VPN avec 2 IPCOP coté siege

[fsexp]

Bonjour,
Je souhaite configurer un VPN en pre-shared key entre le siege de mon entreprise et une agence.

Voici l'architecture:

LANSiege--IPCOP2--IPCOP1--RouteurSDSL------INTERNET-----ModemADSL IPfixe--Zyxell Zywall--LanAgence


Je configure une règle sur IPCOP1 comme suit:

# more /etc/ipsec.conf
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug="none"
plutoload=%search
plutostart=%search
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:
!192.168.0.0/255.255.255.0,%v4:!192.168.100.0/255.255.255.0,%v4:!192.168.1.0/255
.255.255.0

conn %default
keyingtries=0
disablearrivalcheck=no

conn VPNConSiegeAgence
left=
leftnexthop=%defaultroute
leftsubnet=172.16.0.0/255.255.0.0
right=@IPfixeAgence
rightsubnet=192.168.1.0/255.255.255.0
rightnexthop=%defaultroute
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp102
4,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=hold
pfs=yes
authby=secret
auto=start


Le pb est que leftsubnet est le sous réseau de mon lan et que celui ci n'est pas directement connecté à IPCOP1.

Que dois-je mettre dans leftsubnet ?
le sous-réseau Vert de l'IPCOP1 ou de l'IPCOP2 ?

[phhil]

je ne vois pas bien à quoi sert tes 2 Ipcop ??? y a quoi au milieu?

[fsexp]

J'ai besoin de 2 DMZ

[phhil]

je ne vois pas l'interet d'avoir 2 DMZ au meme endroits sachant que tu peux connecter un paquet de pc sur 1 seul mais bon
pour ton pb, j'ai l'impression que tu vas avoir qq pb car il faut une IP public de chaque coté d'un tunnel. hors les IP privé, genre de celles utilisées par le red de ton IpCop 2 vont poser pb car bloquée par internet.
je pense que tu pourras créer ton vpn à partir de ton ipcop 1 mais tu vas au devant de drole de galère sur ipcop 2