Production, Réseau Local, Internet, Quelles zones utilisées?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Production, Réseau Local, Internet, Quelles zones utilisées?

Messagepar Sligs » 21 Mars 2007 10:48

Bonjour,
Je vais tenter d'être le plus clair possible pour éviter que tout le monde passe du temps à décoder ce que je vais mettre :D

Je possède un reseau local et deux modems. Qui sont en fait des routeurs-modem , le premier fourni par Wanadoo (SpeedTouch) et l'autre fourni par Cisco. Le modem fourni par Wanado va me permettre de me connecter sur le net. Le modem fourni par Cisco, va lui me permettre de me connecter, sur le net aussi, mais surtout c est un lien vers ma plateforme de Production. Mon but est de me servir de mon modem speedtouch pour permettre a mes usagers de mon reseau local de se connecter sur le net, et le modem Cisco de leur donner acces a la plateforme de Prodcution, via un tunnel Vpn Permanent ( A noter que c est un Pix 515 qui se situe en front sur ma plateforme de Prod).

Ma question repose sur un doute. Pour mon reseau local, un lien vert c est evident. Pour la patte de mon serveur ayant IPCop relié au modem SpeedTouch, un lien rouge. Mais pour la patte relié au Modem Cisco, sachant qu'un vpn permanent sera monté et toujours actif, et ce que ce lien servira uniquement a ca, quelle type de lien mettre ? Orange? Rouge ? Bleu :s ?

Merci D'avance de vos suggestions.
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar Stirner » 21 Mars 2007 11:02

Salut,

J'avous ne pas bien comprendre ton architecture. De combien de ligne ADSL disposes-tu ? Si ton serveur de prod est sur un site distant pourquoi ne pas faire établir la liaison VPN par IPCOP (qui fait ça trés bien). Si tu possédes deux lignes ADSL il me semble que PFsense serait plus indiquer. Cela te permettra de gérer plus facilement la répartition de charge entre les deux lignes et même de gerer du failover et/ou le round robin.


@+
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar Sligs » 21 Mars 2007 11:14

En gros oui j ai deux accès internet, mais je veux que un soit dedier au net, et l autre exclusivement reservé pour l acces a ma plateforme de prod. Mes utilisateurs ont besoin d'acceder aux serveurs de maniere transparente, ce qui inclu un vpn permanent. Et le lien wanado exclusivement reservé a la naviguation Web.

Voici un petit Plan
Image
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar jdh » 21 Mars 2007 11:21

Le problème est bien présenté (pourvu qu'on prenne le temps de le lire).

Red : modem Wanadoo (SpeedTouch) : OK
Green : réseau local : OK

Soit le routeur Cisco est capable de faire lui-même le VPN avec le PIX, alors il faut lui attribuer une adresse 192.168.x.y, créer une zone et définir un routage vers la zone de Prod. (Quelle zone avec un IPCOP, je ne sais)

Soit le routeur Cisco n'est pas capable de faire le VPN avec le PIX, alors il faut qu'IPCOP soit capable de le faire. Donc il faut une adresse publique cible. Il suffira alors d'ajouter avant une route statique vers cette adresse via l'adresse ip (en Red) du routeur Cisco. A la main cela donne "route add X.X.X.X netmask 255.255.255.255 gw C.C.C.C" avec X.X.X.X l'adresse publique cible PIX et C.C.C.C l'adresse du Cisco.

Compte tenu du schéma (que je découvre), une petite difficulté est que, si les 2 routeurs sont du côté Red, ils ne sont pas dans le même réseau au sens ip (ajout d'une adresse du côté Red). Si on place le Cisco sur une interface Orange alors le VPN fonctionnera-t-il ?

Si j'avais à réaliser ce schéma, j'utiliserais une Debian avec Shorewall avec une carte pour chaque routeur. Mais j'aurais tout à faire pour Squid, ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Stirner » 21 Mars 2007 11:36

Salut,


Mon doute reposé sur l'existance deux lignes ADSL (quoique en relisant le post cela parrais évident avec deux routeurs). Pour ma part (je n'aime pas mettre les mains dans le cambouis) j'obterais donc pour un PFSENSE qui à la particularité de gérer deux "red" en natif ce qui simplifis grandement l'installation et la maintenance.

@+
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar Sligs » 21 Mars 2007 11:43

Oui, que de doutes ...

Mon serveur possedant IPcop a 3 cartes reseaux, et a chaque fois comme on peu voir sur le schema 3 sous local, il ne possede aucune interface directement public.

Ma priorité est un vpn permanent avec la production, un firewall pour controler les entrées/sorties. Apres un proxy web c est du bonus honnetement.

Ipcop,PFSENSE, ou Shorewall ?

ps: Si le schéma est trop gros dites le moi.

Merci
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar Sligs » 21 Mars 2007 12:11

Le routeur cisco est incapable de faire du vpn.
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar jdh » 21 Mars 2007 12:34

Qq étapes (pour IPCOP) :

- routeur Cisco seul branché en Red,
- faire fonctionner le VPN (à partir de l'adresse ip publique du PIX)
- routeur Wanadoo branché en Red + modif Red
- ajout d'une adresse ip fixe sur Red
- ajout d'une route statique vers l'ip du PIX (via l'ip du Cisco)
- trouver comment rééxecuter les 2 ajouts au démarrage.

L'alternative de mettre le routeur Cisco en Orange me parait irréaliste car je peux supposer que l'IPCOP impose un VPN IpSec en Red.

pfSense semble un superbe produit très complet qui doit peut-être pouvoir gérér cette situation sans modif manuelle. (J'ai trop d'ancienneté avec Linux ce qui me gène un peu avec les xBSD et PF qui doit être aussi performant). Il faut peut-être l'essayer ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Sligs » 21 Mars 2007 13:42

Il est possible d'avoir 2 Red avec IPCOP ?
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar jdh » 21 Mars 2007 14:33

Un minimum de recherche sur ce site aurait donné la réponse : pas de double Red sur IPCOP !

Mais il doit bien être possible de faire des choses à la main : ajouter une adresse ip fixe à Red et une route statique.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Sligs » 21 Mars 2007 14:35

Sinon je pense a mettre la carte ou est connecte le modem cisco ( l acces vers la prod et le vpn permanent) en bleu, pensez vous que c est genant ?
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar Franck78 » 21 Mars 2007 16:05

Deux cartes RED, non dans le sens load balancing redondance s'entend.

Mais démarrer un VPN à partir de la carte BLUE (voir orange que j'ai ajouté, mais j'ai pas testé) vers le pix est implémenté plein de fois.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar antolien » 21 Mars 2007 16:36

Je viens de monter un petit setup de test avec ipcop,

Si j'ai bien compris la config :

-carte red ipcop : relié a speed touch wanadoo faisant du NAT (adressage privé)
-cate orange ipcop : relié au routeur colt avec une ip publique.

routes :
route par défaut pour le surf -> speed touch wanadoo

route vers l'adresse ip publique distante du pix -> routeur colt
il faut l'ajouter manuellement par exemple : route add -host 195.68.x.x gw 81.80.x.x dev eth2
81.80.x.x etant l'ip du routeur colt.
195.68.x.x etant l'ip du PIX avec lequel tu vas faire ton vpn.
eth2 est l'interface orange.

Je ne connait pas vraiment ipcop, mais j'ai eu un petit soucis pour qu'il initie la connexion vpn depuis le orange.
J'ai dû enlever la ligne rightnexthop=%defaultroute dans le ipsec.conf
sinon il me dit lorsque je lance la connexion manuellement.
ipsec_auto: fatal error in "test": %defaultroute requested but not known
Alors j'avoue ne pas avoir cherché, mais en supprimant la ligne rightnexthop, ça marche. Il y a peut-être une autre manip plus propre a faire, mais là je demande aux pros d'ipcop :wink:
Dernière édition par antolien le 22 Mars 2007 13:17, édité 1 fois au total.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Sligs » 21 Mars 2007 16:39

et tout fonctionne correctement en utilisant ce fonctionnement?
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Messagepar Sligs » 21 Mars 2007 17:05

Comment ca lancer la connexion manuellement ? ca m intrigue. Je suis en train de reproduire ce que tu as testé actuellement
Sligs
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 20 Mars 2007 16:46

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité