routage ipsec

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

routage ipsec

Messagepar pu2zl3 » 24 Juil 2007 19:42

Bonjour,

voici l'architecture :

____________________________________________________________

A GAUCHE :

____________________________________________________________

S2003 + tse

UNIX + aplications (dns)

Passerelle (intranet)

IPcop ( dhcp / ipsec )

____________________________________________________________

A DROITE :
____________________________________________________________

Ipcop ( dhcp / ipsec)

Client légés

Poste fix

Imprimantes Réseaux



:arrow: Le problème est au niveau des postes fix du coté DROIT :

Le dhcp d'ipcop donne ipcop comme passerelle. Le réseau marche bien et voit les ordinateurs qui sont à GAUCHE via le VPN.
Mais l'accès au net (intranet) doit passer par le routeur /passerelle qui se trouve du coté GAUCHE.

Il faudrait donc que je puisse ajouter une deuxième passerelle par defaut.

Faut il ajouter une option au dhcp ?
Faut il éditer un fichier ?

Merci de votre aide ;p
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar DWAM2 » 24 Juil 2007 19:56

Salut

C'est pas très clair... Passerelle intranet ? accès au net (intranet) ?

Bref, si j'ai à peu près compris, il suffit d'ajouter une route spécifique sur tes clients fixes de droite... Ou, si tu disposes de serveurs DNS et d'un nom de domaine pour ton intranet, de s'assurer pour tes clients de droite qu'ils résolvent correctement...

Enfin, il faudrait plus d'infos précises sur l'ensemble de la topologie IP de ton infrastructure...

Guillaume
DWAM2
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 19 Juin 2007 18:47
Localisation: Bordeaux

Messagepar pu2zl3 » 24 Juil 2007 20:06

Faut juste que j'ajoute une deuxieme route par defaut à l'ipcop de DROITE :

0.0.0 => ipcop de droite
(ca c'est deja en place puisque ipcop se donne comme passerelle par defaut via le dhcp)

0.0.0 => routeur se trouvant à gauche qui donne l'acces au net
(ca je sait pas comment / ou l'ajouter)


ARCHITECTURE :


LAN

|
______________ PASSERELLE INTERNET

|

IPCOP (ipsec) COTE GAUCHE


|


IPCOP (ipsec) COTE DROIT

|

LAN


Merci pour ta réactivité =)
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar DWAM2 » 24 Juil 2007 20:14

Tu veux dire que ton VPN entre droite et gauche ne transite pas sur le web ?
DWAM2
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 19 Juin 2007 18:47
Localisation: Bordeaux

Messagepar Poupou94 » 24 Juil 2007 21:48

Bonsoir,

Une deuxième passerelle par défaut cela n'existe pas. Il ne peut y avoir qu'une seule passerelle par défaut autrement on ne parle plus de passerelle par défaut mais de passerelle pour atteindre un autre réseau.

Dans ton cas c'est sur l'IPCop de gauche qu'il faut définir une passerelle par défaut pour atteindre ton Intranet ou Internet et cette passerelle doit être l'adresse de ta passerelle Internet (vu ton schéma).

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar pu2zl3 » 25 Juil 2007 10:07

OK

En passerelle red evidemment j'ai un modem ethernet (c'est ke pour le vpn).
Pour les client du reseau de GAUCHE j'ai dit au dhcp de donner le bon routeur pour l'acces Internet.
Mais pour l'ipcop/interface verte quel fichier dois je éditer (et avc quelle syntaxe) pour lui indiquer la passerelle Internet ?


tx
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar Poupou94 » 25 Juil 2007 10:54

Bonjour,

Passerelle par defaut dans le setup de l'ipcop. Il n'existe pas de notion de default gateway par interface c'est pour l'IPCop entier dans sa fonction de routeur IP.

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Franck78 » 25 Juil 2007 12:17

Salut,

J'aimerais bien mettre en place ce genre de chose avec IPCop. Une case a cocher "USe as Default GW".

Mais c'est pas aussi simple que de changer ladite ligne dans la table de routage ;-)

Le VPN lui même est transporté par IP. Il faut donc penser à ne pas emprunter la default GW (donc l'interface ipsec). Sinon bouclage sans fin.

A l'arrivée sur l'autre peer, théoriquement, le paquet IP devrait être dropper car il ne correspond à rien en tant que destination 'connue' (le VPN est un tunnel entre deux réseaux). La encore, quelques test à faire.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pu2zl3 » 25 Juil 2007 13:10

Alors la c'est le ponpon
En fesant des test (j'ai touché au resolv.conf / rc.local / hosts / j'ai aussi lancer une route add)

je ne ping plus la droite depuis la gauche et inversement !!!!!

J'ai dc remis les fichiers modifiés comme avant et reboot les 2 ipcop mais rien y fait.

Le tunnel vpn est pourtant tjrs bien ouvert !

need help pliz
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar pu2zl3 » 26 Juil 2007 12:38

up pliz...

Un vpn ipsec ouvert et pas de ping entre les 2 ! une idée ?
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar DWAM2 » 26 Juil 2007 12:54

Salut

faudrait déjà un petit diagnostic... traceroutes des 2 côtés... Ca sent le problème de routage, mais c'est toi qui a les consoles...
DWAM2
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 19 Juin 2007 18:47
Localisation: Bordeaux

Messagepar pu2zl3 » 26 Juil 2007 12:56

bah trace route

ca donne rien du tt !
Et niveau route j'ai tapper une fois une route en commande. Donc mm si c'étais ca, après reboot ca aurai du sauter...
Sinon j'avais aussi écrit des route ds rc.local mais j'les ai enlevé et reboot derriere...
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar DWAM2 » 26 Juil 2007 13:07

je ne parlais de faire des trace routes sur les ipcops - le vpn montant, j'imagine que leurs tables de routage sont correctement mises à jour...

Mais quid sur les clients ? Si tu pingues une machine dont la table de routage est mauvaise, la réponse ne t'arrive pas, bien que la machine soit joignable à l'aller.

Bien que ce soit une doc PPTP, regarde cette page :
http://poptop.sourceforge.net/dox/diagn ... ding.phtml
La méthode pour diagnostiquer la source du problème reste valable avec ipsec

My 0.2 cents
DWAM2
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 19 Juin 2007 18:47
Localisation: Bordeaux

UP =)

Messagepar pu2zl3 » 08 Août 2007 12:17

Bonjour,

Bon pour l'histoire du vpn ouvert avec rien qui passe dedans ya plus de pb j'ai refait mes 2 machines ...

Mais j'en reviens à la deuxième passerelle par defaut (qui n'est pas réalisable sur ipcop)...

Je ne peux pas mettre cette 2ième par defaut dans ipcop même.

Mais je dois pouvoir dire (en utilisant zerina net2net au lieu d'Openswan) dans un fichier de conf (genre server.conf pour les roadwarrior mais pour le net2net) d'utiliser telle machine comme passerelle ?!

Cela vous semble t il fesable ?

Je prefererai utiliser openswan mais je ne sais comment faire pour que les requetes des utilisateurs du LAN1 soit envoyées a la passerelle se trouvant dans le LAN2.


LAN 1 (serveurs + ordinateurs)

|||

________ PASSERELLE INTERNET


|||

IPCOP (ipsec - zerina roadwarrior) _______________ PORTABLE NOMADE


_________

INTERNET
_________


IPCOP (ipsec)


|||

LAN2 (ordinateurs)
pu2zl3
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 24 Mars 2006 18:26

Messagepar Franck78 » 08 Août 2007 12:26

Mais j'en reviens à la deuxième passerelle par defaut (qui n'est pas réalisable sur ipcop)...

ni sous aucun système.

Ca veut bien dire ce que ca veut dire quand même: si aucune route particulière n'est indiquée, alors on utilise en dernier recours 'cette passerelle'.

Voir:
http://christian.caleca.free.fr/routage.html
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron