vpn réseau à réseau

[BARBOT]

Bonjour,

Voilà mon pb.

J'ai 2 réseaux derrière 2 ipcop 1.3 mon pb c'est que ces 2 réseaux ne sont pas du tout dans la meme plage ip. l'un est en 192.168.0.XXX et l'autre en 10.56.192.XXX;

coté 10.56 j'ai une ip fixe et coté 192.168 j'ai déclaré un dns dynamique qui me permet de prendre la main sur l'ipcop et de faire du ssh.

J'ai donc suivi la procédure expliquée sur ixus.net pour un ipcop 1.2 et le résultat est bizarre.

Coté 192.168 le vpn s'ouvre en appuyant sur le bouton sauvegarder de la page de controle du menu vpn et se ferme avec le bouton redémarer.

Coté 10.56 le vpn ne s'ouvre jamais.

Je n'ai trouvé que peu de similitude entre le fichier de config du vpn reproduit sur le site et celui de mon ipcop 1.3 alors je ne l'ai pas touché.

J'ai peur de devoir refaire le plan d'adressage d'un coté. Me trompe je ou puis je m'en sortir autrement ?

Merci d'avance si vous voyez ou je me plante.

[pkaer]

Salut,

Voici un lien vers une Doc postée par Belugha pour un VPN entre IPCop 1.3 et IPCop 1.4
viewtopic.php?t=8194

les fichiers config sont les mêmes que tu sois en 1.3 ou 1.4 . Tu peux donc t'en inspirer pour une connexion IPCop 1.3 <==> Ipcop 1.3.

Ne changes rien à ton plan d'adressage IP, il vaut mieux en effet être sur des réseaux différents pour établir une connexion VPN.

Bonne Lecture
@+
PK

[gogol33]

Salut,
Pour avoir mis en place des VPN avec des IPCOP 1.2, peux t'aider ....
Lorsque j'ai utilisé des VPN avec des adresses dynamiques, pour pouvoir créer le VPN, il fallait d'abord que je synchronise les horloges de chaque IPCOP, sinon c'était impossible !!!!
Pourquoi ??? Aucune idée, mais c'est la seule solution que j'ai trouvé ...
Peut être que la version 1.3 corrige ce problème, quoi qu'il en soit, tu peux essayer ....
Conseil : si tu peux, passe ton IP dynamique en fixe, ca fonctionne mieux ...

[BARBOT]

Merci je vais regarder le poste en espérant qu'il est en Français.

Pour la synchro des horloges je l'avais fait moi itou mais mon pb est resté entier.

[BARBOT]

Bon je pense avoir bien suivi la manip et pourtant j'ai tjs les même symptome.
L'ipsec coté 10.56.192.xxx donne dans les journaux;
17:28:50 ipsec__plutorun: 022 "vpnpraj" we have no ipsecN interface for either end of this connection

(mon vpn aimerait bien s'appeler vpnpraj)

Bon je vais voir chez moi si j'y suis ...

Merci d'avance de votre concours parce que là je patoge grave.

[alx_the_barbare]

ouai bah j'ai fait de meme et je patoge un petit peu aussi, mais ma configuration est un peu differente

Juste pour confirmation, on configure le serveur VPN de l'IPcop de façon identique si coté client c'est pas une IPcop mais un client Windows ?

Désolé d'utiliser ce post pour poser une questiion mais là je crois qu'on est en plein dedans...

[pkaer]

Salut,

Pour t'aider, voici les fichiers ipsec.conf et ipsec.secret que j'utilise pour un VPN Net2Net (IPCop 1.3.0) entre une agence à Rennes et le Siège à Nantes. A toi de les adapter à tes besoins

Rappel de la config :

Siège de Nantes : Adresse Ip fixe , IPCop 1.3.0 + tous les fixes
Agence de Rennes : Adresse IP dynamique gérée sur DynDns, Ipcop 1.3.0 + tous les fixes

@ipFixeNantes = @IP Fixe fournie par le FAI
MonDynDns = nom enregistré sur DynDns ex: machin.homelinux.org
"MonSecretPartage" = la clé secrète que tu partages entre les deux IPCop. ATTENTION à bien mettre les guillemets.



Coté NANTES :

fichier ipsec.conf
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0

conn rennes
left=%any
compress=no
leftsubnet=10.0.0.0/8
leftnexthop=%defaultroute
right=@ipFixeNantes
rightsubnet=192.168.1.0/24
rightnexthop=%defaultroute
auto=start

fichier ipsec.secrets
%any @ipFixeNantes : PSK "MonSecretPartage"


Coté RENNES :

fichier ipsec.conf
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0

conn nantes
left=MonDyndns
compress=no
leftsubnet=10.0.0.0/8
leftnexthop=%defaultroute
right=@ipFixeNantes
rightsubnet=192.168.1.0/24
rightnexthop=%defaultroute
auto=start

fichier ipsec.secrets
MonDynDns @ipFixeNantes : PSK "MonSecretPartage"


en complément voici un petit script que j'utilise avec un cron à 5 minutes pour tester mon VPN et éventuellement le relancer :
#script de test fonctionnement IPSEC
/etc/rc.d/ipsec --status >/tmp/ipsec_resu 2>&1
read ipsec ipsec_status < /tmp/ipsec_resu
case $ipsec_status in
running) exit;;
stopped) /etc/rc.d/ipsec --restart;;
esac


J'espère que tu vas t'en sortir avec cela

@+
PK

[pkaer]

@alx_the_barbare,

C'est un poil différent.... enfin d'après ce que j'ai mis en place. Voici un exemple, Les lignes en gras sont celles que j'ai rajoutées ou modifiées :

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0

conn vpn
left=Mon@IpFixe
compress=no
leftsubnet=192.168.0.0/24
leftnexthop=%defaultroute
type=tunnel
authby=secret
pfs=yes
right=%any
rightsubnet=
rightnexthop=%defaultroute
auto=add


Coté client Windows (2000/XP) j'avais utilisé le tuto suivant :
http://www.ipcop.org/cgi-bin/twiki/view ... VPNHowtoFR
et surtout
http://www.ipcop.org/1.2.0/en/vpn/html/ ... ction.html
http://www.ipcop.org/cgi-bin/twiki/view ... machine_en


Bon courage

@+
PK

[BARBOT]

ok les gars je vais essayer tout ca demain matin mais dites moi à quoi sert l'interface http de ipcop si on se claviette le tout à la main comme des fanas du shell que nous sommes...

Enfin faut croire que les httpteurs de ipcop ont encore un peu de boulot, même si on les remercie pour tous ce qu'il ont déjà fait.

Salut et vous privez pas de donnez vos idée parce que tous ca n'est pas simple.

A propos est ce que quelqu'un sait si les règles d'iptables infulencent le fonctionnement de notre cher vpn (cher au sens du coeur puisque c'est gratuit...) .

[pkaer]

@barbot,

Dans le post mentionné précédement, belugha préconise :

Ensuite il faut ajouter les 2 règles suivantes dans /etc/rc.d/rc.firewall par :

iptables -I INPUT -i ipsec0 -j ACCEPT
iptables -I OUPUT -o ipsec0 -j ACCEPT

Il y a donc unelation de cause a effet entre le VPN et iptables. Les lignes que mentionne Belugha ont pour effet de tout laisser entrer et sortir du Firewall (c'est pas un FORWARD !!) pour le tunnel ipsec.

@+
PK

[alx_the_barbare]

Merci merci pkaer, je vais regarder tout ça.

[BARBOT]

Rebonjour et merci pour toute vos infos qui se sont avérées pertinente.

Toutefois mon vpn ne s'ouvre tjs que d'un seul coté et pourtant le service vpn est bien démarré sur les 2 ipcop alors que le réseaux n'est déclaré ouvert que du coté dns dynamique.

Vu que le coté ipfixe se trouve raccorder sur une adsl oléane sécurisée je me demande si les petit malins de France télécom ne m'aurait pas fait des leur coté filtrage.

Qu'en pensez vous et y a t'il quelqu'un qui fonctionne derriere une oléane sécu.

En tout merci notamment pour le hotow en français que me suis tristement tapé en anglais avant vos post.

Salut et à bientôt sur le net.

[alx_the_barbare]

re-bonjour,

bon, j'ai un petit probleme. Je m'explique:

ma configuration est la suivante:

Client Win98 ----(red)---- IPcop ----(green)-----ClientXP

Je souhaite creer un VPN entre le Client98 et le ClientXP. Donc, en suivant les configs de pkaer j'ai configuré mon Serveur VPN (ca a l'air correct). Ensuite, j'ai installé sur le Client98, Dial-up Network 1.4 et L2tp/IPsec Client comme le preconise microsoft. J'utilise donc la Pre Shared Key pour l'authentification IPsec, et j'ai configuré ma connexion (correct selon moi) en indiquant l'adresse du serveur,... Maintenant, je démarre ma connexion et j'arrive sur une fenêtre où l'on me demande login/mot de passe et serveur VPN, et là, bah je sais pas quoi mettre comme login mot de passe puisque j'en ai pas précisé sur mon IPcop.

Voila mon probleme, si quelqu'un pouvait m'expliquer ca me depannerai bien

Merci d'avance
@+++

[BARBOT]

ici BARBOT.

En fait j'avais malheureusement deviné l'origine de mes pbs.

Je vous confirme que l'offre oléane sécurisé ne permet pas en standard de faire du vpn (mais je vais les secouer un peu).

Cela dit je ne résiste pas à l'envie de vous faire partager ce lien que j'ai trouvé au hasard de mes recherche sur le sujet vpn .

http://www.lifl.fr/~boulet/formation/sy ... /index.htm

Dites moi ce que vous en pensez..

[pkaer]

@barbot,

Les abonnements Oléane sécurisés ne laissent entrer que le port 25 (SMTP). C'est un abonnement qui inclus un firewall mutualisé sur les plateformes FT. De plus ce genre d'abonnement est limité à une seule IP publique.

Les ciaux FT ont du mal à différencier leur abonnement sécurisé (Firewall) de leur abonnement Anti-Virus. Du coup, je me suis retrouvé planté avec un abonnement sécurisé, une seule @IP alors que nous avions demandé un abonnement Antivirus avec un pool de 8 @IP

Aucun moyen d'y déroger à moins de modifier ton abonnement (qui te reviendra du coup à moins cher). Attention le délai annoncé pour ce genre de modif est de 3 semaines.

Donc armes de toi de beaucoup de patience......


@+
PK