VPN sur plusieurs sites distants

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN sur plusieurs sites distants

Messagepar aeroyo » 03 Fév 2006 11:56

Bonjour,

Voila je cherche à mettre en place un VPN pour 5 sites distants, et je ne sais pas comment faire sachant qu'il n'y a q'un Ipcop sur un des sites.

J'ai donc testé l'Add On pour Ipcop OpenVPN et j'ai donc réussi à faire connecter un des sites distants, mais j'ai rencontré plusieurs problemes :

- Impossible de faire fonctionner plusieurs VPN ensemble (c'est normal ?). A chaque connexion, la meme Ip est attribué à chacun des sites distants

- je ne vois pas comment paramétrer chacun des réseau afin qu'il fassent partie du meme reseau local

Exemple : site 1 avec IPCOP (et serveur OpenVPN) Green = 192.168.55.254
Red = Pas d'ip statique

Donc sur les postes de ce réseau, je suis partout en 192.168.55.x

Mais lors du paramétrage d'OpenVPN, il m'est impossible de mettre ce type d'adressage, il me dit qu'il est en confit avec le reseau Green...

Du coup impossible d'avoir le meme shéma réseau sur les sites distant (y'a moyen de changer ça ?)


Merci de me dire si j'ai fais le bon choix au niveau de la solution OpenVPN pour ce type de Shéma
aeroyo
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 21 Mars 2005 17:38

Messagepar loberty » 04 Fév 2006 00:08

Bonsoir,

Tu peux faire du VPN Net2Net ou RoadWarrior.

Pour le Net2Net cela veux dire que tu met des serveur VPN sur chaque site.
Pour cela tu peux utiliser le VPN de IPCOP, ou OpenVPN (attention, pas le addons de IPCOP appelé ZERINA mais un serveur OpenVPN à installer sur une autre station).

Pour le roadwarrior, chaque poste des sites va établir lui même sa propre connexion.
Perso, utilise le addon ZERINA (OpenVPN) sur IPCOP puis OpenVPN GUI sur les postes Windows (existe aussi pour Mac/OS), c'est très simple à mettre en place.
Par contre tu ne pourras pas metre les mêmes plages d'adresses.

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar aeroyo » 04 Fév 2006 16:55

Oki

Merci de ta réponse, la je suis deja sur Zerina, par contre je comprends pas j'arrive bien a faire fonctionner un site distant, mais lorsqu'un autre site essaye de ce connecter, il prends la même Ip que le précedent site

--> Bilan je ne peut faire connecter qu'un site à la fois sur le serveur VPN IPCOP (Zerina)

Une Idée ? faut t'il rajouter quelques choses dans le server.conf ?
aeroyo
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 21 Mars 2005 17:38

Messagepar c3dx4 » 05 Fév 2006 01:28

Bonjour,

Si j'ai bien compris, ton archi est du type :


VPN : Client 1 ------|
VPN : Client 2 ------|---IPCOP--------- LAN
VPN : Client 3-------|
...

@ IP LAN : 192.168.55.0/24


Donc à priori, pour résoudre ton problème d'appartenance au VPN, il suffirait que
les clients du LAN et que les "clients VPN" appartiennent à ce même VPN.

Pour résoudre le conflit d'@ IP GREEN/VPN, je pense qu'il suffirait
de donner un addresse IP différente à ton VPN, par exemple :
192.168.155.0/24 ou 10.55.55.0/24 ( pour clarifier ;).

Sinon pour ton problème de connexion unique simultanée, as-tu bien configuré des
@ IP différentes pour chaque client ?
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar aeroyo » 05 Fév 2006 13:45

Merci de ta réponse, effectivement c'est bien mon schema réseau

Oui donc si je comprends bien, il y a la possibilité de forcer dans la config client un ip, c'est ça ?

le fichier xxx.ovpn sur le poste client dans le répertoire config ?

c'est : ifconfig 192.168.150.10 255.255.255.0 (pour forcer une ipnon ?) (en partant du principe que le VPN SERVEUR soit paramétré en 192.168.150.0

Si j'ai une DMZ, pour que le client y est acces, je dois rajouter un : push "route IP DMZ et sous reseau" dans le fichier server.conf

Merci
aeroyo
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 21 Mars 2005 17:38

Messagepar c3dx4 » 06 Fév 2006 06:11

Bonjour,

Tout d'abord je te présente mes sources concenant OpenVPN (que je n'ai utilisé
qu'avec WinXP d'ailleurs...) : http://cox07.free.fr/tutoriaux.html
De là, j'en déduis que tu souhaite utiliser le mode serveur (et donc le chiffrement
asymétrique clé publique, clé privée).

Donc, pour répondre à ta 1ère question, oui on peut forcer un client
à prendre une IP spécifique, exemple :

#client1.ovpn
...
ifconfig 192.168.150.10 255.255.255.0
...

#client2.ovpn
...
ifconfig 192.168.150.11 255.255.255.0
...

#clientLAN.ovpn
...
ifconfig 192.168.150.100 255.255.255.0
...

Pour ta 2nde question, je t'avoues que je sèche un peu sur les fonctionnalités
et leur syntaxe... :? mais sur le principe je pense que c'est bien quelque chose
comme ça.
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar aeroyo » 06 Fév 2006 10:37

Eh bien ecoutes, moi lorsque sur mon fichier .ovpn (de mon poste client) je rajoute ce que tu viens de m'indiquer, je n'arrive pas à imposer une IP

Il me balance toujours : 192.168.150.6

Et du coup si je veux connecter en meme temps un autre client, je me retrouve avec une deconnexion du premier client VPN car la nouvelle adresse attribué est toujours 192.168.150.6

Une idée ?

En tout cas merci de tes réponses, ça me permet de continuer et d'essayer de mener à bien mon installation
aeroyo
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 21 Mars 2005 17:38

Messagepar loberty » 06 Fév 2006 20:08

Bonjour,

J'ai fait cela sur mon serveur.
J'attribue une adresse IP fixe selon le CommonName.

Il faut créer des fichiers de config pour chaque user.
Tu ajoute dans /var/ipcop/ovpn : client-config-dir /var/ipcop/ovpn/ccd
Tu créé dans /var/ipcop/ovpn un répertoire ccd
C'est dans ce répertoire ccd que tu va créer les fichiers de config des users
Chaque fichier doit avoir comme nom celui du CommonName.
Dans les fichiers tu créé par exemple :
    ifconfig-push 10.1.1.14 10.1.1.13
    iroute 10.0.0.0 255.255.255.0

Avec "ifconfig-push 10.1.1.14 10.1.1.13" tu spécifies l'adresse du client (10.1.1.14) et l'adresse du serveur pour le client (10.1.1.13). Tu ne peux pas mettre n'importe quoi.

Va voir sur le site de OPENVPN, les plages sont fournies (http://openvpn.net/howto.html#policy).

Côté client rien n'a faire de particulier.

J'espère que cela t'aidera

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar aeroyo » 10 Fév 2006 14:59

merci beaucoup, je vais tester tout ça

++
aeroyo
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 21 Mars 2005 17:38


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité