[RESOLU] IPCOP+OpenVPN : pas d'acces reseau local

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU] IPCOP+OpenVPN : pas d'acces reseau local

Messagepar chris_fr7 » 28 Déc 2005 19:47

Bonsoir,

J'ai installé un serveur IPCOP 1.4.10 avec le module OpenVPN ZERINA 0.9.3b dans le but que des utilisateurs nomades puissent se connecter à un serveur local depuis n'importe quel point d'accès (bureau, domicile, hôtel...). Le client utilisé est OpenVPN 2.0.5 sur XP.

La connexion entre le client et OpenVPN est affichée comme correcte. Il est possible d'accéder à l'interface graphique d'IPCop par le web en tapant l'adresse ip de l'interface GREEN mais il n'est pas possible d'accéder au serveur du réseau local. Après plusieurs heures de recherches, je n'ai pas trouvé de réponse vraiment claire et exploitable.

Si quelqu'un peut m'aider à résoudre ce problème et à définir un exemple de configuration pour ce type d'utilisation, je pense que cela facilitera la tâche de nombreux utilisateurs.

Merci d'avance.

Ip publique du client : 82.XXX.XX.XX IPCop : derrière une freebox en mode routeur et DHCP actif (port 1194 ouvert) ayant l'adresse 83.XXX.XX.XX

RED (eth1) : 192.168.0.1 GREEN (eth0) : 192.9.10.101

OpenVPN est configuré sur RED sur l'adresse 192.168.0.1. et le sous-réseau en 10.10.10.0/255.255.255.0. (TUN UDP 1194)
Dans IPCop, le serveur OpenVPN est affiché "En fonction". L'état du client reste sur "Fermé" même lorsque la connexion VPN est établie (???).

Le client se connecte à l'adresse publique de la freebox et obtient l'adresse 10.10.10.6. Le log indique :

Wed Dec 28 15:55:04 2005 route ADD 192.9.10.0 MASK 255.255.255.0 10.10.10.5
Wed Dec 28 15:55:04 2005 Route addition via IPAPI succeeded
Wed Dec 28 15:55:04 2005 route ADD 10.10.10.1 MASK 255.255.255.255 10.10.10.5
Wed Dec 28 15:55:04 2005 Route addition via IPAPI succeeded
Wed Dec 28 15:55:04 2005 Initialization Sequence Completed

Log serveur : openvpnserver 82.XXX.XX.XX:1194 [Chris_Certificat] Peer Connection Initiated with 83.XXX.XX.XX:1194

Table de routage

Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.2 - 0.0.0.0 - 255.255.255.255 - UH 0 0 0 tun0
192.168.0.0 - 0.0.0.0 - 255.255.255.0 - U 0 0 0 eth1
192.9.10.0 - 0.0.0.0 - 255.255.255.0 - U 0 0 0 eth0
10.10.10.0 - 10.10.10.2 - 255.255.255.0 - UG 0 0 0 tun0
0.0.0.0 - 192.168.0.254 - 0.0.0.0 - UG 0 0 0 eth1

Interface tun0 : inet addr:10.10.10.1 P-t-P:10.10.10.2 Mask:255.255.255.255

Lorsque le client tente de se connecter au serveur local 192.9.10.110, il est affiché dans les connexions :
tcp (6) 96 SYN_SENT 10.10.10.6:2286 192.9.10.110:80 192.9.10.110:80 10.10.10.6:228 [UNREPLIED] 1
Dernière édition par chris_fr7 le 04 Jan 2006 11:49, édité 1 fois au total.
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar erreipnaej » 28 Déc 2005 22:42

Bonsoir,
J'ai eu des soucis similaires aprés la mise à jour avec la derniére version de Zerina.
J'ai enlevé la derniére ligne du fichier de config:
Code: Tout sélectionner
ns-cert-type server
et ça remarche.
J'ai fait ça car j'avais un premier roadwarrior créé avec la version d'avant qui marche impec et il n'y a pas cette ligne dans le fichier de config.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar chris_fr7 » 29 Déc 2005 12:56

Bonjour erreipnaej,

Merci de ta réponse si rapide.

