initilisation d'un canal VPN à distance (SSH)

par **phhil** » 01 Jan 2006 18:01

Bonjour à tous

Je souhaiterais initialiser un canal VPN entre 2 IpCop 1.3 via SSH.
J'ai installé dernièrement un IpCop sans activer les VPN à l'aide de la page Web (oui je sais erreur !!).
Aujourd'hui j'aurais besoin de créer un canal VPN entre cet IpCop et un autre: le Hic c'est qu'il est à l'autre bout de la france et que je n'aurais pas l'occasion d'y aller avant des lustres!
j'ai au moyen de SSH (WinScp) configuré le canal mais impossible de le lancer au moyen de la commande ipsec (ipsec auto --add nomvpn).
qq'un sait-il comment faire ?
merci

par **abouvier** » 01 Jan 2006 18:51

au mieux autorises toi un acces sur le port 445, du coup tu benificieras de l acces web

par **erreipnaej** » 01 Jan 2006 19:00

Bonjour,

Il faudrait que tu puisses te faire donner l'accés à la GUI d'IpCop sur la machine distante (Parefeu > Accés externes), si ce n'est pas déja fait. Il faut aussi que tu récupéres l'IP si elle est flottante.
Ensuite tu pourras administrer à distance cette machine et te donner accés au ssh ainsi que changer tout ce que tu veux dessus.
@+

par **phhil** » 02 Jan 2006 14:54

Bonjour,

Ok, j'ai un access SSH sur la machine distante avec une adresse dynamique et tout et tout. Ce que j'aimerais savoir c'est comment démarrer Ipsec au travers de la console SSH. car là tout de suite je n'y suis pas arrivé.

par **byzorg** » 03 Jan 2006 22:25

salut,

si tu as l adresse dynamique tu peux alors te connecter a l'interface web non ?
ou au moins te donner l acces ?

par **erreipnaej** » 03 Jan 2006 22:55

Bonsoir,
Je me suis fait la même réflexion que byzorg.
Si tu as l'accés à distance, tu peux créer et parametrer ton VPN sur l'interface web (page RPV si tu est en français).
Je ne vois pas l'intérêt de le faire en ligne de commande, mais j'ai peut être raté quelquechose.
@+

par **yarglaheu** » 04 Jan 2006 01:11

Bonsoir

Je pense que phhil a laissé seulement l'acces externe sur le port 222 pour le SSH, donc pas d'acces à l'interface graphique.

par **erreipnaej** » 04 Jan 2006 07:47

Bonjour,
Si comme le dit Yarglaheu, Phhil n'a qu'un accés ssh, il peut par cet accés changer les réglages des accés externes dans /var/ipcop/xtaccess/config.
il faut rajouter une ligne:

Code: Tout sélectionner: tcp,0.0.0.0/0,445,on,0.0.0.0,AccÃ¨s IpCop

Si le port 445 est bloqué par son FAI, il faut qu'il change ce port, sur cette ligne et comme expliqué dans le newbie kit.
Ensuite il aura l'accés web pour installer son VPN.
Libre à lui de désactiver l'accés web par la suite.
@+

par **phhil** » 04 Jan 2006 10:02

Bonjour,

Effectivement je n'ai accès qu'a SSH et non à la page WEB d'IpCop qui se trouve sur le Green ! Quand à la manipe sur le port 445 je doute que cela fonctionne attendu que l'interface Web d'IpCop à pour IP 192.168.10.1 et que ce type d'adresse n'est pas routable sur internet. c'est pour cette raison que je voulais lancer mon ipsec à la main au travers d'une connexion SSH pour avoir accès à cette fameuse page Web.
Je vais essayer de trouver une réponse aujourd'hui, j'ai un peu de temps.

par **yarglaheu** » 04 Jan 2006 16:10

Salut

Bon, je suis dans le même cas : seul le port 222 est ouvert sur mon IpCop et pourtant ... j'ai un accès au page de l'interface graphique !!!
Comment ?
Via un tunnel SSH
Dans la config de putty, menu Connection\SSH\Tunnels tu ajout un transfert de port : Local 443 vers adresse IP Green d'IpCop port 445 (si 445 est ton port d'écoute)
Puis tu lance ton navigateur https://127.0.0.1 (pas de numéro de port car par défaut httpS c'est 443)

par **phhil** » 06 Jan 2006 09:51

Je n'ai pas réussi à établir de tunnel SSH yarglaheu. après vérification des log du distant j'ai bien vu qu'il y avait une tentative de connection sur le port 445 mais IpCop m'en a refusé l'accès!

Mais bon j'ai quand meme résolu mon problème et je vous le donne en mille: j'ai oublié de rebooter !!!! si si c'est possible

donc après avoir rebooté mon IpCop distant, ça marche impect. le canal est ouvert et fonctionne correctement.

Donc pour résumer on peut dire que si on possède un accès en SSH sur un IpCop donc on connait l'IP (au moyen de Dyndns par example) on peut construire un canal VPN en initialisant correctement les fichiers contenu dans /var/ipcop/vpn
dans le fichier /var/ipcop/vpn/settings:
VPN_IP=10.0.0.10
ENABLED=on
VALID=yes

dans le fichier /var/ipcop/vpn/config (ne pas oublié de renseigner ce fichier car les données de la page Web d'IpCop sont initialisés avec !!):
nomvpn,ipcop-gauche.homeip.net,%defaultroute,192.168.10.0/24,ipcopdroite.homeip.net,%defaultroute,192.168.50.0/24,sharedkey,on,off

dans le fichier /var/ipcop/vpn/ipsec.conf:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
overridemtu=1492

conn %default
keyingtries=0

conn nomvpn
left=ipcop-gauche.homeip.net
compress=no
leftsubnet=192.168.10.0/24
leftnexthop=%defaultroute
right=ipcop-droite.homeip.net
rightsubnet=192.168.50.0/24
rightnexthop=%defaultroute
auto=start

et en enfin dans /var/ipcop/vpn/ipsec.secrets
ipcop-gauche.homeip.net ipcop-droite.homeip.net : PSK "sharedkey"

et surtout ne pas oublier de rebooter l'ipcop pour prendre en compte les nouveaux paramètres!

voila j'espère que mes déboire serviront à certain et merci à tous

initilisation d'un canal VPN à distance (SSH)

initilisation d'un canal VPN à distance (SSH)

Qui est en ligne ?