[RESOLU] BOT : le vpn aurait-il été oublié ?

[m2nis]

Bonjour,

Après de nombreux mois passés à utiliser rc.firewall.local pour gérer mes règles (merci à Antolien au passage pour les conseils de son site qui m'avait bien aidé), j'ai fini par adopter à BOT après la mise en place de l'interface blue, avec un certain bonheur je dois l'avouer malgré quelques tatonnements.

Normalement, BOT interdit *tout* par défaut. C'est du moins ce qu'il me semblait, et toute ma configuration s'est faite dans ce sens. Sauf que... le vpn ne semble pas géré! En effet, une connexion vpn sur green ou blue obtient par défaut tous les droits sur l'interface, y compris pour green celui d'administrer Ipcop! Gloups!

L'inverse n'est en revanche pas vrai car il faut ouvrir des portes pour accéder aux machines distantes du vpn. Et là apparaît le deuxième "soucis". L'interface "ipsec+" qui correspond pour Ipcop au vpn (que l'on retrouve notamment dans rc.firewall) n'existe pas dans BOT et je ne vois pas bien comment la déclarer sans devoir ajouter un par un les réseaux distants. Du coup, je suis obligé d'ouvrir le trafic pour "tout sauf green" pour y accéder.

Auriez-vous quelques idées sur ce problème?

Cordialement,

[kortex_fr2]

Salut m2nis,
j'ai également remarqué que les vpn n'était pas bloqué par défaut par ipcop, et que l'on avait tout les droits sur le réseau de destination.
Personellement, comme je n'ai pas trop de vpn, j'utilise des règles dans bot pour filtrer le traffic sortant vers les vpn (via les adresses réseaux).
Cela a l'air de fonctionner pour le moment

Un modif (prise en charge complète des vpn) d'ipcop serait vraiment la bien venu

[m2nis]

j'ai également remarqué que les vpn n'était pas bloqué par défaut par ipcop

Oui, mais normalement BOT ferme tout ce qu'Ipcop ouvre par défaut. Mais pas le vpn...

Personellement, comme je n'ai pas trop de vpn, j'utilise des règles dans bot pour filtrer le traffic sortant vers les vpn (via les adresses réseaux).

C'est toujours une solution. Mais comme "l'interface" ipsec n'est pas déclarée par défaut dans BOT, il va me falloir faire toutes les règles réseau par réseau... A moins que quelqu'un n'ai la solution miracle, ... mais ça n'a pas l'air d'être le cas...

[m2nis]

Oui, mais normalement BOT ferme tout ce qu'Ipcop ouvre par défaut. Mais pas le vpn...

Voici quelques nouvelles suite à mes échanges avec Achim Weber, l'auteur de BOT.

La mauvaise nouvelle est qu'effectivement, le vpn n'est pas géré par BOT et ce pour une raison assez simple: l'auteur ne l'utilise pas.

Mais il y a au moins quelques nouvelles plutôt bonnes:
-l'auteur a de plus en plus de demande pour la prise en charge du vpn et va peut-être jeter un oeil à tout ça (sans aucune promesse)
-BOT permet de saisir des interfaces complémentaires (configuration avancée). Si elle n'accepte pas "ipsec+" à cause du plus , elle accepte "ipsec0", "ipsec1"...
-il est possible de créer chaque réseau distant un par un (réglages d'adresses) et de grouper l'ensemble (groupe d'adresses) pour gérer des règles communes à tous.

Voila toujours un bon début....

[kortex_fr2]

c'est à creuser.
Ce serait bien que cet aspect des vpn soit pris en charge directement par ipcop

[kinkey]

Après quelques tests ce week end il est possible de filtrer les vpn. J'utilise l'addons Zerina (donc les vpn intégré à ipcop), il suffit de rajouter l'interface tun0 dans la configuration de BOT, rajouter l'adresse de votre réseau VPN (par exemple : 192.168.10.0/24) dans "Réglage d'adresses". Ensuite il reste plus qu'a créer une règme, à la différence il faut mettre la règle en REFUSER au lieu d'ACCEPTER.

[igo]

bonjour j'ai l'impression que BOT gère bien aprésent les VPN, mais ducoup que faut-il ouvrir pour avoir acces au lan distant ?

[lucyfire]

salut,

Bot gère maintenant effectivement le vpn, voilà une règle qui marche on peut faire des variations plus restrictives bien sur: dans ce cas le reseau de l'autre coté du vpn est 172.25.0.0/16

Source Réseau/Interface Destination
Green Network Any 172.25.0.0/16

Ne pas oublié de faire pareil sur l'autre ipcop en direction du premier reseau

J'ai testé ça fonctionne.

lu²

[m2nis]

Bot gère maintenant effectivement le vpn

BOT ne gère pas le vpn par défaut. BOT sait gérer le vpn si on lui apprend, ce qui est loin d'être la même chose. D'ailleurs, les interfaces par défaut du vpn (ipsec0 et tun0) n'existent pas et, surtout, le trafic vpn n'est pas bloqué par défaut, ce qui est loin d'être le plus léger des problèmes, surtout quand l'utilisateur pense que BOT a tout fermé.

[lucyfire]

Pour avoir fait l'essai pas plus tard que vendredi, si je ne rajoute pas la règle mentionnée dans mon précedent message il n'y a pas de traffic en direction du vpn.

[m2nis]

Pour avoir fait l'essai pas plus tard que vendredi, si je ne rajoute pas la règle mentionnée dans mon précedent message il n'y a pas de traffic en direction du vpn.

Effectivement, il faut être un peu plus précis: le trafic vers le vpn distant est bloqué, mais... le trafic en provenance du vpn n'est lui pas bloqué, ce qui est finalement pire que l'inverse.

[lucyfire]

Si c'est 2 ipcop tête beche avec bot des 2 cotés (best practice ?) le traffic est donc maitrisé des 2 cotés.

[m2nis]

Si c'est 2 ipcop tête beche avec bot des 2 cotés (best practice ?) le traffic est donc maitrisé des 2 cotés.

Un vpn ne s'ouvre pas toujours avec un ipcop, et surtout, un vpn peut être ouvert avec un tiers, qu'il utilise Ipcop ou pas.
Maintenant, quand on le sait...

[lucyfire]

Un vpn ne s'ouvre pas toujours avec un ipcop

Après ma 4ème année d'utilisation de ipcop et vpn j'ai du avoir une instabilité sur le vpn, qui venait d'une barette mémoire HS sur un ipcop.

[igo]

merci lucyfire cela fonctionne