Malheureusement, j'ai enlevé la mention "ns-cert-type server" dans le fichier de configuration du client mais cela n'a rien changé : j'accéde toujours à l'interface graphique d'IPcop sur l'interface locale (GREEN) mais impossible d'interroger le serveur local.

- l'authentification semble être correcte mais je ne comprends pas pourquoi le status du client est sur "Fermé" ??
- le pb pourrait venir du routage entre l'interface virtuelle du VPN (tun0) et l'interface du réseau local (eth0) mais pourquoi l'interrogation d'IPcop sur l'adresse 192.9.10.101:81 fonctionne alors que l'interrogation du serveur 192.9.10.110 est impossible ???
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar erreipnaej » 29 Déc 2005 19:49

Bonjour,

Il n'y a pas de serveur web sur le port 80 d'Ipcop.
L'accés à l'interface web se fait par le 445 (si tu ne l'a pas changé) en https.
D'ailleurs, le port 81 est normalement rerouté sur le https.
Je ne comprends plus trés bien ton probléme.
Fais un petit croquis de ton réseau.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar chris_fr7 » 29 Déc 2005 20:49

Un petit schéma pour résumer le réseau :

Image

L'interrogation d'IPCop sur l'adresse 192.9.10.101:81, correspondant à son interface GREEN locale, s'effectue bien (redirection en https).

Mon problème est d'interroger le serveur web se trouvant dans le reseau local à l'adresse 192.9.10.110 grace au VPN. Cela ne fonctionne pas, de même que le ping.
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar erreipnaej » 29 Déc 2005 22:24

Bonsoir,

Comment est paramétré le Red de ton IpCop?
J'ai aussi une Freebox et mon Red reprends l'IP de la Freebox. J'ai paramétré le Red en DHCP. Je suis en Ip flottante. Je pense que même en IP fixe, cela doit marcher pareil.
Le Green est en 192.168.X.1, mes postes en 192.168.X.Y.
Mon client OpenVpn (Zerina) est en 10.0.10.10 pour le VPN, en 192.168.Z.7 pour le réseau local ou il est (bureau).
J'ai pris la main dessus (Dameware) et je pingue le réseau Green, par contre je n'ai pas accés "en local" à mon Orange comme je peux l'avoir depuis mon réseau Green. Peut être un problème de DNS sur le poste distant??
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar chris_fr7 » 29 Déc 2005 23:30

IPCop est connecté derrière la freebox qui est en mode routeur. Sur la freebox, j'ai ouvert un port UDP 1194 à destination de l'interface RED de l'IPCop.

L'interface RED est parametrée en IP fixe 192.168.0.1 pour la connexion avec la freebox et l'interface GREEN est en 192.9.10.101 pour s'adapter aux postes du réseau qui sont de la même classe. Les postes du réseau ont comme passerelle l'adresse 192.9.10.101 d'IPCop pour l'accès à internet.

Le client est en mode DHCP et obtient l'adresse 10.10.10.6 par le VPN.

Comme je l'ai indiqué dans mon premier post, la page des connexions indique tcp (6) 96 SYN_SENT 10.10.10.6:2286 192.9.10.110:80 192.9.10.110:80 10.10.10.6:228 [UNREPLIED] 1 lorsque le client tente de se connecter.

Peut-être faudrait-il que je simplifie la connexion internet en me rapprochant de ta configuration pour voir si cela fonctionne mieux ?

Pour que RED de ton IPCop obtienne l'adresse publique de FREE, il me semble qu'il faut paramétrer IPCop pour qu'il utilise la FREEBOX comme un simple modem ?
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar erreipnaej » 29 Déc 2005 23:39

Bonsoir,

Je ne vois pas l'intérêt de mettre la Freebox en mode routeur si IpCop est connecté directement dessus et seul avant les autres postes. Tu as peut être des raisons que je ne connait pas, peut être la carte Wifi?
C'est la seul différence entre nos deux installations.
C'est clair que les paquets doivent avoir du mal à trouver leur chemin: ils sont nattés sur la Freebox puis renatté sur IpCop.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar chris_fr7 » 29 Déc 2005 23:57

Demain matin, je vais simplifier le réseau pour voir si cela fonctionne dans cette configuration et t'indiquerai le résultat.

