VPN reseau à reseau en production ...

[SHADE]

Bonjour,

Quelques petites questions ...
Je suis utilisateur d'IPCOP depuis plusieur mois, j'ai déjà testé le VPN réseau à réseau avec succés, mais maintenant je desirerai le mettre en production.
Apres avoir parcouru le forum et avoir été confronté à quelques problèmes (déconnexion/reconnexion ...), je voudrais connaître vos conseils pour les modifications à apporter (script/modem/matos ... ) en dehors de la configuration VPN de base de IPCOP.
A savoir que je compte utiliser des abonnements ADSL avec IP FIXE .
Tout ça pour avoir un systeme vraiment fiable (car difficile d'accéder au site distant).

Merci pour votre aide ...

PS : sinon que pensez-vous d'autres solutions que IPCOP ?

[sioca]

Je te conseille d'installer le script VPN Watch disponible sur : http://www.itechnology.de/front_content.php?idcat=87

Je n'ai pas rencontré de probleme de deconnexion. Je l'utilise entre une connexion ADSL sans ip fixe (via un dyndns) et une ligne louée.

[dsbsystem]

Bonjour,

Quelques petites questions ...
Je suis utilisateur d'IPCOP depuis plusieur mois, j'ai déjà testé le VPN réseau à réseau avec succés, mais maintenant je desirerai le mettre en production.
Apres avoir parcouru le forum et avoir été confronté à quelques problèmes (déconnexion/reconnexion ...), je voudrais connaître vos conseils pour les modifications à apporter (script/modem/matos ... ) en dehors de la configuration VPN de base de IPCOP.
A savoir que je compte utiliser des abonnements ADSL avec IP FIXE .
Tout ça pour avoir un systeme vraiment fiable (car difficile d'accéder au site distant).

Merci pour votre aide ...

PS : sinon que pensez-vous d'autres solutions que IPCOP ?

Bonsoir,

Pour ma part, 1 VPN tourne en prod depuis des mois entre 2 sites avec Ipcop 1.46 IP fixe Wanadoo Adsl Pro MAX ( 4000/256) et pas mal d'addons.

Sinon, des boitiers hardware de type Netscreen Watchguard, Zyxel ou pleins d'autres marques fonctionnent correctement.

Bien entendu, avec 256 de flux upload ( bientôt 800 sur tous les Adsl Pro max) il ne faut espérer de miracle en terme de vitesse...

Bien à vous

[calamarz]

Nos sites (7 sites) sont en VPN via Ipcop 1.4.6 aucuns problemes juste une remarque nous sommes en IP fixe (ADSL), Ipcop est installe sur des pc IDENTIQUES (celeron 1,3 ghz, 128 Mo Ram, 20 Go de hdd) tres pratique en cas de MAJ (pour contrer les problemes/incompatibilités materiels) mais aussi si tu le peux il faut avoir une machine de spare en cas de gros plantage, nous par exemple nous avons deux spare un pour notre site principal (deja configué) et une pour un des sites distants. Voila j'oubliais mon premier job dans ma boite a été de trouve une solution pour economiser le prix des liaisons intersites et maintenant cela fait 2 ans qu'ipcop troune en prod chez nous voila !!!

[et9135]

bonjour à tous,

Silencieux et discret mais je suis les info d'ipcop et me permets d'intervenir de temps en temps.
Juste pour en rajouter une couche, IPCOP tourne dans ma boite depuis 5 ans avec 4 sites en VPN et accès au données centralisées sur mon site central.

Ca marche sans problèmes avec des ipfixes sans deconnexion.
Seul hic, je me suis arreté à la version 1.4 au niveau des mises à jours compte tenu de la puissance des machines (P II 256Mo de RAM).

Il est vrai que peut d'addon peuvent etre installé et tourner correctement mais le VPN rien a dire.

Les 4 sites sont en france et un projet est de faire fonctionner un site en belgique .

Là les problèmes commencent due à belgacom et des prestations offertent chez eux.

IPCOP m'a tellement interressé que je l'ai installé à la maison avec une freebox (green + red bato), une IP fixe.

Des addons ont été rajouté et fonctionne sans pb sur un P III 512 Mo de memoire.

J'ai encore de la marge.

Pour ma part bon système et efficace !!

Bon amusement , enfin travail pluto

[SHADE]

Merci pour vos "Temoignages".
Je pense que je peux le mettre en production sans probleme.

Seule petite question ?
Au niveau de ce que dit "calamarz" par rapport à la machines de spare :
si une machine plante, on la remplace par une machine de spare configurée à l'identique ... mais le Certificat Racine géneré par la machine ne sera pas le même ... donc il faut intervenir sur le site distant pour mettre le nouveau Certificat Racine ? Ou y a t-il une astuce ?

[et9135]

Bonsoir,

En fouinant sur le forum je ne sais plus trop ou, je vu un article avec les clé RSA qui pouvaient être changer à distance par le biais de putty.

Par contre c'est un peut galère a faire car il faut toucher 2 fichiers particuliers et les clés sont assez laborieuses.

Faudrait voir ça à moins que quelqu'un sur le forum se rappel de l'article ou est une meilleur idée.

Bon courrage à toi avec cet outil assez passionnant !!!

Bonnes découvertes !

[calamarz]

Oui exact j'ai cru voir cela aussi, je vais rechercher car pour ma part je n'utilise pas les certicficats juste sur le site principal et utilisation tres rare tous les tunnels sont de "réseau à réseau" ce qui ne pose aucuns problemes.

[Franck78]

Ca marche sans problèmes avec des ipfixes sans deconnexion.
Seul hic, je me suis arreté à la version 1.4 au niveau des mises à jours compte tenu de la puissance des machines (P II 256Mo de RAM).

Salut,
Je pense que c'est une erreur de dire ça. Parceque de 140 à 147, c'est des corrections de bug ou des ajouts dans l'interface GUI, des versions à jour des composants. Ca peut difficilement 'charger' plus la machine de manière durable !
(il n'y a pas par exemple de nouveau deamon installé d'office).
Ca peut prendre un peu plus d'espace disque, c'est vrai, pour la duréee d'installation du patch seulement.
Le gros morceau, c'est le changement de kernel. Qui reste de toute façon un 2.4x.

Voila mon avis. Donc rien que pour les bugs et les mises à jours (=> qui corrigent des vrais problèmes de sécu), il faut maintenir à jour son IPCop !



Bye

[mlarcelet]

Bonjour à tous,

Pour ma part, nous utilisons ipCop depuis de nombreux mois entre nos deux sites de production, 3 tunnels VPN sur une ligne louée.

Cela fonctionne très bien : nous avons cependant des problèmes liés à la liaison physique entre les deux machines (trop long à détailler ici, mais, en gros, la connexion pourrait être plus stable )

Rien à voir avec ipCop, donc, mais du coup les conséquences sont bien évidemment des coupures intempestives de un ou plusieurs tunnels VPN (si la ligne est coupée, orcément, plus de vpn, encore une fois ipcop n'est pas la cause du pb. Pas de bras, pas de chocolat.)

Mon problème est le suivant : si je provoque la coupure de la ligne, et que je rétablis la connectivité, le(s) tunnel(s) VPN se rétablissent tous seuls, automatiquement et rapidement.

Sauf des fois

En effet, il m'arrive de me rendre compte qu'un tunnel VPN est marqué closed alors que la connectivité est revenue. Je souhaite donc me munir d'un outil quelconque de monitoring en temps réél de l'état de mes tunnels VPN ipCop. Or je tombe sur un script, vnpwatch au détour d'un site quelconque. Puis je lis ici :

Je te conseille d'installer le script VPN Watch disponible sur : http://www.itechnology.de/front_content.php?idcat=87

Parfait, c'est ce que j'ai fait...

Mais à quoi sert ce script, que fait-il concrètement ? je n'ai pas réussi à trouver l'info de manière claire... Permet-il de logger les decos ? Reconnecte-t-il automatiquement ?

En parcourant ce forum, décidemment intéressant, je trouve ceci :

Question: Reconnexion automatique VPN ipcop to ipcop en ip dynamique ou ip fixe (pour IPCOP v1.4.x)
Mots clés: script VPN, redemarrer VPN, VPN auto

Réponse:
Merci à popoch et Viking pour ce script de reconnexion.

1/ Créer un script intitulé reconn_vpn.sh dans /usr/local/bin avec un editeur de texte (vi par exemple)

Parfait, me dis-je. Sauf qu'il ne fonctionne pas... en tout cas tout ce que j'obtiens en exécutant ce script, c'est une erreur (bad interpreter, no such file or directory).

Bref, je suis un peu dans la panade...

- Quelle est selon vous la meilleure manière de monitorer, voire de relancer automatiquement en cas de deco, le VPN ipcop ?
- existe-t-il un script, un add-on ou autre permettant d'envoyer ce genre d'info (deco, reco, etc) vers un outil de monitoring tiers en utilisant snmp ?
- Avez vous une idée de l'utilisation des 2 scripts sus-cités ?

[Franck78]

Salut


Pour savoir ce que fait le script, le mieux est encore de le lire! C'est du bash qui sort des sentiers battus, un peu plus dur a comprendre que les trucs classiques.
Tu peux aussi lire la page de présentation en anglais et en allemand...

La 1.4.7 apportera une petite amélioration sur la reco en IP dynamique. (d'ailleurs tu ne précises pas ton type d'IP...)


bye

[mlarcelet]

J'ai effectivement parcouru le script, et j'avoue m'y perdre... J'ai bien évidemment lu la page de présentation, mais il faut avouer qu'elle n'est pas particulièrement loquace.

J'utilise uniquement des ip fixes.

[mlarcelet]

En fait, mon problème est plutot le suivant :
plus qu'une reco automatique fiable, je cherche avant tout un moyen simple et fiable d'être averti en cas de deco. J'aimerais trouver un moyen d'être prevenu (mail, net send, trame snmp, n'importe quoi) dès que, quelqu'en soit la raison, un tunnel VPN tombe. Et je n'ai pour le moment pas de solution...

[Franck78]

Peut être que tu imagines qu'il en fait des tonnes alors que comme indiqué, il surveille simplement l'autre 'peer' et déclenche une reconnexion quand le 'peer' ne répond plus.

Le plus qu'il a par rapport aux autres que j'ai rencontré, c'est qu'il lit la configuration des vpn et lance un surveillant pour chaque tunnel et sans utilisation de cron.

Comme tu a des IP fixes, ton problème est assez différent de ceux rencontrés avec une IP changeante à chaque extrémité d'un tunnel. Mais tu pourras toujours fixer à 'restart' l'option 'dead peer detection' (en v1.4.7).