Comment atteindre un serveur d'1 2ème LAN au travers d'1 VPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Comment atteindre un serveur d'1 2ème LAN au travers d'1 VPN

Messagepar El Chti » 22 Fév 2006 17:25

Bonjour,

Description de la configuration réseau Ici


Sur mon ipcop1:
ipsec.conf:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0

conn VPNSITEB
left=ippubliquewanadoo
compress=no
leftsubnet=192.28.1.0/255.255.255.0
leftnexthop=%defaultroute
right=%any
rightsubnet=192.28.8.0/255.255.255.0
rightnexthop=%defaultroute
auto=start

La VPN se monte bien.
192.28.8.0 312.lnfny151.Fo 255.255.255.0 UG 0 0 0 ipsec0

Seulement je n'arrive pas à:
- de l'ipcop1 à pinguer une adresse du LAN site A
- Donc du 1er LAN siteb encore moins à pinguer une adresse du site A

Il me manque donc une route, oui mais laquelle :?:

Je voudrais également faire à partir du site A, un telnet sur le serveur 168.1.0.1

De l'ipcop1, je pingue bien mon serveur en 168.1.0.1.

Merci d'avance pour l'aide que vous pourrez apporter à ce poste .
Dernière édition par El Chti le 01 Mars 2006 22:23, édité 2 fois au total.
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar Elfeclair » 22 Fév 2006 19:08

Je n'ai pas bien compris le schéma de ta configuration réseau, mais il semblerait que tes 2 réseaux verts soient dans la même plage d'adresses. Le VPN ne peut donc pas fonctionner. Les 2 réseaux verts doivent obligatoirement être des sous-réseaux différents.

Ton adressage (avec un netmask de 255.255.255.0) :
ipcop1 : vert: 192.28.1.56 Ipcop2: vert: 192.28.1.55

Un adressage qui marcherait :
ipcop1 : vert: 192.28.1.56 Ipcop2: vert: 192.28.2.55
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar El Chti » 22 Fév 2006 21:50

En effet, j'ai été un peu rapide dans le schéma mais le voici rectifié.

En fait mon Ipcop2 ne sert que de firewall sur la sortie internet Neuf Telecom, je ne fais donc pas de VPN .

Je ne pense pas que le même adressage sur les 2 ipcops soient un phénomène bloquant sur le tunnel VPN .

Le but de l'ipcop1 est bien d'atteindre le serveur qui est sur le 2ème LAN.
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar El Chti » 24 Fév 2006 10:48

Je me permets de relancer le post :up:
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar El Chti » 01 Mars 2006 22:31

J'ai résolu une parti de mon souci par ce schéma

En effet, en supprimant l'ipcop qui me servait que de firewall sur un autre accès internet maintenant je pingue du site A le lan du site B (et inversement) depuis n'importe quel poste du site A.

Seulement un problème persiste , l'accès au serveur 168.1.0.1 depuis le LAN du site A.

Par contre à partir du site B, j'arrive à pinguer ce serveur et à y accéder.
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar Elfeclair » 02 Mars 2006 01:35

Moi, toujours pas comprendre schéma ...

Où sont les IPCops . Quels sont ces adresses 192.28.1.55 & 168.1.0.249 ?
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar El Chti » 02 Mars 2006 09:05

Elfeclair, toi sans doute pas savoir qu'un Ipcop a une patte bleu qui est en 168.1.0.249 et une patte verte qui est en 192.28.1.55 .

Sinon si tu avais pris la peine de lire mes précédents messages, tu aurais vu qu'il n'y avait plus qu'un Ipcop .
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar Gandalf » 02 Mars 2006 12:00

A El Chti :arrow: Elfeclair essaye de vous aider, alors il vaut peut-être mieux rester courtois :roll: ( et ça pour tout le monde ) !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar jdh » 02 Mars 2006 12:22

Je découvre que la couleur des traits a une signification ! Je ne comprenais pas la superposition du switch relié à des traits verts avec le trait bleu : on comprend désormais pourquoi ce chevauchement ! Bref le schéma 1 et le schéma 2 aurait gagné à être plus clair.

Je n'ai jamais pratiqué IPCOP (et je n'ai pas l'intention de le faire). Cependant ICOP utilise des tunnels IPSEC que j'ai utilisé.

