Mise en place d'un VPN avec routeur = PROBLEME

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Mise en place d'un VPN avec routeur = PROBLEME

Messagepar odimenokyo » 31 Oct 2006 00:05

Bonsoir à tous,

après moulte galères et aucunes solutions fiables je me décide à faire ma demande.

OBJECTIF : créer un VPN avec des routeurs intercalés dans l'infra en IP dynamique avec NO-IP

Schema :

green1(192.168.10..)--->IPCOP1(192.168.30..+IP public deviné)--->modem/routeur Sagem Fast 3302 (neufBox)--->INTERNET (coté LEFT)

(coté RIGHT) INTERNET<---modem cable scientific atlanta epx2203 (NOOS)<---Routeur Netgear rp614v2<---IPCOP2(192.168.0..+IP public deviné)<---green2(192.168.1..)


1) Je préviens que je me suis basé sur le "Newbie Kit IpCop" pour la mise en place
2) coté LEFT sur l'interface RED bonne récupération de l'IP Public.
3) coté RIGHT nous avons du configurer IPCOP2 en DMZ dans le routeur NETGEAR.
4) coté RIGHT l'interface RED reste étrangement INACTIF malgré qu'internet est UP sur le green2 et qu'apparament tout fonctionne correctement au niveau des connexions et des qq ports forwardés.
5) Bien entendu et forcément il y a de la NAT en place.

Des 2 cotés le VPN reste Fermé quoi qu'on fasse

J'ai lu pas mal de post disant que ce n'était pas possible de faire du VPN avec de la NAT et d'autre que c'était possible (beaucoup plus rare et sans de réelle explication sur le sujet)

Je suis ouvert à toutes suggestions et demandes

Merci beaucoup pour votre aide
Avatar de l’utilisateur
odimenokyo
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Mai 2004 20:57

Re: Mise en place d'un VPN avec routeur = PROBLEME

Messagepar m2nis » 31 Oct 2006 09:08

odimenokyo a écrit:5) Bien entendu et forcément il y a de la NAT en place.

Alors oubliez le vpn...
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar Franck78 » 31 Oct 2006 13:57

Faut peut être expliquer pourquoi IPSEC+NAT = cata:

http://www.ipsec-howto.org/ipsec-howto.pdf
paragraphe Nat traversal.


En gros: AH n'aime pas les changement effectué par le NAT (man in middle attack)
Puis les protocoles AH, ESP n'ont pas de 'port'. Donc la machine Natteuse ne sait pas reconnaitre (ou natté) correctement AH/ESP.

La solution trouvée à ca est le "nat-traversal". Le AH/ESP est encapsulé dans du classique UDP (port 4500).

Et l'openswan d'IPCop fait ca très bien. Le probléme est ensuite de bien configurer tout ça.

J'ai pas essayé avec le GUI. Possible qu'il soit pas aisé d'entrer les bonnes infos dans les bonnes cases... Si j'ai le temps j'essaierais ;-)
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar odimenokyo » 31 Oct 2006 20:12

MERCI pour vos comentaires et votre aide,

C'est bien ce que je pensais mais j'aurais aimé avoir tord...snif

Tu as surement raison Franck, je vais approfondir la question vers ce coté là.

Merci encore et je reste ouvert à toutes suggestions de test !!

Vive les jours férier...

:P
Avatar de l’utilisateur
odimenokyo
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Mai 2004 20:57

Messagepar odimenokyo » 31 Oct 2006 22:16

J'avoue c'est super hot, pourtant je trouve sur le forum des configs plus ou moins similaires mais qui manque de clarté.

1) Ou pourrais-je trouver le "mini-howto-vpnnat.pdf"

L'espoir fait vivre

Merci
Avatar de l’utilisateur
odimenokyo
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Mai 2004 20:57

Messagepar Franck78 » 01 Nov 2006 04:28

Ok,
Routeur Netgear à la baule,
IPCop chez moi, et derrière sur son GREEN, un autre
IPCop2


Ca marche en utilisant obligatoirement les nouveau champs "IDs" d'IPCop

Par défaut, c'est l'IP 'internet' qui sert d'ID pour chaque peer openswann (ID local distante vides).

Il faut donc mettre un nom pour chaque peer.

Dans le netgear, il ne faut ajouter le '@'

Code: Tout sélectionner
Type d'identité locale:             Nom de domaine complètement qualifié
Données:       un_netgear
Type d'identité distante:    Nom de domaine complètement qualifié
Données:       un_ipcop


Dans IPCop, il faut le '@'
Code: Tout sélectionner
ID Locale: @un_ipcop
ID Distante: @un_netgear


Essai avec PSK seulement.

Deux IPCops derrières deux routeurs (natteurs) doivent donc fonctionner d'après moi. Quoique je ne vois pas comment 'démarrer' la chose sans un transert de port UDP/500?/4500? au moins d'un coté vers un IPCop,
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar odimenokyo » 01 Nov 2006 11:20

Salut Franck78 et merci pour tes neuronnes, ca fait vraiment plaisir

Je vais essayer ca de suite et te tiens rapidement informé.

@+
Avatar de l’utilisateur
odimenokyo
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Mai 2004 20:57


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron