[Résolu] Problème d'adressage dans mon VPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] Problème d'adressage dans mon VPN

Messagepar gosb » 08 Juil 2005 10:10

Salut tout le monde,

Je rencontre des difficultés lors de la mise en place de mon VPN. (réseau à réseau, certificats X509)
Il fonctionne apparemment correctement puisqu'il est en mode "OPEN"
Mon problème est que je n'arrive pas à pinger la passerelle de mon GREEN2 à partir d'un poste de mon GREEN1, et vice-versa


Mes postes sur mon GREEN1 ont pour adresse 192.168.0.x et masque ss-réseau 255.255.0.0
GREEN2 192.168.1.x 255.255.0.0

parametres VPN ipcop1
nom : vpntest
coté ipcop: right
sous reseau local : 192.168.0.0/255.255.255.0
sous reseau distant : 192.168.1.0/255.255.255.0
serveur distant: ipcop2.dyndns.org

parametres VPN ipcop2
nom : vpntest
coté ipcop: left
sous reseau local : 192.168.1.0/255.255.255.0
sous reseau distant : 192.168.0.0/255.255.255.0
serveur distant: ipcop1.dyndns.org


Les questions que je me pose sont :
- Ai-je bien défini les masques sous-réseaux?
- Dois-je faire du NAT pour certains ports spécifiques au VPN?
- Peut etre y'a t'il des accès externes à définir?

Ce qui est sûr c'est que j'ai un problème dans mon adressage

Merci de votre aide :wink: :D
Dernière édition par gosb le 08 Juil 2005 13:32, édité 1 fois au total.
gosb
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 14 Juin 2005 09:03

Re: Problème d'adressage dans mon VPN

Messagepar sioca » 08 Juil 2005 10:44

Salut tout le monde,


Salut,

Je rencontre des difficultés lors de la mise en place de mon VPN. (réseau à réseau, certificats X509)
Il fonctionne apparemment correctement puisqu'il est en mode "OPEN"
Mon problème est que je n'arrive pas à pinger la passerelle de mon GREEN2 à partir d'un poste de mon GREEN1, et vice-versa


Mes postes sur mon GREEN1 ont pour adresse 192.168.0.x et masque ss-réseau 255.255.0.0
GREEN2 192.168.1.x 255.255.0.0


Je suppose qu'il s'agit d'une erreur pour le masque ici ?


parametres VPN ipcop1
nom : vpntest
coté ipcop: right
sous reseau local : 192.168.0.0/255.255.255.0
sous reseau distant : 192.168.1.0/255.255.255.0
serveur distant: ipcop2.dyndns.org

parametres VPN ipcop2
nom : vpntest
coté ipcop: left
sous reseau local : 192.168.1.0/255.255.255.0
sous reseau distant : 192.168.0.0/255.255.255.0
serveur distant: ipcop1.dyndns.org


J'ai un vpn host to host aussi, j'ai laissé en left sur les deux.

Les questions que je me pose sont :
- Ai-je bien défini les masques sous-réseaux?


Les lans sont en /24 ou /16 ?

- Dois-je faire du NAT pour certains ports spécifiques au VPN?


Les ports à ouvrir sont :
4500 TCP : NAT-T
47 TCP : GRE
50 TCP : ESP
500 TCP/UDP : IKE
51 TCP : AH

- Peut etre y'a t'il des accès externes à définir?


non

Ce qui est sûr c'est que j'ai un problème dans mon adressage


Que te donnes un traceroute vers les interfaces green ?

Passes tu par le VPN ou passes par "internet" ?

Merci de votre aide :wink:
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar gosb » 08 Juil 2005 11:24

Merci de ton aide.

J'ai fait les transferts de ports que tu m'as conseillé sur mes 2 ipcops.
Il s'agissait bien de faire du NAT vers l'adresse des passerelles des réseaux GREEN?

Mes lans sont en /16 (255.255.0.0)
Je les ai mis comme ça car j'ai pensé que c'était nécessaire pour qu'ils puissent accéder à un autre sous-réseau (pour que par exemple 192.168.0.x puissent communiquer avec 192.168.1.x)

A partir de mon IPCOP1, si je fais un traceroute vers la passerelle du GREEN de mon ipcop2, ça ne donne rien. Je n'arrive pas à pinger la passerelle GREEN de mon IPCOP2 à partir de mon IPCOP1.

:shock:
gosb
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 14 Juin 2005 09:03

Messagepar gosb » 08 Juil 2005 11:26

Sur ton conseil, j'ai mis left des 2 côtés.
gosb
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 14 Juin 2005 09:03

Messagepar sioca » 08 Juil 2005 12:19

gosb a écrit:Merci de ton aide.

J'ai fait les transferts de ports que tu m'as conseillé sur mes 2 ipcops.
Il s'agissait bien de faire du NAT vers l'adresse des passerelles des réseaux GREEN?

Mes lans sont en /16 (255.255.0.0)
Je les ai mis comme ça car j'ai pensé que c'était nécessaire pour qu'ils puissent accéder à un autre sous-réseau (pour que par exemple 192.168.0.x puissent communiquer avec 192.168.1.x)

A partir de mon IPCOP1, si je fais un traceroute vers la passerelle du GREEN de mon ipcop2, ça ne donne rien. Je n'arrive pas à pinger la passerelle GREEN de mon IPCOP2 à partir de mon IPCOP1.

:shock:



Il y a un probleme avec le sous réseau, je dirais. Lorsqu'on definit par exemple un subnet de type 192.168.0.0/255.255.255.0, on informe aux stations de se lan qu'elles sont relies directement entre elles de 192.168.0.1 à 192.168.0.255.

Lorsque l'on change, par exemple 192.168.0.2 veut acceder à 192.168.2.2, cette machine "sait" qu'elle doit renvoyer les demandes à sa passerelle (à cause du netmask) car l'adresse IP 192.168.2.2 ne fait pas partie de son réseau.

Maintenant si on prends le cas du VPN, lorsque 192.168.0.1 veut communiquer avec 192.168.1.2, il va simplement le chercher dans son lan. Or si un masque en 255.255.255.0 avait ete appliqué, il aurait demandé a sa passerelle qui doit faire le vpn. Et la ça "devrait" marcher.

Car le VPN ne fonctionne pas en mode bridge à ma connaissance (celui que tu as configurés dans ipcop).

Reconfigure tes lan en /255.255.255.0
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar sioca » 08 Juil 2005 12:21

gosb a écrit:Il s'agissait bien de faire du NAT vers l'adresse des passerelles des réseaux GREEN?


Non, il n'y a pas de NAT entre les deux réseaux, ils sont vus avec leurs IP.
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar gosb » 08 Juil 2005 12:26

Ce que je voulais dire par là, c'est que pour ouvrir un port sur l'ipcop, il faut donner une adresse de destination. Je voulais que tu me confirmes que c'est bien sur la passerelle du GREEN qu'il faut natter les ports que tu m'as listé.

Je viens de changer le masque, je reboot tout et je te tiens au courant :D
gosb
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 14 Juin 2005 09:03

Messagepar sioca » 08 Juil 2005 12:37

gosb a écrit:Ce que je voulais dire par là, c'est que pour ouvrir un port sur l'ipcop, il faut donner une adresse de destination. Je voulais que tu me confirmes que c'est bien sur la passerelle du GREEN qu'il faut natter les ports que tu m'as listé.

Je viens de changer le masque, je reboot tout et je te tiens au courant :D


Non, il faut juste faire ça dans "Accès externes" donc pas de forward de ports
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar gosb » 08 Juil 2005 13:31

=D>
gosb
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 14 Juin 2005 09:03

Messagepar sioca » 08 Juil 2005 13:37

c'est bon ? Il fonctionne ton vpn ?
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar gosb » 08 Juil 2005 13:43

Oui apparemment c'était l'histoire du masque.
Tout réfléchi c'était logique :D

Merci pour ton aide :biz:
gosb
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 14 Juin 2005 09:03


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité