VPN Réseau a Réseau

[Nettus76]

Donc voila la configuration des deux Ipcop.

------------------------------------------------------------------------------------------------------------------

1er IPCOP:

Paramètres généraux:

Host: nettus76.no-ip.info
PLUTO DEBUG: Tout es activé !

Connexion:

Host: evangelion-01.no-ip.info
Côté: Left
Sous réseau local: 10.0.0.0/255.0.0.0
Sous réseau distant: 192.168.0.0/255.255.255.0
Action quand le 'pair' disparait: hold
Perfect Forward Secrecy (PFS): Oui
Activé: Cocher

Avancé: rien n'est activer pour la compression tout par défaut, je n'ai rien toucher.

------------------------------------------------------------------------------------------------------------------

2ème IPCOP:

Paramètres généraux:

Host: evangelion-01.no-ip.info
PLUTO DEBUG: Tout es activé !

Connexion:

Host: nettus76.no-ip.info
Côté: Right
Sous réseau local: 192.168.0.0/255.255.255.0
Sous réseau distant: 10.0.0.0/255.0.0.0
Action quand le 'pair' disparait: hold
Perfect Forward Secrecy (PFS): Oui
Activé: Cocher

Avancé: rien n'est activer pour la compression tout par défaut, je n'ai rien toucher.

DHCP:
Juste ajouté Wins Primaire: 10.0.0.2 car dans le réseau ou il y a Ipcop 1 il y a un serveur Wins, DNS, Contrôleur domaine...


------------------------------------------------------------------------------------------------------------------

Réseau 1: Contrôleur de domaine sous Maison
Réseau 2: Groupe de travail sous Nerv

Wins sur le serveur du réseau 1: Il voit bien les ordinateurs distant et le groupe de travail.

Sur les deux ipcop accès externe j'ai juste mis 445 pour pouvoir avoir contôle des deux Ipcop a distance.

Pas d'autre accès externe ni de transfère de port.

Donc j'arrive a pinger les odinateurs distants dans les deux sens mais je n'arrive pas a voir dans favoris réseau les pcs ou même en tappant dans exécuter "\\192.0.0.2" qui est un ordinateur distant me dit que le réseau est introuvable voir aussi les net send qui ne marche pas donc que faut t'il que je fasse pour que tout cela marche SVP ?

Merci d'avance, même après une recherche de 1semaine sur le net tjrs rien ! Donc j'espère que vous pourrais m'aider s'il vous plait.

[jdh]

Les serveurs Windows qui ne voient pas les ressources dans un autre réseau (celui de l'autre bout du vpn), y en a marre.

Lisez donc le forum, on n'arrete pas d'en parler : WINS !!!!

Dans le cas indiqué, le tunnel semble très incorrectement monté. Le premier outil à utiliser c'est "ping" (et pas l'ip de l'ipcop côté vpn). Ensuite les ressources devraient être vus SOUS réserves que les PC cible aient bien une route correcte pour revenir du vpn.

1er point à vérifier : peut-on pinguer dans un sens et dans l'autre ?
2me point : \\(adr ip) fonctionne-t-il ?
3me point : WINS est il activé ?

Au boulot ....


Bon je relis un peu le post : tu as déjà répondu pour les ping DANS les 2 sens. Il doit y avoir un filtrage dans le vpn : les ports nécessaires à Netbois doivent être autorisés (135,137-139, 445, tcp et/ou udp).

[Nettus76]

LoL ne t'énerve pas; j'ai fais le forum entièrement mais je ne trouve pas une réponse exacte pour mon problème.

Sinon pinger ouai je y arrive...
\\Adresse Ip non sa ne marche pas je l'avais bien marquer pourtant dans le premier msg
et j'ai bien dit aussi que le wins marchais !

Sinon je vais essayer de test pour autorisés les port netbios

[jdh]

Oui avec une lecture rapide je croyais Wins incorrect et c'est vraiment lassant (énervant ?) de voir toujours les mêmes questions.

As tu essayé un nmap dans un sens et dans l'autre pour voir ce qui passe ?

A noter qu'IPSEC (FreeSWan) est chatouilleux concernant les ip internes de chaque IPCOP. Il faut donc mettre une machine supplémentaire pour faire ce genre de test, un live Cd peut faire l'affaire.

Question bete : l'IPCOp est bien la passerelle par défaut des PC de chaque côté ? Je le présume !

[Nettus76]

Adresse des serveur IPCop:

Ipcop1 : 10.0.0.1

Ben pour le réseau 10.0.0.X la passerelle est 10.0.0.1

Ipcop2: 192.168.0.1

Ben pour le réseau 192.168.0.X la passerelle est 192.168.0.1

----------------------------------------------------------------------------

Sinon Nmap pas test mais je télécharge le log et je test

----------------------------------------------------------------------------

Sinon pour les port que tu m'as dit faut bien les ouvir sur IPSEP ? Dans le fichier rc.firewall c'est a dire rajouter c'est ligne là ?


iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j DROP
iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j DROP
iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j DROP
iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j DROP
iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j DROP
iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j DROP
iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j DROP

[jdh]

Il vaudrait mieux éviter "-j DROP" !!! Bien sur, c'est "-j ACCEPT" (des ... 2 côtés).

[Franck78]

1°)Il n'y a rien a bricoler au niveau IPTABLE
2) N'active pas les debug pour commencer. Surtout pas le ALL, tu seras innondé.
3) N'utiilse pas RIGTH
4) Tout est faux

Les reseaux (remote subnet) doivent être différends. Question de routage.

ipsec auto --status doit te donner une ligne qui décrit le chemin:

10.0.0.0/16===10..0.0.100....10.0.0.25===10.1.0.0/16

Qui se comprend comme suit
Deux sous réseaux (10.0.0.0/16 et 10.1.0.0/16) mis en relation par le VPN entre les deux interfaces (10.0.0.100 et 10.0.0.25)

Ou encore par internet
10.0.0.0/16===86.72.26.172---1.1.1.1...1.1.1.1---86.67.41.186===10.1.0.0/16

deux subnets qui passent par les interfaces rouges (86.x.X.x) et dont la getaway est 1.1.1.1

1.1.1.1 est la dernière aberration cegetel. C'est normalement l'adresse de la gateway du point de vue RED.

Donc sur chaque IPCop, en LEFT(LOCAL) c'est lui même. En RIGTH (REMOTE) c'est l'autre.

Marche bien l'afficheur ?

[Nettus76]

Donc je peut bien garder

Réseau 1: 10.0.0.X

Réseau 2: 192.168.0.X

Et les deux en LEFT

Sinon l'afficheur il est super j'ai modifier quelque configuration dans le fichier lcd.conf car les derniers post sur ixus ne marchais plus donc j'ai retirer, après le bouton pour arrêter la machine je l'ai modifier pour qu'il sert à redémarer la machine

[stado65]

Sinon afficheut trop bien j'ai modifier quelque truk car les dernière post sur ixus marchais plus donc j'ai retirer, après le bouton pour arrêter je l'ai modifier pour qu'il sert a redémarer la machine

Et en français, ça donne quoi ?...

[jdh]

Ouf Franck78 spécialiste IPCOP arrive.

Je pense bien que par défaut il n'y a pas de règles Iptables pour les tunnels (même si on peut en rajouter).

De mémoire IPSEC a une implantation bizarre parce que on écrit le même LEFT et le même RIGHT des 2 côtés alors que l'on aurait tendance à inverser d'un côté ou l'autre. En plus avec l'IPCOP il y a une interface Web pour faire la conf.

[Nettus76]

Ipcop 1: 10.0.0.1
Réseau 1: 10.0.0.X
Côté: LEFT

-------------------------------

Ipcop 2: 192.168.0.1
Réseau 2: 192.168.0.X
Côté: LEFT

-------------------------------

J'ai remis par par defaut rc.firwall donc les iptables sur les deux ipcop.

-------------------------------

J'ai tous décocher dans PLUTO DEBUG sur les deux deux IPCop

-------------------------------

Tjrs ping et rien d'autre

[Franck78]

Et tu as biensur utilisé l'adresse ip publique (ou le nom dyndns)
pour le champ
Nom d'hôte ou IP locale du RPV: "MON IP RED"

ainsi que dans le champ désigant le remote
Serveur IP distant: "IP RED DE l'AUTRE"

Place le DPD sur "RESTART" sur l'un ou les deux sinon ca demarera jamais.

[Franck78]

De mémoire IPSEC a une implantation bizarre parce que on écrit le même LEFT et le même RIGHT des 2 côtés alors que l'on aurait tendance à inverser d'un côté ou l'autre.

Je crois bien que ca va gicler un jour ce choix left/right. Inutile et 'confuseur'?

@Nettus76, c'est la couleur VERTE a la place de ROUGE dans le GUI qui indique que le vpn est établit. Pas un ping.

[Nettus76]

Ouai ouai tkt pas c'est établie depuis le début couleur VERT... mais voila j'aimerais bien voir dans favoris réseau mes pc distants...

[jdh]

Je garderais IPSEC pour les cas difficiles et hétérogènes mais franchement OpenVpn (ou Zerina dans le monde IPCOP si j'ai bien suivi) c'est quand même bien plus simple ...