VPN derrière NAT (ipcop1.4.6)

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN derrière NAT (ipcop1.4.6)

Messagepar mrjeanguy » 25 Août 2005 14:44

Bonjour tout le monde,

Je rencontre différents souci dans la mise en place de mon VPN entre le siège principal du bureau (ipfixe, routeur nat) et d'autres postes (adsl particuliers ou cable).

Pour info, j'ai deux IPCOP en 1.4. L'un connecté via le câble, l'autre derrière un modem/routeur qui fait du NAT et qui est géré par mon FAI. (le routeur NAT transfert tous les ports vers mon ipcop et les protocols 50 et 51).

Code: Tout sélectionner
Bureau            INTERNET                 Collaborateurs
LAN-----IPCOP1-RouteurNAT-------INTERNET------Modem-IPCOP2---LAN


Afin de résoudre les différents soucis qui empêchent la mise en place de ce VPN, j'ai décidé de mieux comprendre le VPN IPsec, IKE en lisant un max de docs. J'ai donc parcouru le forum, et les docs suivantes.

Ma petite liste de leture:


http://forums.fr.ixus.net/viewtopic.php?t=24737
le newbie kit ipcop et son post sur "Configurer le VPN avec certificat entre 2 ipcops 1.4.0 & supérieur " la base, pragmatique mais empirique.

http://www.fr.ixus.net/pdf/mini-howto-vpnnat.pdf
How to en français pour mettre en place un vpn entre deux ipcop dont un est derrière un routeur qui fait du NAT..

http://www.fr.ixus.net/pdf/mini-howto-vpnnat.pdf
en inglich (english) encore du nat et du VPN avec exemple de fichier conf et schéma

http://www.commentcamarche.net/initiation/vpn.php3
les VPNs, une bonne introduction pour une vue d'ensemble
http://fr.wikipedia.org/wiki/VPN
les VPNs, une bonne introduction pour une vue d'ensemble (g l'impression que g déjà vu ça qqpart...)

http://www.securiteinfo.com/crypto/IPSec.shtml
Bonne vue d'ensemble et bonnes explications. Bonnes descriptions des composants du VPN IPSEC.
Permet de se rendre compte que derrière la simple interface grafique d'IPCOP se trouve une technique très pointue!! Plus on lit, plus on se rend compte que c complexe!!!

http://www.orbytes.fr/Site/ORBYTES_LABS/COURS/VPN/VPN.html
sortez les aspirines...là on comprend qu'on a rien compris :-D

http://www.lesnouvelles.net/articles/vulnerabilites/693-vulnerabilite-niscc-vpn-ipsec.html
VPN ipsec, vulnérabilité, c'est pour plus tard mais bon je le garde sous le coude


Je pourrais vous taper ma config et mes logs de tentative de connection VPN en attendant votre soluce mais je préfère encore essayer de comprendre et résoudre le truc de manière logique et non pas empirique.



J'ai malgré tout quelques petites questions affin d'essayer de résoudre par moi même (+/-) mes soucis...


:?: le VPN ipcop 1.4 est-il toujours une implémentation freeswan? Je viens de lire que IPCOP 1.4 utilise OPENSWAN. Le "howto ipcop derrière NAT" est fait pour une version 1.2 qui utilisait freeswan. Ce howto est-il toujours valable? (edit du 26 aout)

:?: Le contenu du mini howto ipcop derrière un routeur NAT est-il toujours valable? Ma question sous jacente est, est-il possible de faire ce que propose le howto via l'interface grafique plutot que el lignes de commandes. Ce n'est pas qu'une question de fénéantise, c'est aussi et surtout l'intérret de garder un IPCOP non "customisé" et de garder une config "standard" qui peut être backupée par la suvegarde simple de la config ipcop.

:?: J'entend parler au gré de mes lectures de l'option "nat traversal" s'active-t-elle dans ipcop (si oui comment) ou sur le routeur qui fait du nat?

:?: si j'ai bien compris, le mode net to net correspond au mode "tunnel" (par opposition au mode "transport") ou bien correspond-t-il au mode nesting ?

:?: si j'ai toujours bien compris ipcop utilise un secret partagé (ce sont les cacert et hostcert)(incompatible avec le NAT), pour remplacer le secret partagé on utilise RSA (voire le how to vpn derrière nat).

:?: Quel protocol IPCOP utilise-til pour le transfert des données? AH, ESP ou les deux? Est-il possible de n'utiliser que ESP (qui semble plus compatible avec le NAT)? Si oui comment?

:?: Savez-vous si la partie VPN du guide d'administration sera prochainement disponible?

Après ces lectures, je vous avoues que je suis arrivé à un stade ou plus je lis moins je comprend :? ou du moins plus je me rend compte que je ne connais rien... C'est incroyable cette débauche de technologie derrière nos petits boutons...
Dernière édition par mrjeanguy le 26 Août 2005 09:49, édité 3 fois au total.
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Re: VPN NAT (je ne suis pas fénéant)

Messagepar mrjeanguy » 25 Août 2005 16:05

mrjeanguy a écrit: :?: si j'ai toujours bien compris ipcop utilise un secret partagé (ce sont les cacert et hostcert)(incompatible avec le NAT), pour remplacer le secret partagé on utilise RSA (voire le how to vpn derrire nat).


Visiblement je n'ai rien compris, puisque dans l'interface grafique c'est clairement indiqué "certificat". La méthode du howto VPN utilise donc un certificat et non pas une clé partagée (PSK, option du dessus dans l'interface grafique).

plus ça va, moins ça va... :evil:
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Re: VPN NAT (je ne suis pas fénéant)

Messagepar Yabu_san » 25 Août 2005 16:21

[quote="mrjeanguy"][quote="mrjeanguy"]
:?: si j'ai toujours bien compris ipcop utilise un secret partagé (ce sont les cacert et hostcert)(incompatible avec le NAT), pour remplacer le secret partagé on utilise RSA (voire le how to vpn derrire nat).
[/quote]

Visiblement je n'ai rien compris, puisque dans l'interface grafique c'est clairement indiqué "certificat". La méthode du howto VPN utilise donc un certificat et non pas une clé partagée (PSK, option du dessus dans l'interface grafique).

plus ça va, moins ça va... :evil:[/quote]

Salut !

Moi qui suis plus que Newbie dans le domaine du réseau, j'ai réussi a créer un Vpn entre deux Ipcop 1.4.6 la semaine dernière car j'ai trouvé le bon Howto "qui va bien"...si ça t'interresse, je vide mon tiroir à docs et j'essaie de retrouver l'Url ou au moins de retape la doc...

Hai ?

Yabu Sama
Yabu_san
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Août 2005 16:11
Localisation: Paname !!!

Messagepar mrjeanguy » 25 Août 2005 16:28

...ptite précision mes IPCOPs sont en 1.4.6
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Re: VPN NAT (je ne suis pas fénéant)

Messagepar mrjeanguy » 25 Août 2005 16:30

Yabu_san a écrit: Salut !

Moi qui suis plus que Newbie dans le domaine du réseau, j'ai réussi a créer un Vpn entre deux Ipcop 1.4.6 la semaine dernière car j'ai trouvé le bon Howto "qui va bien"...si ça t'interresse, je vide mon tiroir à docs et j'essaie de retrouver l'Url ou au moins de retape la doc...
Hai ?
Yabu Sama


Hello,

Merci pour l'offre,

Je suis toujours preneur.

En attendant je continue à lire, chercher, tester, m'énerver, espérer, attendre etc...


Merci à toi

JG
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Ipcop: Vpn

Messagepar Yabu_san » 25 Août 2005 16:33

Okay, no soucy !

Je regarde ça ce soir, chez moi [...] et j'essaie de faire pour le mieux !

Yabu Sama
Yabu_san
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Août 2005 16:11
Localisation: Paname !!!

Messagepar Yabu_san » 26 Août 2005 11:11

Salut !

Je n'ai pas (encore) retrouvé l'adresse où j'ai eu mon How-to (en français, en plus) mais ce
doit être sur ce forum...en tout cas, il site (le site)

[url]http://www.databrokers.net/opensource/ipcop/vpn-to-vpn-detailed-how-to.html[/url]

...en précisant qu'il s'en est inspiré.

En espérant que cela t'aide...

Yabu Sama. :idea:
Yabu_san
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Août 2005 16:11
Localisation: Paname !!!

Messagepar Yabu_san » 26 Août 2005 11:17

....c'est dans le [b]Kit Newbie[/b], en fait....suis-je bête !

Testé et approuvé par moi, en tout cas...mais peut être
es-tu dans un cas particulier...tous tes ports sont bien
forwardés, dis-tu ?

Yabu Sama
Yabu_san
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Août 2005 16:11
Localisation: Paname !!!

Messagepar mrjeanguy » 26 Août 2005 11:33

Yabu_san a écrit:Salut !

Je n'ai pas (encore) retrouvé l'adresse où j'ai eu mon How-to (en français, en plus) mais ce
doit être sur ce forum...en tout cas, il site (le site)

http://www.databrokers.net/opensource/ipcop/vpn-to-vpn-detailed-how-to.html

...en précisant qu'il s'en est inspiré.

En espérant que cela t'aide...

Yabu Sama. :idea:


Merci pour la peine que tu t'es donné.

Le lien en fraçais dont tu parle est le suivant :http://forums.fr.ixus.net/viewtopic.php?t=24737 (il faut descendre plus bas dans la page.) ou celui-ci http://forums.fr.ixus.net/viewtopic.php?t=20144&start=0&postdays=0&postorder=asc&highlight=hostcert+pem+cacert+pem qui est équivalent.

Merci tout de même.

De mon côté je continue à chercher et tester, si vous avez des réponses à mes questions (voire plus haut) n'hésitez pas.

Merci
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Messagepar mrjeanguy » 26 Août 2005 11:36

Yabu_san a écrit:....c'est dans le Kit Newbie, en fait....suis-je bête !

Testé et approuvé par moi, en tout cas...mais peut être
es-tu dans un cas particulier...tous tes ports sont bien
forwardés, dis-tu ?

Yabu Sama


Oui mes ports sont bien forwardés, les protocols 50 et 51 passent aussi.

En gros le souci que je rencontre c'est que je suis derrière un routeur qui fait du NAT. Il y a un Howto pour ce type de situation mais je voudrais savoir si il est toujours valablecar il date de la version 1.2 d'ipcop et les protocols employés semblent avoir changé (voire mon post initial).

En attendant je te remercie encore pour ton effort.

Bien à toi.

JG
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Messagepar mrjeanguy » 27 Août 2005 22:18

... un petit up... ?
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Re: VPN derrière NAT (ipcop1.4.6)

Messagepar Franck78 » 28 Août 2005 00:56

mrjeanguy a écrit:
J'ai malgré tout quelques petites questions affin d'essayer de résoudre par moi même (+/-) mes soucis...


:?: le VPN ipcop 1.4 est-il toujours une implémentation freeswan? Je viens de lire que IPCOP 1.4 utilise OPENSWAN. Le "howto ipcop derrière NAT" est fait pour une version 1.2 qui utilisait freeswan. Ce howto est-il toujours valable? (edit du 26 aout)

:?: Le contenu du mini howto ipcop derrière un routeur NAT est-il toujours valable? Ma question sous jacente est, est-il possible de faire ce que propose le howto via l'interface grafique plutot que el lignes de commandes. Ce n'est pas qu'une question de fénéantise, c'est aussi et surtout l'intérret de garder un IPCOP non "customisé" et de garder une config "standard" qui peut être backupée par la suvegarde simple de la config ipcop.

:?: J'entend parler au gré de mes lectures de l'option "nat traversal" s'active-t-elle dans ipcop (si oui comment) ou sur le routeur qui fait du nat?

:?: si j'ai bien compris, le mode net to net correspond au mode "tunnel" (par opposition au mode "transport") ou bien correspond-t-il au mode nesting ?

:?: si j'ai toujours bien compris ipcop utilise un secret partagé (ce sont les cacert et hostcert)(incompatible avec le NAT), pour remplacer le secret partagé on utilise RSA (voire le how to vpn derrière nat).

:?: Quel protocol IPCOP utilise-til pour le transfert des données? AH, ESP ou les deux? Est-il possible de n'utiliser que ESP (qui semble plus compatible avec le NAT)? Si oui comment?

:?: Savez-vous si la partie VPN du guide d'administration sera prochainement disponible?

Après ces lectures, je vous avoues que je suis arrivé à un stade ou plus je lis moins je comprend :? ou du moins plus je me rend compte que je ne connais rien... C'est incroyable cette débauche de technologie derrière nos petits boutons...




Q1: openswan est la continuation de freeswan. Au moins dans la version 1.0 de openswan qui est utilisée par Ipcop. Donc le howto reste valable.

Q2: si tu retrouves les mêmes infos pour mettre en place le vpn, pas de raison que le howto soit faux.

Q3: C'est "nat_traversal=on". Et ce, malgré le fait que l'option "NAT" existe... pour les Roadwarriors.... et peut eventuellement agir sur la variable "righsubnet" ! A voir.
Sur le routeur: c'est pas lui qui fait de l'IPSec, c'est lui qui fout la grouille avec son NAT !!!

Q4: lire le doc qui donne mal à la tète. C'est clair. IPCop est toujours une gateway vers le réseau GREEN. Un vpn vers lui même n'a pas d'intérêt immédiat.

Q5: self response....

Q6: les deux, et c'est pas une option de squizzer AH. Surtout quand tu lis l'alerte que tu mentionnes en dernier.

Q7: circulez, il y a rien a voir..... Guide d'admin ? A lui seul il serait plus gros que le reste du guide IPCop. Pour être efficace, il devrait dispenser tout un cours sur IPSec.


Bonne recherche de ton problème sur tes deux IPCops, le routeur et le(les) FAIs !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: VPN derrière NAT (ipcop1.4.6)

Messagepar mrjeanguy » 29 Août 2005 11:20

Hello Franck,

Un grand merci à toi d'avoir preté attention à ma demande et d'avoir répondu à toutes mes questions.

Bien que je n'aie pas compris toutes tes réponses je pense que je vais pouvoir avancer.

Franck78 a écrit:Q2: si tu retrouves les mêmes infos pour mettre en place le vpn, pas de raison que le howto soit faux.

En fait le howto VPN et NAT est pour la version 1.2 d'ipcop qui semble utiliser des clés PSK. La version 1.4.x d'ipcop ne semble pas utiliser ces fameuses clés PSK (du moins dans tous les howto que j'ai lu...). Dès lors j'ai un peu peur de comparer des pommes et des poires ou comme on dit de platrer une jambe de bois...


Franck78 a écrit:Q4: lire le doc qui donne mal à la tète. C'est clair. IPCop est toujours une gateway vers le réseau GREEN. Un vpn vers lui même n'a pas d'intérêt immédiat.

Là je dois avouer que je ne te suis pas trop... Pourquoi me évoque tu "un VPN vers lui même"? Je ne vois pas le rapport entre ta réponse et ma question :
mrjeanguy a écrit:si j'ai bien compris, le mode net to net correspond au mode "tunnel" (par opposition au mode "transport") ou bien correspond-t-il au mode nesting ?


Franck78 a écrit:Bonne recherche de ton problème sur tes deux IPCops, le routeur et le(les) FAIs !

Merci à toi, si je ne parviens pas à une solution concrète je pense demander à mon FAI de virer leur routeur et me mettre un modem à la place.

Le problèmme c'est que à terme je vais devoir mettre un VPN derrière un autre IPCOP (qui fait du NAT=> je dois y arriver de toute façon.

Encore un grand merci à toi. Si d'autres ont un expérience en VPN derrière un NAT je suis toujours preneur de leur expérience car malgré ma bonne volonté, je reste un noob en VPN.
Avatar de l’utilisateur
mrjeanguy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 247
Inscrit le: 12 Nov 2003 01:00

Messagepar Franck78 » 29 Août 2005 18:08

Dans le doc qui fait mal à la tête, le gars explique "tunnel=relie à un réseau" mais aussi qu'il peut y avoir un vpn "machine vers machine".
IPCop est toujours une extrémité d'un réseau car un vpn vers IPCop itself est sans intérèt.


Il y a toujours le "secret partagé" dispo pour établir le VPN. PSK ou x509, regarde bien !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

VPN derrière un routeur NAT

Messagepar fmontfort » 30 Août 2005 10:41

Bonjour Jean Guy :D

Je rencontre le même problème avec deux machines IPCop 1.4.6 derrière deux FreeBox (IP fixe et tout et tout).

LAN1 ---- IPCOP1 ---- FREEBOX1 --------/WEB\-------- FREEBOX2 ---- IPCOP2 ---- LAN2

J'ai même essayé de placer les machines IPCOP en DMZ (histoire de voir). rien n'y fait...

As-tu trouvé un début de solution ?

Je continue aussi à chercher et n'hésiterai pas à te tenir informé si je trouve une solution viable et fiable.

Bon courage,

Fabrice
fmontfort
Matelot
Matelot
 
Messages: 7
Inscrit le: 11 Juil 2005 16:56

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron