Bonjour / 'soir,
J'ai une question qui me taraude depuis un moment.
ipcop1 (green + orange)
ipcop2 (green)
J'ai crée 2 VPN entre ipcop1 et ipcop2. Ceci afin que mon premier VPN accède à quelques IP du green (ipcop1) et le deusième VPN pour que les PC d'ipcop2 accède uniquement à un serveur dans la DMZ d'ipcop1.
N'y a-tîl pas un autre moyen pour seulement crée un seul VPN entre les 2 ipcop et ensuite définir quel réseau accède à quel réseau respectifs. Ceci afin de ne pas générer du traffic inutile, d'utiliser le pross inutilement, etc... ou ipcop ne prends pas en charge ceci ?
Merci pour vos réponses : )
[resolu] 2 VPN pour green + orange = bon ?
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
[resolu] 2 VPN pour green + orange = bon ?
par shwing » 28 Nov 2005 23:05
Dernière édition par shwing le 30 Nov 2005 16:54, édité 1 fois au total.
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par loberty » 29 Nov 2005 13:15
Bonjour,
Ce doit être possible en gérant les règles différement de chaque côté et un indiquant que ces règles s'appliquent à ipsec0.
Par exemple, sur l'IPCOP qui recoit les connexions distantes par VPN et qui ne doit fournir un accès que sur sa DMZ, tu pourras préciser que tout ce qui provient de VPN (ipsec0 je crois) ne dois avoir accès qu'à la DMZ locale.
Et tu fais le même chose sur l'autre IPCOP pour l'accès à GREEN.
A+
Ce doit être possible en gérant les règles différement de chaque côté et un indiquant que ces règles s'appliquent à ipsec0.
Par exemple, sur l'IPCOP qui recoit les connexions distantes par VPN et qui ne doit fournir un accès que sur sa DMZ, tu pourras préciser que tout ce qui provient de VPN (ipsec0 je crois) ne dois avoir accès qu'à la DMZ locale.
Et tu fais le même chose sur l'autre IPCOP pour l'accès à GREEN.
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par shwing » 29 Nov 2005 17:49
merci loberty pour ta réponse.
En lisant ton topic, j'en déduit que cela ne pourra se faire qu'en modifiant certains fichiers à la main et non pas depuis le webgui. Je ne suis pas contre, bien au contraire : )=
j'ai regardé les quels fichiers que je peux identifier dans ipcop, mais rien ne me parle. Si tu peux m'orienter sur quels fichiers je dois bosser... : )
En lisant ton topic, j'en déduit que cela ne pourra se faire qu'en modifiant certains fichiers à la main et non pas depuis le webgui. Je ne suis pas contre, bien au contraire : )=
j'ai regardé les quels fichiers que je peux identifier dans ipcop, mais rien ne me parle. Si tu peux m'orienter sur quels fichiers je dois bosser... : )
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par loberty » 29 Nov 2005 19:20
Bonsoir,
Si tu veux le faire par la GUI, il te faut alors utiliser BOT (BlockOutTrafic en ayant au préalable installé Addons Server).
Pour le faire à la mano, tu dois alors modifier le fichier /etc/rc.d/rc.firewall.local.
Pour les commandes, vérifies comment se nomme l'intrerface VPN, je crois que c'est ipsecX où X est incrémenté pour chaque VPN.
La règle pourrait ressembler à cela, attention, j'en suis pas du tout certain, je te conseille de bien vérifier avant.
Cette règle ci-dessous (si elle fonctionne !) autorise tout ce qui est à transférer de IPSEC vers la DMZ.
Cérifies avant que par défaut tout le reste est refusé.
A+
Si tu veux le faire par la GUI, il te faut alors utiliser BOT (BlockOutTrafic en ayant au préalable installé Addons Server).
Pour le faire à la mano, tu dois alors modifier le fichier /etc/rc.d/rc.firewall.local.
Pour les commandes, vérifies comment se nomme l'intrerface VPN, je crois que c'est ipsecX où X est incrémenté pour chaque VPN.
La règle pourrait ressembler à cela, attention, j'en suis pas du tout certain, je te conseille de bien vérifier avant.
Cette règle ci-dessous (si elle fonctionne !) autorise tout ce qui est à transférer de IPSEC vers la DMZ.
- /sbin/iptables -A FORWARD -i ipsec+ -o $ORANGE_DEV -j ACCEPT
Cérifies avant que par défaut tout le reste est refusé.
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par shwing » 30 Nov 2005 12:54
>ok,
si je comprends bien te suggestions (via webgui) je définie mon VPN 'plus large' que par défaut et ensuite je bloque ce que je ne veux pas qui soit vu via BOT. juste ?
sinon, j'édite le fichier rc.firewall.local et là je rentre qui peut voir quoi, ce qui me parrait plus simple, lors que j'aurais compris les commandes à rentrer, que l'interface de BOT.
^^
si je comprends bien te suggestions (via webgui) je définie mon VPN 'plus large' que par défaut et ensuite je bloque ce que je ne veux pas qui soit vu via BOT. juste ?
sinon, j'édite le fichier rc.firewall.local et là je rentre qui peut voir quoi, ce qui me parrait plus simple, lors que j'aurais compris les commandes à rentrer, que l'interface de BOT.
^^
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité