URGENT SCRIPT

[testeur290306]

bonjour

AUTORISATION D'ACCES A UN SERVICE INTERNE DEPUIS UNE IP DYNAMIQUE

le script à pour but d'autoriser une ip mais celle-ci est dynamique.donc on la récupère via un script.
j'ai installé 3 ipcop 1.4.10 pour mettre en place un vpn 3 sites
tout est ok
je veux autoriser que mes lans distant a se connecter sur un serveur interne mais j'ai des ip dynamiques
donc j'ai utiliser le script de Juliette MICHAUX dyndns récupéré sur ixus.net
voir ce lien si l'explication n'est pas très clair
http://www.fr.ixus.net/modules.php?name=Content&pa=showpage&pid=107
le ns lookup marche bien
le script se lance j'ai une trace dans les logs
mais pas de mise à jour des ip des réseaux sources.
si vous pouviez m'aider
ou si vous avez une autre solution pour réaliser ces accès

si quelqu'un à un script, une piste de script pour que ça tourne sous 1.4.10

MERCI d'AVANCE de votre aide
C'EST SUPER URGENT

[m2nis]

j'ai installé 3 ipcop 1.4.10 pour mettre en place un vpn 3 sites
tout est ok
je veux autoriser que mes lans distant a se connecter sur un serveur interne mais j'ai des ip dynamiques

Je ne suis pas sûr de bien comprendre votre question ou plutôt votre configuration... Mais si, comme je crois le percevoir, vos lans distants sont deux des Ipcop et que votre lan local est le troisième Ipcop, alors ce sont les flux du vpn qu'il faut gérer (et donc les ip privées). L'ip dynamique n'est un "problème" que pour l'établissement du vpn. Mais je me trompe peut-être...

[popoch]

En gros :

tu as 4 sous reseaux a relier. Un site principal et 3 distants, c est bien ca ? A moins que ce soit 2 distants et un principal...

Bref, tu veux mettre en place du vpn pour que tes sous reseaux distants puisse contacter un serveur sur le sous reseau du lan de ton site principal.

Il te faut donc monter sur ton site principal 2 (ou 3 suivant le nombre de site distant) tunnels vpn pointant vers tes sites distants. Et 1 vpn sur chacun de tes sites distants pointant vers ton site principal.

Maintenant, pour moi le pb est le suivant : tu as des ips dynmaiques sur tes interfaces internet... Ca pose donc des pbs pour remonter les tunnels en cas de changement d ip d un des routeurs...

Dans un premier tps, utilise des noms dyndns pour les vpns
Puis mets en place toi mm des coupures (stop / restart) de l interface red (de nuit par ex) pour eviter des decos pendant la journee.
Et pour finir, utilise un script de reco automatique en cas de changement d ip pendant la journee :
http://forums.fr.ixus.net/viewtopic.php ... c&start=15

ici tu as un exemple de script que j ai utilise. A installer sur chacune de tes passerelles...



Avec tout ca tu devrais t en sortir et je pense que cette solution repond a tes pbs...

[testeur290306]

merci d'avoir répondu

oui mes trois lans sont équipés d'un ipcop
le vpn fonctionne entre les 3 sites
pour simplifier j'ai 3 ipcop (A,B,C)
- A est le "principal" derrière se trouve le serveur interne que je veux atteindre, connection vpn entre A et B, connection vpn entre A etC
- B est le second, connection vpn entre A et B
- C est le troisième, connection vpn entre B et A


mais je voudrais que seuls les lans distants (B,C) puissent se connecter sur un port d'un serveur interne qui se trouve derrière un de mes ipcops(A), pas q'un poste autre (un employé depuis chez lui par exemple) puissse accéder au service sur le port autoriser.
donc si je veux le faire il faut que j'autorise dans le transfert de ports d'ipcop, les flux provenant de mes deux autres ipcops.donc ça revient à autoriser les flux sur le port que je veux provenant de ces sources.
avec des ip fixes publiques, pas de problème
mais je possède des ips dynamiques et je me sers des noms dyndns.
ce lien explique la manipulation avec le ftp
http://www.fr.ixus.net/modules.php?name=Content&pa=showpage&pid=107

j'aimerais la même chose
mais les ip bidons décrit dans ce lien, ne se mette pas à jour dans mon cas

merci d'avance pour l'aide

[m2nis]

mais je voudrais que seuls les lans distants (B,C) puissent se connecter sur un port d'un serveur interne qui se trouve derrière un de mes ipcops(A)

Parfait. Il suffit donc de le faire via le vpn. Lorsqu'un lien vpn est établi entre deux réseaux, ces deux réseaux deviennent des "réseaux locaux". Par exemple, si j'ai ceci:

Client pour Serveur Interne (CSI)
192.168.10.254
|
192.168.10.1
Ipcop B
ip publique dynamique
|
Internet--------ip publique-machine employé (ME)
|
ip publique fixe
Ipcop A
192.168.0.1
|
192.168.0.254
Serveur Interne (SI)

et qu'un vpn existe entre Ipcop A et Ipcop B (il doit être "ouvert" dans la section "rpv" d'Ipcop), alors le CSI doit pouvoir accéder au SI par son adresse IP privée (192.168.0.254) sans restriction et ce sans que ME ne puisse rien faire puisse que l'accès ne se fait pas par "internet" mais par le vpn. Vu autrement, 192.168.10.254 doit pouvoir faire un ping sur 192.168.0.254 si les passerelles et les fichiers hosts sont correctement renseignés.

donc si je veux le faire il faut que j'autorise dans le transfert de ports d'ipcop

Non. Votre serveur doit être accessible depuis le vpn, pas depuis internet. Donc pas de transfert de port.

[testeur290306]

merci de la réponse détaillée

j'ai essayer, mais sans transferts de ports impossible
j'ai pas accès, même en mettant comme passerelle l'ip de l'ipcop
quand j'ai l'ipcop(qui toi est le B dans ton schéma) en passerelle je ping bien mes machines de l'autre réseau( qui serait sur ton schéma 192.168.0.1 et 192.168.0.254)


de plus le fait de mettre en passerelle un ipcop me pose un problème
j'ai des proxy avant et je veux pax les contourner
et je peux pas changer mes tables de routage en spécifiant que lorsque la destination est mon autre serveur car les destinations seraient des ip publiques qui changent.
donc ça reviendrait à mettre 0.0.0.0 en destination donc internet et tous le postes auraient l'ipcop comme passerelle.
si tu as une autre idée hésite pas.je suis dessus depuis un moment et j'ai toujours pas de solution

merci de ton aide

[m2nis]

j'ai essayer, mais sans transferts de ports impossible

Parce que vous attaquez les ip publiques. Votre vpn est-il établi? Dans "rpv / Contrôle et statut de la connexion", avez-vous bien des connexions ouvertes? Si ce n'est pas le cas, alors vous n'avez pas de vpn.

et je peux pas changer mes tables de routage en spécifiant que lorsque la destination est mon autre serveur car les destinations seraient des ip publiques qui changent.

Non. Avec un vpn, ce sont des ip privées qui ne changent pas.

[testeur290306]

oui mes connexions vpn sont bien ouvertes de chaque côté de mes ipcops et pas de changement
je suis obligé de spécifié mes ip publiques pour autoriser quelquechose
elles sont dynamiques donc j'attaque des noms dyndns
j'ai essayer de mettre dans le transfert de ports mes réseaux distants (du type 192.168.0.0)
au lieu de mettre un ip publique mais toujours le problème.

[m2nis]

oui mes connexions vpn sont bien ouvertes de chaque côté de mes ipcops et pas de changement
je suis obligé de spécifié mes ip publiques pour autoriser quelquechose

Puisque votre vpn est bien monté, oubliez vos ip publiques. Elles ne doivent servir que pour une seule chose: l'établissement du vpn. Puisque celui-ci est établi, vous n'avez plus qu'à gérer des ip privées. J'insiste: oubliez les transferts de ports: ils ne servent qu'à donner accès à des machines depuis... internet, pas depuis le vpn.

Si vous n'arrivez pas à faire un ping entre vos machines des différents réseaux par leur adresse privée, c'est qu'il y a un autre problème. Le vpn est monté entre quelles zones? green A et green B, blue A et green B, blue A et blue B, ... Les machines sont-elles bien dans la bonne zone (ex: machine sur blue mais vpn ouvert sur green)? Que vous donne le journal du pare-feu (une vrai mine d'or, celui-là! )?

Allez! Courage! Une fois que ça fonctionne, ce n'est que du bonheur!

[testeur290306]

quand mes machines des lans ont pour passerelle l'ipcop j'arrive bien à pinger mes machines des lans distants à travers le vpn.tout à fait normal.
mais même si j'arrive à pinger mon service ne passe pas.
bizarrement quand j'active le transferts de ports en autorisant le service, ça fonctionne.
alors que tu ma dis que le transfert de ports c'est pour les machines qui se connecte depuis internet.
je sais pas quoi faire
merci de ton aide
c'est énervant, depuis plus d'une semaine je suis deçu sans trouver la solution.
merci de ton aide
une autre idée?

[m2nis]

quand mes machines des lans ont pour passerelle l'ipcop j'arrive bien à pinger mes machines des lans distants à travers le vpn.tout à fait normal.

Si le ping passe, alors tout passe. Enfin, c'est une image...

mais même si j'arrive à pinger mon service ne passe pas.

Y a-t-il la moindre trace dans le journal du firewall sur chacun des Ipcop? S'il n'y a rien, c'est peut-être du côté du "serveur interne" qu'il faut chercher. Les informations fournies sont un peu justes. Le "serveur interne" ne bloque-t-il pas certaines ip et donc les ip privées sont-elles déclarées? Les machines ont-elles le même domaine, le même groupe de travail (si Windows), etc etc etc...

bizarrement quand j'active le transferts de ports en autorisant le service, ça fonctionne.

Ca laisserait plutôt penser que le "serveur interne" n'autorise les connections qu'en provenance de certaines ip et que les ip privées n'en font pas partie de celles déclarées... Mais encore une fois, pour des raisons que je veux bien comprendre, les informations fournies ne sont pas très complètes et rendent le diagnostic plus difficile, surtout vu de l'extérieur et pour... un novice comme moi. Mais avec un peu de bonne volonté...

[testeur290306]

j'ai rien d'alarmant ou de bizarre dans les logs
je pense pas au serveur interne
c'est le fait d'ajouter "une règle" sur l'ipcop qui me bloque
celle pour autoriser les connexions sur un port donné via un script
je pense qu'il faut que je cherche de ce côté. le script autorise des noms de domaines dyndns au lieu des ip publiques fixes.
il récupère le nom de domaine passé en commentaire, optient son ip et la met à jour

merci pour toute tes idées
si ta en a d'autres hésite pas
MERCI