sous réseaux derrière vpn

[Joffrey]

Hello tous,

ayant eu des déboires pour monter un VPN entre un Ipcop et un W 2003 naté (2003 ne supporte pas la NAT - T avec Ipsec ...) j'ai fini par monter un 2ème Ipcop puis le VPN entre les 2.
Tout fonctionne ... sauf les sous réseaux locaux...
malgré des heures de Google, j'en appelle à vous car la je sèche ...

voici ma config:


LAN1---Routeur1---LAN2---IPCOP1---Internet---IPCOP2---LAN3---Routeur2---LAN4

LAN1 en 192.168.100.X
LAN2 en 192.168.101.X
LAN3 en 192.168.102.X
LAN4 en 192.168.104.X

VPN Ipsec avec certificats entre les 2 Ipcops

LAN1 ping sans problème LAN3
LAN2 ping sans problème LAN3
LAN4 ping sans problème LAN2
LAN3 ping sans problème LAN2

MAIS

LAN1 ne ping pas LAN4 et vice verca

En fait, je sais que les routes vers LAN1 et 4 ne sont pas déclarée dans le VPN mais je ne sais pas comment faire.

Pour rester côté IPCOP2

J'ai essayé des route add -net LAN1 gw Routeur2 ipsec0 dans le fichier etc/rc.d/rc.local
Ipcop ne valide pas la route (logique au boot le tunnel n'est pas lancé)
J'ai essayer des route add ... depuis Pussy alors que le tunnel était actif
Ipcop ne valide pas la route, il ne "voit" pas Routeur2 (!?!) alors que je le ping depuis une machine du LAN
J'ai essayer d'éditer le ipsec.conf et bidouiller avec ipsec add eroute, mais je cale ...

Please Help !

[krisnalada]

tu peux essayer de faire fonctionner des tables de routages avec RIP notamment, comme ca les routeurs et les ipcop s'échangent leurs sous réseaux.
En cherchant sur google, le "plugin" ipcop pour gerer RIP c'est zebra trouvé ici :
http://www.supporting-role.net/software/ipcop/software-list.php

Je n'ai jamais testé donc je n'en sais pas plus. Regardes donc de ce coté.

[antolien]

LAN1---Routeur1---LAN2---IPCOP1---Internet---IPCOP2---LAN3---Routeur2---LAN4

LAN1 en 192.168.100.X
LAN2 en 192.168.101.X
LAN3 en 192.168.102.X
LAN4 en 192.168.104.X


J'ai essayé des route add -net LAN1 gw Routeur2 ipsec0 dans le fichier etc/rc.d/rc.local

Please Help !

Bonjour,
sur ipcop1 route add -net LAN4 dev ipsec0
sur ipcop2 route add -net LAN1 dev ipsec0

ça devrait suffire.

[Joffrey]

Grand merci pour les réponses, mais c'est pas encore ça

J'ai pas encore testé le RIP (dernier recours), j'ai ajouté les routes dans le rc.local
Conclusion, au redémarrage les routes n'ont pas été prises en compte (je pense qu'il n'active les routes que sur les interfaces active, or le tunnel ne l'est pas au boot)

J'ai donc ajouté les routes à la main sous Putty (pour tester)

Ipcop m'affiche bien les nouvelles routes dans la table de routage, mais que dalle pour le ping ...
Quand je fais un traceroute, je vois qu'Ipcop balance le sous réseau étranger sur le Net, puis timeout des routeurs internet (evidemment).
La seule différence que je vois dans la table de routage entre la route qui marche (le S/R de l'ipcop d'en face) et la nouvelle, c'est le Flag qui est à UG dans le 1er cas et U dans le second.
Je vais donc tenter (bêtement) de changer le flag, mais si quelqu'un a une autre idée ... (au moins pour qu'il monte les routes tout seul au boot)

[Joffrey]

Pour le RIP, Zebra indique qu'il n'actualise que les routes provenant de l'interface GREEN, donc ça ne marchera pas

Pour les routes en "dur", j'avance un peu. Quand je déclare la route une fois le tunnel monté, il m'envoit bouler car Network unreacheable ... en effet, Ipcop est incapable de pinger à travers le VPN ( ).
En schéma ça donne ça :

Machine1---Ipcop1---Internet---Ipcop2--- ...

Machine1 ping Ipcop2 mais Ipcop1 ne ping pas Ipcop2
Donc quand je déclare ma route, il la refuse car il ne voit pas l'autre côté du VPN

C'est à se tirer par les cheveux

[Joffrey]

J'avance pas beaucoup ...
J'ai remarqué que malgré le tunnel monté, les IPCOP ne se pinguent pas, tandis que les machines derrières et appartenant aux S/R respectifs des IPCOPs se pinguent sans soucis.

Donc mes routes pour les autres S/R sont rejettées par les IPCOP puisqu'ils ne "voient" pas le S/R de l'IPCOP d'en face.

A mon humble avis il faut que je déclare quelque part dans les iptables les autres S/R comme ayant le même statut que GREEN pour qu'ils ne soient pas rejetés par IPCOP, mais comment ?!?

Si je n'arrive pas à monter correctement ce VPN, on me demande de passer en w2k3 de chaque côté (pas de pb de license, on est MSDN) et honnêtement j'aimerai garder la solution IPCOP ...

[Joffrey]

Bon ... j'ai ma réponse C'est pas possible ...

http://www.multithread.co.uk/ipcop/vpn.php

et en particulier

Unlike a GRE tunnel, an IPsec VPN "tunnel" provides a secure tunnel between fixed subnets only. These subnets are presented on the outside of the firewall and not available within - so don't try pinging the far end from inside the IPCOP box!

bouhouhou