PING Impossible depuis ipcop et VPN !!

[joebar]

Salut, <BR> <BR>J'ai un petit truc qui me gene sur ipcop, c'est l'impossibilité de pourvoir pinger depuis le ipcop une machine du réseau distant a travers le vpn, ca marche depuis les autres PC. <BR> <BR>Je ne trouve kel sont les parametres a rajouter pour le faire, car j'ai un script qui permet de verifier si les vpndynamiques sont montés et ki permet de les relancer si besoin est. <BR> <BR>Si kelk1, a une idee !!!!!!!!!! <BR> <BR> <BR>Merci d'avance. <BR> <BR>@+

[antolien]

tu n'aurais pas ajouté cette ligne dans ton rc.firewall.up ? <BR> <BR>"echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all" <BR> <BR>si oui, c'est pitetre normal.

[joebar]

Et non mauvaise réponse,le fichier est bien egale à 0. <BR> <BR>le pb vient que le ipcop ne saitpas par kel patte passer pour pinger via le vpn. <BR> <BR> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif">

[antolien]

quand tu fais un traceroute, quel chemin il empreinte ?

[antolien]

bon, j'ai regardé et en effet on peut pas pinger l'interface du VPN, la route par défaut utilise ipsec et le routage ne se fait pas de l'ipcop ?

[tomtom]

C'est tout à fait normal ! <BR> <BR>Pour pouvoir pinger le lan distant depuis la passerelle il faut rajouter un secon tunnel. <BR> <BR>Si tu veux que les deux passerelles puissent se voir il t'en faut un troisième. <BR> <BR>Et enfin si tu veux que la passerelle distante joigne ton lan il faut un quatrième tunnel ! <BR> <BR>L'expication tirée du site de freeswann (en anglais <IMG SRC="images/smiles/icon_razz.gif">) <BR><!-- BBCode auto-link start --><a href="http://www.freeswan.org/freeswan_trees/freeswan-1.97/doc/adv_config.html" target="_blank">http://www.freeswan.org/freeswan_trees/freeswan-1.97/doc/adv_config.html</a><!-- BBCode auto-link end --> <BR> <BR> <BR> <BR><!-- BBCode Start --><B> <BR>Multiple tunnels between the same two gateways </B><!-- BBCode End --> <BR>Consider a pair of subnets, each with a security gateway, connected via the Internet: <BR> <BR> 192.168.100.0/24 left subnet <BR> | <BR> 192.168.100.1 <BR> North Gateway <BR> 101.101.101.101 left <BR> | <BR> 101.101.101.1 left next hop <BR> [Internet] <BR> 202.202.202.1 right next hop <BR> | <BR> 202.202.202.202 right <BR> South gateway <BR> 192.168.200.1 <BR> | <BR> 192.168.200.0/24 right subnetA <BR> <BR>tunnel specification such as: <BR><!-- BBCode Start --><I> <BR>conn northnet-southnet <BR> left=101.101.101.101 <BR> leftnexthop=101.101.101.1 <BR> leftsubnet=192.168.100.0/24 <BR> leftfirewall=yes <BR> right=202.202.202.202 <BR> rightnexthop=202.202.202.1 <BR> rightsubnet=192.168.200.0/24 <BR> rightfirewall=yes <BR></I><!-- BBCode End --> <BR> <BR>will allow machines on the two subnets to talk to each other. You might test this by pinging from polarbear (192.168.100.7) to penguin (192.168.200.5). <BR>However, this does not cover other traffic you might want to secure. To handle all the possibilities, you might also want these connection descriptions: <BR> <BR><!-- BBCode Start --><I> <BR>conn northgate-southnet <BR> left=101.101.101.101 <BR> leftnexthop=101.101.101.1 <BR> right=202.202.202.202 <BR> rightnexthop=202.202.202.1 <BR> rightsubnet=192.168.200.0/24 <BR> rightfirewall=yes <BR> <BR>conn northnet-southgate <BR> left=101.101.101.101 <BR> leftnexthop=101.101.101.1 <BR> leftsubnet=192.168.100.0/24 <BR> leftfirewall=yes <BR> right=202.202.202.202 <BR> rightnexthop=202.202.202.1 <BR> <BR></I><!-- BBCode End --> <BR> <BR>Without these, neither gateway can do IPsec to the remote subnet. There is no IPsec tunnel or eroute set up for the traffic. <BR> <BR>In our example, with the non-routable 192.168.* addresses used, packets would simply be discarded. In a different configuration, with routable addresses for the remote subnet, they would be sent unencrypted since there would be no IPsec eroute and there would be a normal IP route. <BR> <BR>You might also want: <BR> <BR><!-- BBCode Start --><I> <BR>conn northgate-southgate <BR> left=101.101.101.101 <BR> leftnexthop=101.101.101.1 <BR> right=202.202.202.202 <BR> rightnexthop=202.202.202.1 <BR></I><!-- BBCode End --> <BR> <BR>This is required if you want the two gateways to speak IPsec to each other. <BR> <BR>This requires a lot of duplication of details. Judicious use of also= and include can reduce this problem. <BR><BR><BR><font size=-2></font>

[djej]

euh salut, chez moi ça fonctionne sans souci. <BR> <BR>Je ping aussi bien les postes de mon réseau local que ceux derrière la VPN. Et méme les pattes vertes des IPCOP . <BR>Ce qui me permet d'utiliser PUTY des deux cotés sans avoir à ouvrir aucun ports. <BR> <BR>par contre je ne peux pas pinguer l'autre coté du VPN à partir D'IPCOP. <BR> <BR>je pense qu'il utilise pas la bonne carte en sortie, il passe pas dans le vpn. Je vérifie ça lundi au bureau. <BR> <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">

[tomtom]

Tout à fait exact ! <BR> <BR>C'est simple, un vpn te permet de definir un lan "distant". <BR> <BR>Depuis ton lan, si tu pingue une adresse de ce lan, la passerelle route par le tunnel ipsec. <BR>Evidemment la pate "vert" de la passerelle distante fait partie du lan distant ! <BR> <BR>En revanche, quand tu ping depuis ta passerelle (et c'est la même chose quant tu ping la patte "red" de la passerelle distante, c'est symetrique), la passerelle verra un paquet avec une adresse de destination non routable, qui devrait etre route sur internet. <BR>Le paquet est dropé tout simplement ! <BR> <BR>Thomas <BR> <BR>