Petit problème de routage inter VPN

[emmanuelt]

Bonjour à tous,

J'ai un problème de routage qui me dépasse un peu.

IPCop 1.4.15 gère les accès VPN des itinérants en OpenVPN (RoadWarrior) et des agences en IPSec (RPV réseau à réseau). Les VPN agences IPSec sont au niveau des routeurs (Netopia et Netgear).
Les routeurs des agences fournissent également l'accès internet (je ne souhaite pas qu'il passent par le siège pour ne pas plomber l'accès internet du siège).

le LAN du siège est en 192.168.1.0/255.255.255.0
La plage OpenVPN 192.168.54.0/255.255.255.0
Les agences en 192.168.x.0/255.255.255.0 (1 sous réseau par agence)

Tout marche bien sauf que je n'arrive pas à pinguer une agence à partir d'un VPN OpenVPN et inversement.

Pour le routage OpenVPN vers les VPN IPSec, je régle le problème en faisant un push "route 192.168.x.0 255.255.255.0" dans le server.conf. Il faut "pusher" toutes les routes, mais ça marche. Je préfère ça plutôt qu'un redirect-gateway au niveau du client pour leur laisser leur accès internet.

En revanche je ne sais pas comment faire dans l'autre sens pour dire aux agences comment aller vers une autre agence ou vers OpenVPN (192.168.54.0) ?? Je n'ai pas trouvé l'équivalent du "push route" pour IPSec.

Est-ce que ma question est légitime ou je me plante dans la conception ?

Emmanuel

[jdh]

Sur chaque IPCOP d'agence, une route vers 192.168.54.x/24 via l'IPCOP central devrait faire l'affaire, non ?

Pour le faire, en ligne de commande,

route add -net 192.168.54.0 netmask 255.255.255.0 gw 192.168.1.? (à ajouter dans un rc.boot ou quelque chose comme ça ...)

[emmanuelt]

effectivement je pensais qu'il suffisait d'ajouter cette route, mais ça ne marche pas : le routeur Netgear comme le Netopia refusent d'ajouter une route avec une passerelle en dehors sur sous-réseau local.

Toujours sur ces routeurs, si je modifie la config du VPN en disant que le sous réseau distant est une plage de 192.168.1.0 à 192.168.255.255, alors le VPN ne monte plus.

En fait je ne sais pas quelle est la solution, au moins en théorie :
- Faut il creuser pour une solution avec des routes sur les sites distants ?
- Faut-il déclarer comme réseau distant du VPN une plage englobant tous les sous réseaux (192.168.1.0 à 192.168.255.255) ?

[Franck78]

mais ça ne marche pas : le routeur Netgear comme le Netopia refusent d'ajouter une route avec une passerelle en dehors sur sous-réseau local.

Ca c'est on ne peut plus normal. Une passerelle ne peut être QUE sur le même LAN d'une machine.

Pour le vpn, c'est l'interface locale IPSEC0 qui est la passerelle. Mais est-ce que le GUI des routeurs accepte la syntaxe...!

route add -net 11.0.0.0 netmask 255.0.0.0 dev ipsec0

[emmanuelt]

Merci pour ces infos ....

Finalement j'ai reglé le problème, mais je ne sais pas si c'est correct dans le principe :
il suffisait de modifier la définition du lan du siège dans le vpn :
coté ipcop ça donne :

Code: Tout sélectionner

leftsubnet=192.168.1.0/255.255.0.0
rightsubnet=192.168.x.0/255.255.255.0

et sur les routeurs des agences :

Code: Tout sélectionner

réseau local : 192.168.x.0/255.255.255.0
réseau local distant : 192.168.1.0/255.255.0.0


où x peut varier de 2 à 254 (on a de la marge).

Maintenant tout le monde voit bien tout le monde.
Donc pas besoin de route supplémentaire.
Est-ce bien la meilleure solution ?

[Franck78]

Disons que c'est plus propre avec le classe A

le masque change:
/8 tu adresses tout ton réseau (vu de l'exterieur par exemple)
/16 en interne, si tu consacre le deuxième octet pour tes réseau internes.

Mais dans le principe, c'est bon. Laisse bien par contre l'interface GREEN avec son masque 255.255.255.0
et vérifie bien que tu peux atteindre les agences à partir du GREEN.

Le script iptables a été adapté pour que l'on puisse controller les échanges entre les VPNs IPSec et OPenVPN.
Par défaut, tout passe. On attend l'addon;-)

[tomtom]

4 ans plus tard, les mêmes

http://forums.ixus.fr/viewtopic.php?t=3 ... c&start=30

t.