[RESOLU] Ipcop / OpenVPN : problème de routage

[fincom]

Bonsoir ou bonjour les amis,

Dans le cadre du déploiement d'un vpn avec openvpn (ZERINA 3b) + Ipcop (1.4.10), je suis confronté à un sérieux problème.

Tout d'abord je vous présente la config et le schéma :

Réseau Interne(192.168.1.0/255.255.255.0)-----(192.168.1.253/255.255.255.0)IPCOP(81.x.x.x) ----Internet----(196.x.x.x)Modem[Sagem F@ast1400](192.168.2.1/255.255.255.255)----(192.168.2.2/255.255.255.0)Win XP (OpenVpn 2.05 Gui 1.0.3)

Côté IPCOP tout est nickel, le serveur est lancé et avec un mode verbose à 4, je ne détecte aucun problème dans les logs :

server.conf :

Code: Tout sélectionner

#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local 81.x.x.x
dev tun
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 10.166.217.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 60
status-version 1
status /var/ipcop/ovpn/server.log 30
cipher BF-CBC
comp-lzo
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 4


Côté client, donc winxp, aucun problème, les logs d'openvpn sont les suivant :

Code: Tout sélectionner

Mon Dec 05 23:24:44 2005 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Dec 05 23:24:44 2005 LZO compression initialized
Mon Dec 05 23:24:44 2005 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Mon Dec 05 23:24:44 2005 Control Channel MTU parms [ L:1442 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 05 23:24:44 2005 Data Channel MTU parms [ L:1442 D:1442 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 05 23:24:44 2005 Local Options hash (VER=V4): 'a6ae7d69'
Mon Dec 05 23:24:44 2005 Expected Remote Options hash (VER=V4): '006a55ce'
Mon Dec 05 23:24:44 2005 UDPv4 link local (bound): [undef]:1194
Mon Dec 05 23:24:44 2005 UDPv4 link remote: 81.192.36.192:1194
Mon Dec 05 23:24:44 2005 TLS: Initial packet from 81.x.x.x:1194, sid=ec6462fb efb86fa2
Mon Dec 05 23:24:47 2005 VERIFY OK: depth=1, /C=MA/ST=Casablanca/L=Casablanca/O=yyy/OU=yyy/CN=xx_CA/emailAddress=yyy@yy.com
Mon Dec 05 23:24:47 2005 VERIFY OK: nsCertType=SERVER
Mon Dec 05 23:24:47 2005 VERIFY OK: depth=0, /C=MA/ST=Casablanca/O=KTI/OU=Dir_Informatique/CN=81.x.x.x
Mon Dec 05 23:24:51 2005 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 05 23:24:51 2005 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 05 23:24:51 2005 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 05 23:24:51 2005 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 05 23:24:51 2005 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Dec 05 23:24:51 2005 [81.192.36.192] Peer Connection Initiated with 81.x.x.x:1194
Mon Dec 05 23:24:52 2005 SENT CONTROL [81.x.x.x]: 'PUSH_REQUEST' (status=1)
Mon Dec 05 23:24:54 2005 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.166.217.0 255.255.255.0,ifconfig 10.166.217.6 10.166.217.5'
Mon Dec 05 23:24:54 2005 OPTIONS IMPORT: --ifconfig/up options modified
Mon Dec 05 23:24:54 2005 OPTIONS IMPORT: route options modified
Mon Dec 05 23:24:54 2005 TAP-WIN32 device [Connexion au réseau local 6] opened: \\.\Global\{C18FC67F-91EF-41FA-9664-58438913EFCB}.tap
Mon Dec 05 23:24:54 2005 TAP-Win32 Driver Version 8.1
Mon Dec 05 23:24:54 2005 TAP-Win32 MTU=1500
Mon Dec 05 23:24:54 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.166.217.6/255.255.255.252 on interface {C18FC67F-91EF-41FA-9664-58438913EFCB} [DHCP-serv: 10.166.217.5, lease-time: 31536000]
Mon Dec 05 23:24:54 2005 Successful ARP Flush on interface [196611] {C18FC67F-91EF-41FA-9664-58438913EFCB}
Mon Dec 05 23:24:54 2005 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 05 23:24:54 2005 Route: Waiting for TUN/TAP interface to come up...
Mon Dec 05 23:24:55 2005 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 05 23:24:55 2005 Route: Waiting for TUN/TAP interface to come up...
Mon Dec 05 23:24:56 2005 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 05 23:24:56 2005 Route: Waiting for TUN/TAP interface to come up...
Mon Dec 05 23:24:57 2005 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 05 23:24:57 2005 Route: Waiting for TUN/TAP interface to come up...
Mon Dec 05 23:24:58 2005 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Dec 05 23:24:58 2005 route ADD 192.168.1.0 MASK 255.255.255.0 10.166.217.5
Mon Dec 05 23:24:58 2005 Route addition via IPAPI succeeded
Mon Dec 05 23:24:58 2005 route ADD 10.166.217.0 MASK 255.255.255.0 10.166.217.5
Mon Dec 05 23:24:58 2005 Route addition via IPAPI succeeded
Mon Dec 05 23:24:58 2005 Initialization Sequence Completed


Le problème est qu'il m'est impossible de pinguer les postes qui font partie du réseau derrière ipcop.
Depuis xp, j'arrive à pinguer Ipcop sur son adresse interne, autrement dit sur l'adresse : 192.168.1.253, j'arrive d'ailleurs à le piloter au travers du ssh et de l'interface web.

Ce qui est bizarre est que ça marche parfois, mais je n'ai aucune idée du Comment ? ni du pourquoi ? , de temps en temps, j'arrie donc à accéder aux postes internes mais juste le temps d'une minute.

En cherchant sur google, je suis tombé sur un message sur la mailing liste d'OpenVpn, le conseil était de changer la valeur du paramètre : Keep Alive et donc de mettre : keepalive 10 60
Mais ce paramètrage est celui par défaut de la dernière version de ZERINA 3b.

Y'a t'il une ame charitable capable de m'aider. L'affaire de déploiement de l'Openvpn est très urgente dans mon cas.

Je vous remercie tous d'avance.

That's All
Have Fun !!!

[pupuv]

Salut,

Peux-tu indiquer la config du client ?

Ajoute également le résultat (côté serveur + client) des commandes ifconfig -a (ou ipconfig /all pour win) et route...

A++

That’s folks

[TheMogwai]

Bonjour,

S'il n'y a pas d'erreur de frappe dans ta config telle que citée ci dessous il y a une erreur de paramétrage coté winxp sur la config du modem Sagem:


Réseau Interne(192.168.1.0/255.255.255.0)-----(192.168.1.253/255.255.255.0)IPCOP(81.x.x.x) ----Internet----(196.x.x.x)Modem[Sagem F@ast1400](192.168.2.1/255.255.255.255)----(192.168.2.2/255.255.255.0)Win XP (OpenVpn 2.05 Gui 1.0.3)

Tu devrais normalement avoir: Modem[Sagem F@ast1400](192.168.2.1/255.255.255.0)

Sinon tu n'as pas la même classe d'adresse entre le modem et la sation winxp et la machine winxp ne peut pas trouver la passerelle.

Sinon je ne vois pas comme ça à première vue.

Bon courage. Cdlt!

[fincom]

Bonjour

Ce n'est effectivement qu'une erreure de frappe.

Concernant le problème citée ci-dessus, j'ai apporté les modifications suivantes :

Réseau Local ---- IPCOP--------------Internet----------RoadWarrior

En supprimant le modem Fast@1400 et en le remplaçant par un modem ADSL SpeedTouch v4, tout fonctionne de façon normale.

J'ai découvert que le modem F@st 1400 possédait un firewall qui de première vue ne permettait pas au serveur ipcop de trasmettre les paquets au Road Warrior. Le seul moyen pour que le VPN fonctionne, fut la désactivation du firewall.

A defaut, comme j'avais un modem speedtouch qui trainait, j'ai connecté le modem à l'IPCOP, et là c'est nickel tout fonctionne à merveillle.

Le nouveau défit que je suis entrain de relever est le problème entre VPN+IPCOP+Serveur AIX.

Merci

That's all
Have fun

[erreipnaej]

Bonjour,

./Edit
Tu as indiqué la solution alors que je tapais ce post.
Edit/.

J'ai du mal a piger ta config!
Perso voila la mienne:

Code: Tout sélectionner

                Lan maison  Green 192.168.200.0/255.255.255.240
                                   |
IpCop Red A.B.C.D (IP Free.fr)--------Green (192.168.200.1)-------OpenVPN (10.0.20.0/255.255.255.240)-----Orange 10.0.15.0/255.255.255.240)
                                   |
                               Internet
                                   |
                    Routeur bureau E.F.G.H (IP Oléane) 192.168.200.
                                   |
                  Lan Bureau (192.168.0.0/255.255.255.0)

Je prends le cas de deux machines (WinXP):
1 sur le Green (192.168.200.2)et 1 sur le Lan Bureau(192.168.0.7) sur laquelle est installé OpenVPNGUI.

Voila les info ipconfig des 2 machines et ifconfig d'IpCop:
Machine Lan Maison

Code: Tout sélectionner

Configuration IP de Windows

        Nom de l'hôte . . . . . . . . . . : Nom machine
        Suffixe DNS principal . . . . . . :
        Type de noud . . . . . . . . . . : Inconnu
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Pont réseau (Pont réseau):

        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : Miniport de pont MAC
        Adresse physique . . . . . . . . .: xx-xx-xx-xx-xx
        DHCP activé. . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.200.2
        Masque de sous-réseau . . . . . . : 255.255.255.240
        Passerelle par défaut . . . . . . : 192.168.200.1 (Ipcop Green)
        Serveurs DNS . . . . . . . . . .  : 192.168.200.1 (Ipcop Green)
                                            212.27.32.176 (Free.fr)
                                            212.27.32.177 (Free.fr)

IpCop

Code: Tout sélectionner

eth0      Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:xx 
          inet addr:192.168.200.1  Bcast:192.168.200.15  Mask:255.255.200.240
         ......

eth1      Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:xx 
          inet addr:A.B.C.D  Bcast:54.X.Y.Z  Mask:255.255.255.0
          ........

eth2      Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:xx 
          inet addr:10.0.15.1  Bcast:10.0.15.15  Mask:255.255.255.240
          .........

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
         ........

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.0.20.1  P-t-P:10.0.20.2  Mask:255.255.255.255
        ......

Machine Lan Bureau

Code: Tout sélectionner

Nom de l'hôte . . . . . . . . . . : nom machine
        Suffixe DNS principal . . . . . . : DOMAINE
        Type de noud . . . . . . . . . . : Inconnu
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non
        Liste de recherche du suffixe DNS : DOMAINE
Carte Ethernet Connexion au réseau local:
        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : Carte réseau Fast Ethernet PCI Realtek RTL8139 Family
        Adresse physique . . . . . . . . .: xx-xx-xx-xx-xx-xx
        DHCP activé. . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.0.7
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.0.100 (Routeur Oélane sur Lan Bureau)
        Serveurs DNS . . . . . . . . . .  : 192.168.0.101 (Lan Bureau)
                                            195.221.96.3 (Oléane)
                                            195.221.97.3 (Oléane)
Carte Ethernet OpenVpn:
        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : TAP-Win32 Adapter V8
        Adresse physique . . . . . . . . .: xx-xx-xx-xx-xx-xx
        DHCP activé. . . . . . . . . . . : Oui
        Configuration automatique activée . . . . : Oui
        Adresse IP. . . . . . . . . . . . : 10.0.20.6
        Masque de sous-réseau . . . . . . : 255.255.255.252
        Passerelle par défaut . . . . . . :
        Serveur DHCP. . . . . . . . . . . : 10.0.20.5
        Bail obtenu . . . . . . . . . . . : vendredi 9 décembre 2005 22:09:33
        Bail expirant . . . . . . . . . . : samedi 9 décembre 2006 22:09:33

La page de config OpenVPN

Code: Tout sélectionner

Etat actuel du serveur OpenVPN:     En fonction
OpenVPN sur RED    X
OpenVPN sur ORANGE   
Nom d'hôte ou IP locale du RPV: nom.no-ip.org   Sous réseau OpenVPN  10.0.20.0/255.255.255.240    
Equipement OpenVPN: TUN   Protocole: UDP   Port destination: 1194


Tout ça marche trés bien, contrôle sur tes machines si tout est bien configuré. Vu les infos que tu donnes, e penserais au sous réseau OpenVPN mal configuré dans ton installation.
Si depuis le bureau je veux pinguer la machine maison, je fait "ping 192.168.200.2"
Si depuis la maison je veux pinguer la machine bureau, je fait "ping 10.0.20.6"


Les adresses données sur le sous réseau OpenVPN ont été donné automatiquement.
J'ai juste choisi mon sous réseau, c'est à dire "10.0.20.0/255.255.255.240".
En espérant que cela t'aide à trouver ce qui ne va pas.
@+

[fincom]

Bonjour erreipnaej,

Je te remercie pour ta réponse.

MA configuration n'était pas différente dans un premier temps avec la tienne. A part le fait que je n'ai pas de DMZ, donc de zone ORANGE.

J'ai échangé le routeur F@st1400 par un modem SpeedTouch du fait que le routeur est bridé par le provider, ie le routeur a été modifiée de tel façon que l'on ne puisse pas jouer sur le NAT ni personnaliser les règles du firewall.

IPCOP dispose du support des modems alcatel, du coup il m'a parru plus judicieux d'utiliser le modem alcatel.

Comme je l'ai précisé, le VPN fonctionne à merveille actuellement. reste juste à trouver la solution pour un serveur aix que je n'arrive toujours pas à pinguer depuis le VPN, ou du moins, il est accessible qu'une fous sur cinq.

Merci

That's All
Have Fun !!!!