n'as pas les machines du réseau dans les favoris réseau, il te suffit d'entrer \\IP dans une barre d'adresse et ça roule

Regarde les posts de la semaine dernière , Belougha nous a posté les liens vers 2 how-tos qui ont l'aur plus que complets, ça pourra sans doute t'aider !

[nuer]

Personnellement, pas de problème de ce genre de mon coté avec un client Win2k ou Debian.

Tu fais comment, avec des certif ou en shared-key ? Pour l'instant je veux le faire en shared-key.

Bien entendu, tu n'as pas les machines du réseau dans les favoris réseau, il te suffit d'entrer \\IP dans une barre d'adresse et ça roule

Ca je me doute, j'en espérais pas autant

Regarde les posts de la semaine dernière , Belougha nous a posté les liens vers 2 how-tos qui ont l'aur plus que complets, ça pourra sans doute t'aider !

J'ai suivi le premier, mais je pense être un peu paumé dans le ipsec.conf de ipcop. J'ai adapté celui par défaut mais c'est rempli de paramêtre dont je ne suis pas sur qu'ils soient nécessaire.

[braouazou]

J'utilise une pre-shared key (je vais tenter ce week-end les certificats, par curiosité )

Edit: D'ailleurs, si quelqu'un a des tuyaux pour la mise en place des certificats pour un client Linux... Je n'ai pas réussi à mettre la main sur une seule doc!

J'ai eu beaucoup de mal à mettre en place ce VPN, mais avec le recul, je me rends compte que tous mes problèmes étaient liés à la configuration de mes clients, pas de problème avec IPCop! J'utilise même l'interface web!

Au cas où ça puisse t'aider, voici mes fichiers de configuration:

-----------------------------------------------------------------------------------

Du coté d'IPcop (@IP dynamique, donc dyndns):

Code: Tout sélectionner

config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        plutoload=%search
        plutostart=%search
        uniqueids=yes
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.1.0/255.255.255.0,%v4:!192.168.2.0/255.255.255.0

conn %default
        keyingtries=0
        disablearrivalcheck=no

conn RoadWarrior
        left=mon.dyndns.org
        leftnexthop=%defaultroute
        leftsubnet=192.168.1.0/255.255.255.0
        right=%any
        rightsubnet=vhost:%no,%priv
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        authby=secret
        auto=start


-----------------------------------------------------------------------------------

Mon client Win2k:

Code: Tout sélectionner

conn Roadwarrior
      right=%any
      left=mon.dyndns.org
      leftsubnet=192.168.1.0/255.255.255.0
      presharedkey=***********


-----------------------------------------------------------------------------------

Mon client Debian sid:

Code: Tout sélectionner

config setup
   # Debug-logging controls:  "none" for (almost) none, "all" for lots.
   klipsdebug=none
   plutodebug=none
   interfaces=%defaultroute


conn %default
        keyingtries=0
        disablearrivalcheck=no

conn roadwarrior
        right=mon.dyndns.org
        rightsubnet=192.168.1.0/24
        left=%defaultroute
        authby=secret
        auto=add


Sur le serveur et sur mon client debian, le fichier ipsec.secrets a la syntaxe:

Code: Tout sélectionner

mon.dyndns.org %any : PSK "********"


J'espère que ça pourra t'aider, peut-être d'autres aussi

@+

[nuer]

J'utilise une pre-shared key (je vais tenter ce week-end les certificats, par curiosité )

J'ai eu beaucoup de mal à mettre en place ce VPN, mais avec le recul, je me rends compte que tous mes problèmes étaient liés à la configuration de mes clients, pas de problème avec IPCop! J'utilise même l'interface web!


Au cas où ça puisse t'aider, voici mes fichiers de configuration:

Merci de ton aide. J'ai des fichiers quasi identiques mise à prt que j'avais rajouté des parametres comme sur les doc (auto=add, type=tunnel ...) Je viens de réessayer et toujours le même résultat, le LAN est invisible.

[Franck78]

@braoua*

Bienvenue au club x509:

moi, popoch, bzh-tux (bientôt), touffator.

Alors ca ne marche pas avec l'interface ipcop. J'arrive pas à recouper ce que fait le cgi avec les docs x509 trouvés au hazard.
Il n'y en a d'ailleurs absolument aucun entre deux Ipcop/x509 de docs.


A lire pour s'imprégner:
http://www.openswan.org/docs/local/README.x509

Et personne ici n'a réussi ...

[braouazou]

Et bien c'est encourageant!! En tout cas merci Franck pour ta réponse.

Je vais sans doute quand même tenter le coup un de ces jours (peut-être pas ce week-end histoire de ne pas le bouffer avec ces histoires), histoire de rejoindre votre club
C'est dommage...

@+

[poudre]

Bonjour Nuer,

si tu ne peux pas pinger ton lan, regarde déjà les routes définie sur les postes du lan pour atteindre ton road warrior.

Pascal.

[nuer]

si tu ne peux pas pinger ton lan, regarde déjà les routes définie sur les postes du lan pour atteindre ton road warrior.

Oui c'est ce que je me disais, il doit y avoir un problème de routage et je pense savoir d'ou ça peux venir. Il faut que mes postes du Lan aient une route définie pour atteindre le roadwarrior, c'est bien ça ? Merci de m'avoir soulever le problème.

[poudre]

C'est ça si le PC IPcop n'est pas la passerelle par défaut des machines se trouvant sur le lan.
Pascal.

[nuer]

C'est ça si le PC IPcop n'est pas la passerelle par défaut des machines se trouvant sur le lan.

Bon désolé de tout ce bruit, la passerelle par défaut sur mes postes du Lan n'est pas ipcop, donc ça ne pouvait vraiment pas fonctionner et j'avais complètement oublié ce "détail". Merci à tous.

[braouazou]

Je n'y avais pas pensé non plus...
Mais forcément

Ajoute la route manuellement, et tu ne devrais plus avoir de problème!!
Et n'oublie pas de poster la solution, ça servira sans doute à d'autres //
@+