Je te remercie de ta collaboration. Bonne fin de soirée.

PS : la configuration actuelle est due à des questions pratiques (wi-fi...) et de sécurité (peut-être illusoire :wink: ?) de ne pas avoir IPCop en frontal. Dans le cadre d'un VPN cela complique peut-être les choses.
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar chris_fr7 » 30 Déc 2005 23:32

Bonsoir erreipnaej,

J'ai modifié la configuration du réseau en supprimant le mode routage de la FREEBOX. L'interface RED dispose maintenant de l'IP publique fixe fournie par FREE.

L'accès à l'interface d'IPCop s'effectue bien mais je n'arrive toujours pas à accéder au serveur du réseau local ! Le point positif est que le statut du client de la page OpenVPN affiche maintenant "Ouvert" alors qu'il était auparavant sur "Fermé ".

Concernant l'interface GREEN, j'ai activé le mode DHCP. Il est indiqué comme DNS Primaire l'adresse 192.9.10.101 (correspondant à l'IP de Green) mais je ne sais pas si cela est correcte ?

La table de routage apparaît maintenant comme ceci :

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.10.2 - 0.0.0.0 - 255.255.255.255 UH 0 0 0 tun0
83.XX.XX.0 - 0.0.0.0 - 255.255.255.0 U 0 0 0 eth1
192.9.10.0 - 0.0.0.0 - 255.255.255.0 U 0 0 0 eth0
10.0.10.0 - 10.0.10.2 - 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 - 83.XX.XX.254 - 0.0.0.0 UG 0 0 0 eth1

(j'ai modifié le réseau virtuel du VPN en 10.0.10.0 / l'adresse 83.XX correspond à l'IP publique de FREE / dans la page de configuration d'OpenVPN j'ai mis pour RED l'adresse publique de FREE)

Pourrais-tu me dire si ta table de routage ressemble à la mienne ?

Dans les logs du client j'ai en effet trouvé des erreurs
Code: Tout sélectionner
write UDPv4: No Route to Host (WSAEHOSTUNREACH) (code=10065)


Merci.
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar erreipnaej » 31 Déc 2005 12:13

Bonjour,

Voila ma table de routage sur IpCop (IP Green 192.168.150.1/255.255.255.240, Orange 10.0.0.1/255.255.255.240):
Code: Tout sélectionner
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.10.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.0.0        0.0.0.0         255.255.255.240 U     0      0        0 eth2
192.168.150.0   0.0.0.0         255.255.255.240 U     0      0        0 eth0
10.0.10.0       10.0.10.2       255.255.255.240 UG    0      0        0 tun0
82.X.Y.Z        0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         82.X.Y.Z   0.0.0.0         UG    0      0        0 eth1

tun0 est le VPN OpenVPN
eth0 est le green
eth1 est le red
eth2 est le orange.
Voila la table de routage sur le poste Windowsclient OpenVPN (IP LAN 192.168.100.7/255.255.255.0):
Code: Tout sélectionner
C:\WINDOWS\SYSTEM32>route print
===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0e a6 41 b5 f3 ...... 3Com Gigabit LOM (3C940) - Miniport d'ordonnancement de paquets
0x3 ...00 ff c2 d0 be 4f ...... TAP-Win32 Adapter V8 - Miniport d'ordonnancement de paquets
===========================================================================
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0  192.168.100.100   192.168.100.7       20
        10.0.10.1  255.255.255.255        10.0.10.9      10.0.10.10       1
        10.0.10.8  255.255.255.252       10.0.10.10      10.0.10.10       30
       10.0.10.10  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255       10.0.10.10      10.0.10.10       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.100.0    255.255.255.0    192.168.100.7   192.168.100.7       20
    192.168.100.7  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.100.255  255.255.255.255    192.168.100.7   192.168.100.7       20
    192.168.150.0  255.255.255.240        10.0.10.9      10.0.10.10       1
        224.0.0.0        240.0.0.0       10.0.10.10      10.0.10.10       30
        224.0.0.0        240.0.0.0    192.168.100.7   192.168.100.7       20
  255.255.255.255  255.255.255.255       10.0.10.10      10.0.10.10       1
  255.255.255.255  255.255.255.255    192.168.100.7   192.168.100.7       1
Passerelle par défaut :   192.168.100.100
===========================================================================
Itinéraires persistants :  Aucun
C:\WINDOWS\SYSTEM32>

J'ai un peu de mal à comprendre pourquoi j'ai autant de ligne sur ce poste!
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar chris_fr7 » 31 Déc 2005 13:50

Bonjour,

J'ai comparé les tables et j'ai noté deux différences.

Concernant la table de routage du serveur, la configuration est identique sauf au niveau de
Code: Tout sélectionner
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.150.0   0.0.0.0         255.255.255.240 U     0      0        0 eth0
10.0.10.0       10.0.10.2       255.255.255.240 UG    0      0        0 tun0

J'ai une IP GREEN différente et un masque de 255.255.255.0 pour les deux entrées. Cela paraît normal.

Concernant la table de routage du PC, j'ai une table pratiquement symétrique sauf que j'ai une ligne supplémentaire qui semble bizarre :
Code: Tout sélectionner
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
  255.255.255.255  255.255.255.255        10.0.10.6               2       1

Je ne sais pas si cela a un rapport avec le fait que je sois connecté en wi-fi sur mon poste client ? Je fais une recherche pour étudier la question.
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar chris_fr7 » 31 Déc 2005 16:18

La ligne
Code: Tout sélectionner
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
  255.255.255.255  255.255.255.255        10.0.10.6               2       1
correspond à une carte réseau Ethernet du PC. En la désactivant, la ligne a disparu de la table de routage. Je vais retester demain sinon je ne vois plus trop d'où le problème peut venir.
chris_fr7
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Déc 2005 19:32

Messagepar erreipnaej » 31 Déc 2005 17:03

Bonjour,

A distance, je ne peux pas désactiver le client sous peine de perdre la connection :D !
Je posterais lundi la table de routage aprés désactivation du VPN pour voir ce qu'il créé.
En attendant, bon reveillon et bonne année!
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar erreipnaej » 31 Déc 2005 19:51

Bonsoir,
En revérifiant la GUI d'OpenVPN, j'ai vu que je pouvais activer le VPN sur le Orange.
Ca donne cela comme table de routage.
Code: Tout sélectionner
C:\WINDOWS\SYSTEM32>route print
===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0e a6 41 b5 f3 ...... 3Com Gigabit LOM (3C940) - Miniport d'ordonnancement de paquets
0x3 ...00 ff c2 d0 be 4f ...... TAP-Win32 Adapter V8 - Miniport d'ordonnancement de paquets
===========================================================================
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
         0.0.0.0          0.0.0.0  192.168.100.100   192.168.100.7       20
       10.0.10.1  255.255.255.255        10.0.10.5       10.0.10.6       1
       10.0.10.4  255.255.255.252        10.0.10.6       10.0.10.6       30
       10.0.10.6  255.255.255.255        127.0.0.1       127.0.0.1       30
  10.255.255.255  255.255.255.255        10.0.10.6       10.0.10.6       30
       127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
   192.168.100.0    255.255.255.0    192.168.100.7   192.168.100.7       20
   192.168.100.7  255.255.255.255        127.0.0.1       127.0.0.1       20
192.168.100.255  255.255.255.255    192.168.100.7   192.168.100.7       20
   192.168.150.0  255.255.255.240        10.0.10.5       10.0.10.6       1
       224.0.0.0        240.0.0.0        10.0.10.6       10.0.10.6       30
       224.0.0.0        240.0.0.0    192.168.100.7   192.168.100.7       20
255.255.255.255  255.255.255.255        10.0.10.6       10.0.10.6       1
255.255.255.255  255.255.255.255    192.168.100.7   192.168.100.7       1
Passerelle par défaut :   192.168.100.100
===========================================================================
Itinéraires persistants :  Aucun

Je posterais lundi sans VPN pour montrer ce que rajoute le VPN sur le client.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron