[FIXÉ] Vpn entre deux ipcop, pas de ping

[tuton]

Bonsoir,
J'essaie de configurer uin vpn entre deux sites, j'ai suivie le tutos fournis dans le Newbie kit ainsi que le lien en anglais.
J'utilise les fonctions natives d'ipcop.

site N°1
green 192.168.0.X
red est fixe

site N°2
green 192.168.2.X
red est dynamique. J'ai un nom de domaine qui pointe bien.


Dans la rubrique rpv des deux ipcop, il m'indique que le vpn est ouvert.
Le problème est que je n'arrive pas à pinger les machines de l'autre reseau.
Je n'arrive pas non plus à acceder à l'interface de gestion de l'ipcop distante par https://192.168.0.254:445.
Il y a quelque chose que je n'ai pas fait (ou mal fait)... Mais quoi?

Merci d'avance.

[Billou02]

Il y a quelque chose que je n'ai pas fait (ou mal fait)... Mais quoi?

Salut, changes le port d'administration d'ipcop. la majorité des FAI bloquent le port 445.
logues toi en console sur chacun de tes ipcop et lances :

Code: Tout sélectionner

setreservedports xxxx

Mets a la place des xxxx le numero de port voulu...
refaits des essais et on voit ca après

[tuton]

Merci mais en fait je peux y acceder par l'interface rouge (c'est provisoire le temps de régler tout ça), mais je n'y ai pas accés à travers le vpn.. Donc moi je suis sur 192.168.2.10 je n'arrive pas à joindre 192.168.0.254 qui se trouve de l'autre coté du vpn.
Voila

[Billou02]

on résume :
ton VPN est ouvert (vert)

que te donne un ping de l'ipcop gauche vers l'ipcop droit ? ou vice versa ?
n'as tu pas bloqué le ping sur l'interface rouge ?

[tuton]

voila en console...
sur ipcop 192.168.2.254:

root@bpcipcop:~ # ping 192.168.0.254
PING 192.168.0.254 (192.168.0.254): 56 data bytes
--- 192.168.0.254 ping statistics ---
15 packets transmitted, 0 packets received, 100% packet loss
root@bpcipcop:~ # exit
logout
Connection to 192.168.2.254 closed.
mehdi@pcmehdi:~$ ssh -p222 root@82.66.147.31
root@82.66.147.31's password:
Last login: Tue Oct 24 20:53:19 2006 from 185.189-200-80.adsl-dyn.isp.belgacom.be
root@Pipcop:~ # ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254): 56 data bytes
--- 192.168.2.254 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
root@Pipcop:~ # ping belgique.ellouz.eu
PING belgique.ellouz.eu (80.200.189.185): 56 data bytes
--- belgique.ellouz.eu ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Là je désactive le blocage du ping sur red

root@Pipcop:~ # ping belgique.ellouz.eu
PING belgique.ellouz.eu (80.200.189.185): 56 data bytes
64 bytes from 80.200.189.185: icmp_seq=0 ttl=52 time=75.913 ms
64 bytes from 80.200.189.185: icmp_seq=1 ttl=52 time=76.085 ms
--- belgique.ellouz.eu ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 75.913/75.999/76.085/0.086 ms
root@Pipcop:~ # ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254): 56 data bytes
--- 192.168.2.254 ping statistics ---
9 packets transmitted, 0 packets received, 100% packet loss
root@Pipcop:~ #

Mais pour moi le problème est surtout pour toutes les machines de l'autre reseau pas que ipcop.

Merci c'est sympa d'essayer de me comprendre Billou02

[m2nis]

voila en console...

Attention, si vous avez installé BOT (sans, je ne sais plus), le traffic entrant du vpn est autorisé , mais pas le sortant vers vpn. Or, dans un sens comme dans l'autre, vu qu'il s'agit de deux Ipcop, il y a alors un blocage.

[tuton]

Je ne sais pas ce que c'est BOT moi j'ai installé Qos Mais je ne l'utilise pas, c'est tout.

[tuton]

j'ai un truc bisarre... je post ici le résultat de la table de routage.

kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.200.189.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
80.200.189.1 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 ipsec1
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 80.200.189.1 255.255.255.0 UG 0 0 0 ipsec0
0.0.0.0 80.200.189.1 0.0.0.0 UG 0 0 0 ppp0

Pour le réseau distant (192.168.0.0), la gateway ne devrait pas être 192.168.2.254 ?

[Franck78]

Salut,


Je note quil y a un point pas très clair (même pour moi) quand on pingue à partir de l'IPCop. Le soucis vient de l'adresse source utilisée par IPCop dans le paquet ping. Il prend plutôt l'IP RED comme source et l'IP distante indiquée (encore heureux ) pour destination.

Le paquet s'en va bien bien par l'interface VPN (ipsec0) selon la table de routage. Mais évident à l'autre bout, c'est acceuilli séchement ce paquet: drop direct car il doit être considéré 'Martian' venant de cette interface.
J'ai pas été vérifier, c'est vrai. Mon 'test' est fait avec un DG834 dont l'admin est 'légère'...

Alors ta table de routage correspond presque à la mienne. Tu as un IPSEC1 ??? en plus. Vers du 10.x.x.x

Un bon outils pour voir ou ca part et ou ca arrive, c'est tcpdump

#tcpdump -t -n -i ipsec0
et pendant ce temps d'observation, tu envoies de l'ICMP (ping) sur un hote distant.


Pour résumer, depuis une machine 'green' le pingue vers l'hote distant (ip LAN du DG834): OK
Le même ping depuis IPCop: jamais de réponse (émission correcte).

[tuton]

Bonsoir Frank78,
j'avoue ne pas tout comprendre... En fait je crois que je me suis mal fait comprendre ou que je ne comprend vraiment rien au dernier post.

Si j'ai bien compris, je suis sur green1, j'envoi un paquet vers green2, ce paquet part vers ipsec0 mais avec une adresse source red1 ce qui fait que le paquet est rejeté à l'arrivé chez ipcop2 croyant qu'il vient du net?

Mon "seul" problème est que le vpn est afficher ouvert. Mais je n'arrive pas a joindre les machines qui sont de l'autre coté.
J'ai pris l'exemple du ping vers ipcop distant, pour l'exemple.

Sinon j'ai essayé d'utiliser tcpdump:

tcpdump sur ipcop1(192.168.2.254) et ping depuis green1->ipcop2(192.168.0.254) => aucun paquet intercepté
et coté ping:
From 192.168.2.100 icmp_seq=2 Destination Host Unreachable
From 192.168.2.100 icmp_seq=3 Destination Host Unreachable
From 192.168.2.100 icmp_seq=4 Destination Host Unreachable


tcpdump sur ipcop1(192.168.2.254) et ping depuis ipcop1->ipcop2(192.168.0.254)
=>
IP 80.200.189.185 > 192.168.0.254: icmp 64: echo request seq 2560
IP 80.200.189.185 > 192.168.0.254: icmp 64: echo request seq 2816
IP 80.200.189.185 > 192.168.0.254: icmp 64: echo request seq 3072
11 packets captured
11 packets received by filter
0 packets dropped by kernel

Et pour moi le ping ne marche jamais ni dans un sens ni dans l'autre entre green1 et green2

[Franck78]

Si j'ai bien compris, je suis sur green1, j'envoi un paquet vers green2, ce paquet part vers ipsec0 mais avec une adresse source red1 ce qui fait que le paquet est rejeté à l'arrivé chez ipcop2 croyant qu'il vient du net?

non ipcop vers green distant déconne. green à gren ok.

From 192.168.2.100 icmp_seq=2 Destination Host Unreachable
From 192.168.2.100 icmp_seq=3 Destination Host Unreachable
From 192.168.2.100 icmp_seq=4 Destination Host Unreachable

Ca, sa veut dire que déjà dans ton LAN tu as un problème d'adressage IP. Cherche l'erreur. Masque? Gateway?

[tuton]

Ok je croyait que c'était a peu près bon.
voila comment le réseau est organisé:

site N1
green 192.168.2.254
mask 255.255.255.0 => est-ce l'erreur peut être qu'il faudrait 255.255.0.0

site N2
green 192.168.0.254
mask 255.255.255.0 => est-ce l'erreur peut être qu'il faudrait 255.255.0.0

C'est ou le problème?

Je précise que le reseau à l'interieur d'un site fonctionne correctement. (samba + ping etc...)

[Franck78]

non, ca c'est bon. C'est plutôt dans la définition du vpn.
T'a pas joué avec left/right, ca sert à rien. L pour local, R pour remote.

[tuton]

je vais voir merci.

[tuton]

Bon ben j'ai tout reconfiguré, j'ai même ajouté le serveur dns d'ovh pour le nom de domaine dynamique sur l'ipcop avec ip fixe pour être bien sûre de la résolution du nom.
Ben j'ai toujours le même problème... J'ai mis left sur l'un et right sur l'autre. Puis j'ai inversé, puis j'ai mis left sur les deux et ça change rien.
Je sais pas trop où chercher dans les logs pour voir s'il n'y a pas un truc bisarre... j'ai essayé un ping de green2 vers green1 et voila ce qui apparait dans le log... Je ne sais pas si ça a quelque chose à voir, je comprend pas trop.

22:33:22 IN=ppp0 OUT= MAC= SRC=82.66.147.31 DST=217.136.113.209 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=40879 DF PROTO=TCP SPT=32771 DPT=54329 WINDOW=6560 RES=0x00 ACK RST URGP=0

SRC et DST correspondent aux IP red des deux ipcop.
merci encore pour votre aide...