Ces tunnels IPSEC peuvent relier un PC à un réseau (mode "roadwarrior") ou un réseau à un réseau (mode "net-2-net"). Il est clair qu'il faut que dans les définitions ipsec, il y a bien les bons réseaux (le left et le right : même valeurs de chaque côté !). Il est vraisemblable qu'IPCOP dispose de règles iptables qui agissent aussi sur les liens ipsec (c'est à dire les interfaces ipsec0 ou ipsec1).

Point zéro : y a-t-il besoin d'un ou de deux tunnels ?

Premier point : bien vérifier les réglages de réseaux dans la config ipsec.
Deuxième point : consulter les logs en temps réels lors du lancement du (ou des) tunnel(s).
Troisième point : les 2 IPCOP arrivent-ils à se voir, à établir le contact ipsec, à s'accorder sur l'échange de clé, à les échanger, à s'accorder sur les réseaux, à établir le lien, ... (dans l'ordre).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar El Chti » 02 Mars 2006 12:45

Gandalf, je ne pense pas avoir manqué de courtoisie, j'ai juste répondu à une remarque qui me semblait être une attaque mais apparemment je me suis trompée .

jdh merci pour ton aide.

Mes chémas me paraissent claires et je ne vois pas 2 IPCOPS sur le schéma 2, je parle d'un routeur sur le site A et d'un Ipcop sur le site B.

La VPN est établie entre le routeur et l'ipcop ce qui répond au point 0, il n'y a qu'un tunnel,puisqu'il est impossible pour moi de monter un 2ème tunnel sur le routeur du site A.

Le tunnel est bien établie, je le répéte encore une fois à partir des postes du site A, je pingue bien les postes du site B et des postes du site B, je pingue bien les postes du site A en ce qui concerne le LAN en 172.28.0.0 .


Le seul poste que je n'arrive pas atteindre, c'est celui qui se trouve isolé, le serveur en 168.1.0.1 du site B à partir du site A. Par contre, du site B, j'accéde au serveur 168.1.0.1 sans problème.
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar jdh » 02 Mars 2006 13:13

Dans le premier post, on lit :

leftsubnet=192.28.1.0/255.255.255.0 (site B)
rightsubnet=192.28.8.0/255.255.255.0 (site A)

Donc le tunnel ne peut permettre de relier des PC avec une adresse 192.28.8.x (site A) vers un srv 192.1.0.1 (physiquement sur le site B mais pas logiquement au sens réseau).

AMHA,

- soit le left n'est pas le bon
- soit il faut 2 tunnels
- soit il faut arriver à faire une DNAT et créer une adresse "virtuelle" dans le left qui transférerait vers le srv.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Elfeclair » 02 Mars 2006 14:41

Ma réponse n'était pas une attaque, ça m'aurait servit à quoi ?

Tu poses plusieurs fois la même question, en fournissant la première fois un schéma incompréhensible, la seconde fois un schéma illisible et sans fournir d'explications claires.

Sinon, si tu avais pris la peine de lire les précédents messages, tu te serais rendu compte que je les avais lus et que tes explications n'était pas très claires.

Une info : la patte bleue d'un IPCop est prévue pour connecter un réseau Wifi, pas un serveur.

Et si tu veux que tes soucis se résolvent tout seuls, sans efforts, fait appel au services payants d'un professionnel.

Sans raucune et sans suite.
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar El Chti » 02 Mars 2006 16:24

Une patte bleue est bien pour le reseau bleu sauf si je veux en faire un 2ème réseau vert .

Allez sans rancunes et sans suite .

Ixus n'est plus ce qu'il était, il y a quelques années .

Allez Tchao .

Belugha ;)
El Chti
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Fév 2006 16:03

Messagepar jdh » 02 Mars 2006 16:27

Merci pour ceux qui essaient de répondre ......
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar phaby » 02 Mars 2006 16:33

jdh a écrit:Merci pour ceux qui essaient de répondre ......


et qui, de plus, donnent des reponses au probleme.

Je suis d'accord avec toi, le VPN est etabli entre les 2 greens, qui leur permet de 'communiquer', nulle part (dans le VPN) il n'est question de 192.1.0.1..... donc ce serveur reste inaccessible.

D'ailleurs est ce que 192.1.0.1 est accessible depuis un poste de 192.28.1.0/255.255.255.0 ?
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron