Notions Client-Serveur pour un VPN.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Notions Client-Serveur pour un VPN.

Messagepar grapazi » 28 Juin 2004 16:14

Voila ma question.
Est-il possible d'avoir une machine IPCOP avec un ou plusieurs ports ouvert (coté INTERNET) et un nom style dyndns. (qui soit un serveur de connexions VPN)
et plusieurs autres IPCOP sans adresses fixes qui ne soit que clients du premier serveur VPN.
et surtout sans avoir un seul port ouvert coté INTERNET.
Et que lors de changement d'adresse d'un des clients, ce client se reconnecte automatiquement et recreer la connexion pour devenir passerelle vers le VPN?

Y'a t'il une autre distrib qui fassent cela?

Merci.
grapazi
Matelot
Matelot
 
Messages: 3
Inscrit le: 28 Juin 2004 16:04
Localisation: Nancy(54)

C'est ça

Messagepar nl » 28 Juin 2004 16:22

C'est exactement ce que fait ipcop. Il te faut juste récupérer les scripts de reconnexion automatique (sur ce site), et créer 2 comptes @dyndns.org. Il te faudra aussi créer tes propres règles iptables, pour bloquer les accès.

Fouille sur ce site, tu trouveras tout ce dont tu as besoin.

Bonne chance
Si l'automobile avait progressé de la même façon que l'informatique, une Rolls-Royce couterait aujourd'hui 100 dollars, ferait 300.000 kilomètres avec un seul litre d'essence et exploserait une fois par an en tuant tous ses passagers. (Cringely)
Avatar de l’utilisateur
nl
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 254
Inscrit le: 19 Déc 2002 01:00
Localisation: Suisse

Messagepar grapazi » 29 Juin 2004 11:43

Merci pour la reponse.

Okay pour les scripts, mais comprend pas pourquoi il faut 2 comptes @dyndns alors que j'ai une seule machine ipcop qui est accesible via Internet, les autres ne doivent pas etre acessible, aucuns ports d'ouverts.
Elles doivents pas etre acessible, seulement acceder au serveur principal IPCPOP qui lui sera ouvert.
Dans toutes les docs que je trouve , il n'est pas fait reference a nul part, du SERVEUR VPN-IPCOP et d'autre parts des clients VPN-IPCOP.
grapazi
Matelot
Matelot
 
Messages: 3
Inscrit le: 28 Juin 2004 16:04
Localisation: Nancy(54)

Pour se retrouver

Messagepar nl » 29 Juin 2004 12:03

Si j'ai bien compris, tu as 2 machines ipcop qui te servent de vpn ? Car il est aussi possible d'avoir une seule machine ipcop (serveur vpn comme tu l'appelles) et de se connecter avec un client windows.

Pour la solution 2 machines ipcop, ils n'y a pas vraiment de client-serveur. Pour ce qui est des 2 @dyndns.org, c'est normal :

- Les paquets ipsec sont envoyés sur internet depuis ton lan A, La machine ipcop A modifie les adresses de destination privées en l'ip de ipcop B - La machine ipcop de destination recoit ce paquet, vérifie son identité et modifie l'adresse de destination en adresse privée en la distribuant sur ton lan B.

C'est pour cela qu'il te faut 2 adresses @dyndns.org.
Si l'automobile avait progressé de la même façon que l'informatique, une Rolls-Royce couterait aujourd'hui 100 dollars, ferait 300.000 kilomètres avec un seul litre d'essence et exploserait une fois par an en tuant tous ses passagers. (Cringely)
Avatar de l’utilisateur
nl
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 254
Inscrit le: 19 Déc 2002 01:00
Localisation: Suisse

Messagepar grapazi » 29 Juin 2004 13:05

D'acord, j'ai compris donc si la machine IPCOP A veux transmettre un paquet au LAN B elle change transforme l'adresse en adresse IP internet de IPCOP B qui elle vas restranformer en adresse de classe LAN.
Donc sa veux dir que les deux sont serveur, les deux IPCOP doivent avoir chacune au moins un port TCP d'ouvert.
Je pensais que la machine IPCOP A (par exemple) ouvrait un port 62000 (par exemple) et que IPCOP B ouvrait une connexion sur IPCOP A via ce port. Et que ensuite IPCOPA et IPCOPB translatais les paquets par cette connexion.
Et que IPCOP A se reconnectais automatiquement a XXX@dyndns., c'est pour cela que je comprenais pas l'importance d'avoir deux @dyndns, vu que y'a plusieurs machines IPCOP qui se connecte tous sur la meme et unique machine (serveur IPCOP).
Un IPCOP d'un site devenait serveur et les autres IPCOP des autres site n'etais que client du serveur IPCOP sur le site principal.
C'est ce que je cherche.
par ce que les 3 société NANCY METZ LILLE ne peuvent pas se permetre d'ouvir quoi que se soit.
et je voulais metre IPCOP pour avoir une passerelle pour le LAN virtuel mais qui soit que client. Client VPN via le serveur IPCOP principal et client Internet HTTP.
Donc si j'ai bien compris il faut ouvrir (coté internet) au moin un port sur chaque site (LAN).
Moi je pensais architecture CLIENT - SERVEUR.
Merci pour l'indulgence, je ne maitrise pas les technologies reseau.
grapazi
Matelot
Matelot
 
Messages: 3
Inscrit le: 28 Juin 2004 16:04
Localisation: Nancy(54)

Pas de ports ouvert.

Messagepar nl » 29 Juin 2004 13:32

Inutile d'ouvrir des ports sur l'exterieur. Tout est géré automatiquement par ipcop. Tout paquet ipsec est automatiquement authentifié et retransmis, indépendemment de tes règles d'ouverture de ports.

Dans rc.firewall , tu met uniquement :

# interdit tout traffic depuis l'extérieur.
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
#accepte les données sortantes
/sbin/iptables -P OUTPUT ACCEPT

#si tu veut permettre à une machine de sortir sur Internet
/sbin/iptables -I INPUT -s 10.0.0.2/32 -j ACCEPT

#Ajout lignes pour configuration du VPN

iptables -I INPUT -i ipsec0 -j ACCEPT
iptables -I OUTPUT -o ipsec0 -j ACCEPT


# IKE negotiations
iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT

#IKE negotiations dans le cas de nat_traversal (utilise le port 4500 UDP)

iptables -I INPUT -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -I OUTPUT -p udp --sport 4500 --dport 4500 -j ACCEPT

# Accepte le protocole 50 ESP pour l'authentification IPSEC
iptables -I INPUT -p 50 -j ACCEPT
iptables -I OUTPUT -p 50 -j ACCEPT


Je reste à ta disposition pour toutes questions. Peut-être directement en privé, pour ne pas surchargé le forum.
Si l'automobile avait progressé de la même façon que l'informatique, une Rolls-Royce couterait aujourd'hui 100 dollars, ferait 300.000 kilomètres avec un seul litre d'essence et exploserait une fois par an en tuant tous ses passagers. (Cringely)
Avatar de l’utilisateur
nl
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 254
Inscrit le: 19 Déc 2002 01:00
Localisation: Suisse


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron