Réseau VPN en étoile

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Réseau VPN en étoile

Messagepar Vulmix » 07 Déc 2006 12:34

Bonjour,

Aujourd'hui je me lance dans la recherche d'une solution d'un réseau VPN en étoile 8) .

J'ai lu dans les différents Post que certains on fait des VPN : poste-Réseau ou Réseau-Réseau.
Mais dans mon cas je dois faire un truc du style : Chaque succursale doit être connectée à la maison mère. Je pourrais même avoir un pc-portable qui se rajoute dans l’étoile ! Et à terme je pourrais avoir un mesh ! Mais bon ça c’est une autre histoire !

Alors évidement, je vais commencer par faire un VPN entre deux sites… commençons par quelque chose de « simple » Mais si j’y arrive et qu’en suite je ne peux rien ajouter à ce premier tunnel cela ne servira à rien !

Dans tous les « how-to » je tombe sur des explications pour faire un tunnel. Est-ce que quelqu’un à déjà fait des VPN en étoile ?

Est-ce que pour vous c’est théoriquement possible ?

Merci d’avance pour vos réponses !
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar VIP-ire » 07 Déc 2006 14:09

Bien sûre c'est possible. Je me pencherais sur la configuration d'OpenVPN en mode routed. J'ai prévue d'en faire une contrib un jour (genre celle déjà disponible ici http://sme.firewall-services.com/spip.php?rubrique3) mais je n'annonce aucune date pour l'instant. Tu peux déjà utiliser la contrib en mode bridge, t'aura ce que tu veux mais c'est pas vraiment optimisé.
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar Vulmix » 07 Déc 2006 19:11

Merci !
Je me lance la dessus dès que l'on me laisse le temps :wink:

Je veux bétonner le sujet car si je gagne je pourrais enfin lancer des gros projet pour la société 8)
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar Vulmix » 08 Déc 2006 16:30

Bonjour,

J'ai commencé par le plus simple : installer le module open-vpn... Que c'est gaie lorsque tout se passe sans problème :D

La suite maintenant !
Si j'ai bien compris mes "utilisateurs" peuvent se connecter avec le programme client pour le programme pour XP.

Mais mon but est de placer des tunnels entre serveur SME...
Là je bloque complètement car je ne sais pas que faire...
Installer openvpn sur mes autres serveurs ? Ok si c'est aussi simple, pas de problème ! Mais ensuite ? Comment j'ouvre les tunnels entre les serveurs SME ?

Et une fois fait... J'ai une ip pour la machine arrivée mais pour bien faire je devrais avoir une plage d'IP par connection....

Le truc que j'aurai bien aimé avoir comme plage d'adresse

192.168.254.x pour le siège de la société.
192.168.100.x pour la première Ss
192.168.101.x pour la deuxième Ss
....
192.168.200.1 pour le premier "Electron libre"
192.168.200.2 pour le deuxième "Electron libre"....

J'espère que c'est faisable 8-[

(Juste pour info : le serveur principale est sur un Adsl mais sera sur un sdls lorsque tout sera ok !)

Voilà, voilà voilà....il n'y a plus qu'a ! :mrgreen:
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar VIP-ire » 08 Déc 2006 17:11

j'ai écrit un how-to pour la conenxion d'un SME en tant que client:
http://sme.firewall-services.com/spip.php?article25

C'est en anglais mais bon... c'est pas très compliqué
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar Vulmix » 08 Déc 2006 17:30

SUPER !
On t'a déjà dis que tu étais doué :biz: (si j'ose me permettre !)
Je regarde cela tranquillement ce we ! et je réalise cela la semaine prochaine au boulot ! (je suis déjà en WE :wink: )
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar VIP-ire » 08 Déc 2006 19:16

Je viens de m'apercevoir qu'il manque un répertoire dans le rpm 1.0-1, tu peux le mettre à jour avec la 2° release que je viens d'uploader, toujours sur mon site.
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar Vulmix » 11 Déc 2006 10:08

Merci pour l'info !

