Des éclairssiment pour le problème avec le VPN

[talangaï]

J'ai monté une maquette d'éssais qui se présente comme-suit:
IPCop1---------Le LAN--------------IPCop2

Le premier IPcop1 dispose de trois insterfaces et son adresse public sur le Lan est 10.0.9.253
Le IPCop2 dispose de deux interfaces seulement( Green, red) et son adresse sur le LAN est 10.0.9.252.

Pour la connexion à internet on dspose d'un routeur ADSL et sur mes deux IPCop, il est configuré comme étant la passerelle par défaut son adresse IP dans le local est 10.0.9.x

Après avoir suivi la procédure de configuration du VPN qui se trouve dans le KIT de notre forum( merci à celui qui l'a écrit) rien ne marche.

Au niveau de l'onglet RPVs j'ai comme état du VPN FERME des deux cotés.

Avec la commande ipsec look j'ai constaté que le IPCop2 pour atteindre le sous réseau Green de IPCop il utilise la passerelle d'accès internet soit le 10.0.9.X (bizarre!!!!!!!!!)

Merci pour votre aide

[gunsnroses]

Je dis peux être une $%#&! mais de mémoire des 2 ipcop ne doivent pas être sur le même réseau hors là les deux sont de type 10.0.9.x.

As tu essayer avec des réseau différent ?
Tu es en IP fixe ou dynamique ? Si dynamique, que répond le ping vers l'un de tes dyndns.

Sur quelle version d'Ipcop tournes-tu ?

[talangaï]

Salut !!!

Pour le moment je n'ai pas fait de mise à jour donc je travaille toujours avec le 1.4.10 mais cela ne veut pas dire que je vais rester avec celui-ci. J'ai commencé mon stage avec le 1.4.10 et je veux atteindre d'abord les objectifs.

Sinon que comme vous l'avez constaté mes deux IPCop sont dans le même sous réseau et ils ont des IP statique et normalement ça ne doit pas poser problème.

Est ce nécessaire d'ouvrir les ports 500 en UDP pour les flux ISAKMP et 50 pour ESP ???

[laboromz]

Sur la 1.4.11, malgré le fait que tu paramètres nickel ton VPN, il te faut ouvrir les ports UDP500 (et UDP4500 pour le NAT-Traversal) dans les accès externes d'IPCOP.

Je sais, ça paraît un peu bizarre mais en tout cas ça marche (http://laboromz.free.fr/modules/wfsection/article.php?articleid=33).

[shwing]

Sur la 1.4.11, malgré le fait que tu paramètres nickel ton VPN, il te faut ouvrir les ports UDP500 (et UDP4500 pour le NAT-Traversal) dans les accès externes d'IPCOP.

Je sais, ça paraît un peu bizarre mais en tout cas ça marche (http://laboromz.free.fr/modules/wfsection/article.php?articleid=33).

J'ai testé openvpn et le vpn par défaut d'ipcop, et jamais je n'ai eu besoin d'ouvrir de port pour établir de VPN.



@ talangaï
As-tu vu ce post ? http://forums.fr.ixus.net/viewtopic.php ... t=vpn+x509
je me suis basé sur celui-ci pour le faire. bon je l'avoue au début j'ai du le lire plusieurs fois...

[m2nis]

Sinon que comme vous l'avez constaté mes deux IPCop sont dans le même sous réseau et ils ont des IP statique et normalement ça ne doit pas poser problème.

A supposer que ce ne soit pas un problème pour l'établissement de la liaison vpn, ce qui n'est pas sûr, ça posera un problème immédiatement après. Comment chacun des Ipcop sera incapable de router quoique ce soit puisqu'il ne pourra pas savoir si une adresse ip 10.0.9.xxx fait partie de son réseau local ou du réseau distant. Donc c'est la première chose que je changerais.

Deuxième chose, vos routeurs sont en mode "routeur" et non "brigde", il y a donc du NAT (à moins de faire du vpn passthrough dans le routeur) et donc... pas de vpn. Ipcop doit avoir l'ip publique pour son interface red pour le vpn. Donc, au plus simple, mode pppoe pour ipcop et bridge pour les routeurs. Je ne sais pas comment tout cela est expliqué dans le kit, mais le problème des routeurs en mode routeur semble revenir fréquemment...

Est ce nécessaire d'ouvrir les ports 500 en UDP pour les flux ISAKMP et 50 pour ESP ???

Non, rien à ouvrir côté Ipcop.

[talangaï]

Salut les amis !!

Désolé ne vous avoir pas répondu hier j'ai du prendre un peu de récule histoire de changer l'air car hier c'était trop chaud avec le VPN.
Merci pour vos liens je vais m'y maitre.

Info: Hier avant de cloturer ma journée j'ai tenté un truc, sur le IPCop1 j'ai déclaré IPCop2 comme passerelle et sur le IPCop2 j'ai déclaré IPCop1. Rien a encore marché. En plus à force de configurer j'ai eu des problèmes d'autorité de certification

A tout à l'heure pour les résultats

[talangaï]

gunsnroses ""Je dis peux être une $%#&! mais de mémoire des 2 ipcop ne doivent pas être sur le même réseau hors là les deux sont de type 10.0.9.x.""


Tu n'avais peut être pas tord car en analysant les tables de routages de mes deux IPCop je viens de constater que le IPCop 2 utilise deux interfaces réseaux différentes pour atteindre le même réseau: l'interface virtuelle celle créer par le VPN et l'interface réel, physique, celle avec qui ipcop est relier au réseau local. D'où je pense nait la confusion.
l'autre IPCop n'a même pas réconnu le VPN

D'où je reviens pour poser la question quelle est la différence entre un VPN et une ligne spécialisée??

Je continue toujours de faire les tests je compte sur vous tous pour des idées

[talangaï]

Salut mes amis je reviens à la charege avec mon VPN. rien ne marche toujours.
J'ai fais des modifications sur ma maquette désormais les deux IPCop sont plus sur le même réseau. Au milieu des deux j'ai mis une machine Debian avec deux cartes réseau où j'ai activé le forwarding.
IPCop1 est resté dans le réseau local mais avec pour passerelle par défaut la machine Debian. IPCop 2 lui n'est plus dans le réseau local(disant) il est dérrière la machine debian lui aussi il a comme interface la machine débian auquel il est lié.

La machine debian lui je l'ai donné comme passerelle mon routeur adsl.
Routeur ADSL
+
+
IPCOP1+++++++++ DEBIAN ++++++++++++++++++IPCOP2

J'ai suivi tous vos conseils mais le problème demeure toujours le même message

N.B: A partir du réseau local de IPCop1 j'arrive à pingué l'interface rouge de IPCop2 mais un traceroute ne marche pas. Est ce pour dire que mon pare-feu filtre les paquets UDP???