VPN Nomade et SSH Sentinel (Acquire virtual IP address)

[asticot]

Bonjour,

Voici ma config :

1er LAN :
IPCOP 1.4.6
GREEN : 10.12.1 (255.255.255.0)
RED : PPPOE et modem ADSL
config Dyndns : ipcop1.dyndns.org

2eme LAN :
IPCOP 1.4.6
GREEN : 192.168.94.1 (255.255.255.0)
RED : PPPOE et modem ADSL
config Dyndns : ipcop2.dyndns.org

J'ai activé un VPN sur mon 1er IPCOP suivant la procédure trouvé sur ce forum et crée un VPN type Roadwarrior pour un utilisateur.
Sur mon LAN 2, J'ai installé un client VPN (SSH Sentinel) et paramétré avec le certificat P12 crée sur le IPCOP 1.
Le VPN fonctionne car le client (192.168.94.200) peut pinguer toutes les machines du 1er LAN.

Mes questions sont les suivantes :
Comment faire pour que mon client nomade obtienne une adresse IP de mon 1er LAN (en 10.1.2.x) ?
Si on active "Acquire virtual IP address", le VPN ne fonctionne plus. Pourquoi ?

Merci de votre aide

AsTicot

[kinkey]

J'ai le même soucis que toi. Mais j'ai réfléchis à un truc niveau réseau. Comme on traverse IpCop qui fait office de routeur et un routeur pour router il faut qu'il ai des plages d'adresses différentes sinon il va avoir du mal, il va croire que ça provient du réseau local et comme ça aime pas les boucles se genre de bête il fait pas passé. Après je sais pas si c'est applicable au VPN.

[asticot]

Il me semblait que c'était tout l'avantage d'un VPN avec un client Nomade, c'est qu'il puisse être vu comme étant sur le réseau local, non ?
Quelqu'un aurait-il une doc (ou un lien vers un site) sur une bonne explication du fonctionnement des VPN ?
Merci

AsTicot

[kinkey]

Je me suis mal exprimé, ton client nomade est vu comme étant sur le réseau local. Il peux accéder au service fournit par ton réseau local malgré son adresse IP différente. Le vpn assure juste la connexion, l'authentification et le cryptage des trames qui circule via le tunnel. Une fois qu'elles sont arrivé à IpCop elles sont décrypté puis acheminé vers le bon réseau. C'est là qu'intervient les tables de routages d'IpCop. En gros tout ça pour dire qu'il n'y a pas de necessité d'être dans la même plage d'adresse IP sauf si au niveau de tes serveurs (samba par exemple) tu a défini une plage d'adresse authorisé à communiquer.

En regardant un peu mieux ton shéma, plutôt que de te prendre la tête avec un client nomade monte un vpn d'ipcop à ipcop, de se faite, tout ton réseau aura accès à l'autre et inverssement, même si y a moyen de bricoler avec les masques de sous-réseaux pour limiter les accès.

Pour la doc (merci google:ipsec) :
http://www.securiteinfo.com/crypto/IPSec.shtml
http://www.hsc.fr/ressources/articles/i ... ex.html.en
http://www.miscmag.com/articles/index.php3?page=315
... etc etc etc
http://www.google.fr/search?hl=fr&c2cof ... %3Dlang_fr