(((Ce ne sera pas pour aujourd'hui... J'ai un utilisateur qui vient de me cracher un pc de production :!: :evil: On va voir si le Pc backup est fonctionnel )))

J'espère que j'aurai le temps cette semaine !
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar VIP-ire » 12 Déc 2006 13:26

Encore un problème dans la version 1.0-2, y'a la 1.0-3 qui corrige ça
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar Vulmix » 13 Déc 2006 11:23

VIP-ire a écrit:Encore un problème dans la version 1.0-2, y'a la 1.0-3 qui corrige ça


J'allais te parler de mes différents problèmes mais je vais d'abord mettre le patch :wink:

Ajout -------------------------------

Bon c'est presque bon mais le log affiche ceci :
Code: Tout sélectionner
Wed Dec 13 10:35:55 2006 OpenVPN 2.0.7 i386-redhat-linux-gnu [SSL] [LZO] [EPOLL] built on Apr 29 2006
Wed Dec 13 10:35:55 2006 Cannot open easy-rsa/keys/bridge/dh.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file
Wed Dec 13 10:35:55 2006 Exiting


Où me suis-je planté ?
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar Vulmix » 14 Déc 2006 22:09

Bonjour,

Je me permets un petit Up car je n'ai pas de nouvelles...

Il est vrai que je n'ai pas eu beaucoup de temps pour faire de longue recherche mais bon... :roll:

Merci d'avance.

Vulmix
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar VIP-ire » 15 Déc 2006 11:47

Désolé, je ne comprend pas pourquoi, je ne reçoit plus les notifications de réponses, c'est galère.
Alors d'après ton message d'erreur, le serveur ne trouve pas le fichier /etc/openvpn/easy-rsa/keys/dh.pem, qui devrait normalement avoir été généré par l'interface au début. Y'a pas eu un message dans le panel comme les paramètre DH sont en cours de génération et que ça peut prendre du temps? Sinon, va dans gestionainre de certificat, clique sur le lien supprimer tout les certificats et recommence la génération. ça arrive qu'il y ai des problèmes lors de la génération, je ne comrpend pas pourquoi parceque ça me l'a jamais fait à moi, mais j'ai déjà eu plusieur retour de ce type.
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar Vulmix » 15 Déc 2006 22:33

VIP-ire a écrit:Désolé, je ne comprend pas pourquoi, je ne reçoit plus les notifications de réponses, c'est galère..


Idem pour moi ! WebMaster Tu es là :wink:
VIP-ire a écrit:Alors d'après ton message d'erreur, le serveur ne trouve pas le fichier /etc/openvpn/easy-rsa/keys/dh.pem, .


Ca j'avais compris :D
VIP-ire a écrit:qui devrait normalement avoir été généré par l'interface au début. Y'a pas eu un message dans le panel comme les paramètre DH sont en cours de génération et que ça peut prendre du temps? Sinon, va dans gestionainre de certificat, clique sur le lien supprimer tout les certificats et recommence la génération..


Je suppose que tu parles de la partie client car c'est de ce coté que cela bloque

VIP-ire a écrit: ça arrive qu'il y ai des problèmes lors de la génération, je ne comrpend pas pourquoi parceque ça me l'a jamais fait à moi, mais j'ai déjà eu plusieur retour de ce type.


Ok c'est fort probable que la génération ne soit pas arrivée à temps... mais le fichier n'existe pas du coté client.

Je refais ce que tu demandes et je reposte Merci
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar Vulmix » 15 Déc 2006 22:55

Me revoilà....

Je crois que je me suis complètement planté entre les deux SME.... donc je vérifirai cela du boulot car c'est de là que j'ai le plus facile :wink: (Et la je suis payé pour :D )

Si tu aimes les reports des logs, je te le passe !

Code: Tout sélectionner
Fri Dec 15 21:37:10 2006 event_wait : Interrupted system call (code=4)
Fri Dec 15 21:37:10 2006 TCP/UDP: Closing socket
Fri Dec 15 21:37:10 2006 Closing TUN/TAP interface
Fri Dec 15 21:37:10 2006 SIGTERM[hard,] received, process exiting
Fri Dec 15 21:37:12 2006 OpenVPN 2.0.7 i386-redhat-linux-gnu [SSL] [LZO] [EPOLL] built on Apr 29 2006
Fri Dec 15 21:37:12 2006 Diffie-Hellman initialized with 1024 bit key
Fri Dec 15 21:37:12 2006 Control Channel Authentication: using 'easy-rsa/keys/bridge/ta.key' as a OpenVPN static key file
Fri Dec 15 21:37:12 2006 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 15 21:37:12 2006 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 15 21:37:12 2006 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Dec 15 21:37:12 2006 TUN/TAP device tap0 opened
Fri Dec 15 21:37:12 2006 Data Channel MTU parms [ L:1574 D:1400 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Dec 15 21:37:12 2006 chroot to '/etc/openvpn' and cd to '/' succeeded
Fri Dec 15 21:37:12 2006 GID set to nobody
Fri Dec 15 21:37:12 2006 UID set to nobody
Fri Dec 15 21:37:12 2006 UDPv4 link local (bound): [undef]:1194
Fri Dec 15 21:37:12 2006 UDPv4 link remote: [undef]
Fri Dec 15 21:37:12 2006 MULTI: multi_init called, r=256 v=256
Fri Dec 15 21:37:12 2006 IFCONFIG POOL: base=192.168.1.100 size=101
Fri Dec 15 21:37:12 2006 Initialization Sequence Completed
Fri Dec 15 21:37:12 2006 OpenVPN 2.0.7 i386-redhat-linux-gnu [SSL] [LZO] [EPOLL] built on Apr 29 2006
Fri Dec 15 21:37:12 2006 Diffie-Hellman initialized with 1024 bit key
Fri Dec 15 21:37:12 2006 Control Channel Authentication: using 'easy-rsa/keys/bridge/ta.key' as a OpenVPN static key file
Fri Dec 15 21:37:12 2006 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 15 21:37:12 2006 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 15 21:37:12 2006 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Dec 15 21:37:12 2006 TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use
Fri Dec 15 21:37:12 2006 Exiting



Je vais reprendre la procédure complète des certificats des deux cotés et l'adressage IP !

Merci encore de ton aide :wink:
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Messagepar Vulmix » 18 Déc 2006 13:52

Bonjour,

J'avance.. les clés sont reconnues des deux cotés. C'est déjà ça 8)

Maintenant j'ai un problème d'ip... (vous allez finir par dir que je suis nul je le sens :roll: :oops: )

comme dit plus haut je voudrais faire un adressage de ce style :

192.168.254.x pour le siège de la société.
192.168.100.x pour la première Ss
192.168.101.x pour la deuxième Ss
....
192.168.200.1 pour le premier "Electron libre"
192.168.200.2 pour le deuxième "Electron libre"....

Avec en prime
192.168.253.x pour un "vlan" de la compta
192.168.2.x la dmz

Et comme test un pont vers chez moi
192.168.1.x

Et je me pomme dans les résaux de base, les résaux locaux etc...

Est-ce que c'est bon si je fais :
coté boulot :
adresse de base 192.168.254.0 avec comme masque 255.255.255.0 et passerel 192.168.254.1
adresse local (compta) 192.168.253.0 avec comme masque 255.255.255.0 et passerel 192.168.254.1
adresse local (pont vers chez moi) 192.168.1.0 avec comme masque 255.255.255.0 et passerel 192.168.254.1


Chez moi
Base :192.168.1.1 avec un masque de 255.255.255.0 et passerel 192.168.254.1

Est-ce suffisant ?
Dois-je ouvrir un local chez moi vers le boulot du style 192.168.254.1 masque 255.255.255.0 pass 192.168.1.1 ?

Je sais que je pourrais faire tous ces tests mais bon, mais utilisateur vont raller si je reboot chaque fois le serveur lorsque je change les adresse de base !

Pour info pour l'instant l'adresse de base au boulot est à 192.168.1.1 avec 255.255.0.0 et pass 192.168.254.1

Merci de votre patience :wink:
Vulmix

(Ne tappez pas je viens d'arriver dans le milieu Linux)
Vulmix
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 10 Mars 2006 09:32

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité