Bonjour à tous, je poste un nouveau sujet car après plusieurs lectures sur ce forum, je n'ai pas trouvé la solution (si solution il y a).
Je dispose de deux réseau distants munis chacun d'un ipcop qui communique via vpn
192.168.1.x -- ipcop1 -- internet -- ipcop2 -- 192.168.2.x
Tous cela fonctionne. Du côté de mon ipcop2, j'ai une dmz en 192.168.5.x
Depuis mon réseau 192.168.2.x, j'ai accès au serveur web en tapant son IP : 192.168.5.2 ce qui est normal.
Depuis le réseau 192.168.1.x, j'arrive à accéder au serveur de la dmz en tapant l'url que j'ai créée chez dyndns soit domaine.dydns.org.
Ce que je cherche à faire c'est a acceder à mon serveur 192.168.5.2 en tapant son IP pour que je puisse l'administrer lorsque je suis sur mon réseau 192.168.1.x
J'ai bien asseyé d'aujouter un route sur mon ipcop1
route ADD 192.168.5.2 MASK 255.255.255.255 192.168.2.0 (avec ou sans eth0? eth1? ipsec0?)
ce qui pour moi me parrassait logique mais rien n'y fait je 'y arrive pas.
Est-ce un problème qui peut se résoudre et si oui comment.
Je sais que des personnes ne comprendrons pas pourquoi je souhaite faire ca mais la question n'est pas là.
Cordialement en espérant avoir été clair
[RESOLU] Acces au serveur de ma dmz
Modérateur: modos Ixus
12 messages
• Page 1 sur 1
[RESOLU] Acces au serveur de ma dmz
par gunsnroses » 20 Août 2007 17:14
Dernière édition par gunsnroses le 22 Août 2007 09:49, édité 1 fois au total.
-
gunsnroses - Major
- Messages: 78
- Inscrit le: 16 Juin 2005 15:45
- Localisation: La Flèche
par gunsnroses » 21 Août 2007 09:10
J'avais aussi essayer la commande :
route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.2.70 ethx (où x prend les valeur 0 ou 1, j'ai même essayer de remplacer ethx par ipsec0) mais j'ai toujours, la réponse suivante :
SIOCADDRT: Network is unreachable.
Une autre piste ?
Après d'autre lecture, j'avais pensé mettre un vpn entre le GREEN de l'ipcop1 et le ORANGE de l'ipcop2, mais dois-je créer de nouvelles adresses en dyndns.org, puis-je utiliser les mêmes que pour mon vpn GREEN-GREEN qu'en est-il des certifcats ?
route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.2.70 ethx (où x prend les valeur 0 ou 1, j'ai même essayer de remplacer ethx par ipsec0) mais j'ai toujours, la réponse suivante :
SIOCADDRT: Network is unreachable.
Une autre piste ?
Après d'autre lecture, j'avais pensé mettre un vpn entre le GREEN de l'ipcop1 et le ORANGE de l'ipcop2, mais dois-je créer de nouvelles adresses en dyndns.org, puis-je utiliser les mêmes que pour mon vpn GREEN-GREEN qu'en est-il des certifcats ?
-
gunsnroses - Major
- Messages: 78
- Inscrit le: 16 Juin 2005 15:45
- Localisation: La Flèche
par jdh » 21 Août 2007 10:12
Ipsec permet de définir UN tunnel entre un réseau et un autre.
Il faut, me semble-t-il (mais je peux me tromper) :
- un tunnel entre 192.168.1.x et 192.168.2.x (soit de Green à Green)
- ET un tunnel entre 192.168.1.x et 192.168.5.x (soit de Green à Orange)
Il n'y aura besoin de définir de nouveau noms de domaines : il y aura 2 tunnels entre Ipcop1 et Ipcop2 (au lieu d'un seul).
(Et il n'y aura aucun besoin de définir de route puisque les tunnels feront le boulot !)
(Je ne suis pas du tout spécialiste IPCOP).
Il faut, me semble-t-il (mais je peux me tromper) :
- un tunnel entre 192.168.1.x et 192.168.2.x (soit de Green à Green)
- ET un tunnel entre 192.168.1.x et 192.168.5.x (soit de Green à Orange)
Il n'y aura besoin de définir de nouveau noms de domaines : il y aura 2 tunnels entre Ipcop1 et Ipcop2 (au lieu d'un seul).
(Et il n'y aura aucun besoin de définir de route puisque les tunnels feront le boulot !)
(Je ne suis pas du tout spécialiste IPCOP).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par gunsnroses » 21 Août 2007 12:10
je confirme que la création d'un vpn entre le green de l'ipcop1 et le orange de l'ipcop2 me permet maitenant de pinger l'adresse 192.68.5.2 depuis une machine située sur le réseau 192.168.1.x mais bizarrement si je rentre cette adresse ip dans mon navigateur, il ne m'affiche pas le site web contenu sur ce serveur, je ne comprend pas, je continue a cherche en sachant que je suis sur la bonne voix merci jdh
-
gunsnroses - Major
- Messages: 78
- Inscrit le: 16 Juin 2005 15:45
- Localisation: La Flèche
par gunsnroses » 21 Août 2007 16:21
je ne pense pas que se soit un soucis de DNS car j'accède à ma page depuis son url domaine.dyndns.org mais pas depuis son adresse ip qui est 192.168.5.2
En fait domaine.dyndns.org pointe sur la pate RED de mon Ipcop2 sur lequel j'ai fait une redirection de port pour que toutes les demandes sur le port 80 pointent vers la machine 192.168.5.2.
Voici ma config
192.168.1.x --> IPCOP1 <-- 2 VPN --> IPCOP2 <-- 192.168.2.x
<-- 192.168.5.x
192.168.2.x est mon reseau vert
192.168.5.x est ma dmz sur lequel j'ai un serveur en 192.168.5.2
Les 2 VPN sont les suivants :
GREEN-GREEN entre le 1.x et le 2.x
GREEN-ORANGE entre le 1.x et le 5.x
les deux sont indiqués comme ouvert sur chaque IPCOP.
Tous les réseaux se voient bien car je peux pinger le 2.x et le 5.x depuis le 1.x.
Deplus sur le réesau 192.168.2.x, j'ai un autre serveur web pour de l'intranet (192.168.2.1) que je peux consulter en indiquant sont IP depuis un navigateur situé sur le réseau 192.168.1.x mais si je rentre l'adresse 192.168.5.2 sur un navigateur situé sur le réseau 192.168.1.x, je me retrouve avec Connection timed out
je ne comprend pas pourquoi je n'y arrive pas, je pense que je dois autoriser le réseau 192.168.1.x à accéder aux machine situé sur le réseau 192.168.5.x (ce que je pensai faire en configurant un 2nd VPN) mais je ne voit pas ou je peux faire ca.
Aidez moi svp !!!
En fait domaine.dyndns.org pointe sur la pate RED de mon Ipcop2 sur lequel j'ai fait une redirection de port pour que toutes les demandes sur le port 80 pointent vers la machine 192.168.5.2.
Voici ma config
192.168.1.x --> IPCOP1 <-- 2 VPN --> IPCOP2 <-- 192.168.2.x
<-- 192.168.5.x
192.168.2.x est mon reseau vert
192.168.5.x est ma dmz sur lequel j'ai un serveur en 192.168.5.2
Les 2 VPN sont les suivants :
GREEN-GREEN entre le 1.x et le 2.x
GREEN-ORANGE entre le 1.x et le 5.x
les deux sont indiqués comme ouvert sur chaque IPCOP.
Tous les réseaux se voient bien car je peux pinger le 2.x et le 5.x depuis le 1.x.
Deplus sur le réesau 192.168.2.x, j'ai un autre serveur web pour de l'intranet (192.168.2.1) que je peux consulter en indiquant sont IP depuis un navigateur situé sur le réseau 192.168.1.x mais si je rentre l'adresse 192.168.5.2 sur un navigateur situé sur le réseau 192.168.1.x, je me retrouve avec Connection timed out
je ne comprend pas pourquoi je n'y arrive pas, je pense que je dois autoriser le réseau 192.168.1.x à accéder aux machine situé sur le réseau 192.168.5.x (ce que je pensai faire en configurant un 2nd VPN) mais je ne voit pas ou je peux faire ca.
Aidez moi svp !!!
-
gunsnroses - Major
- Messages: 78
- Inscrit le: 16 Juin 2005 15:45
- Localisation: La Flèche
par shwing » 21 Août 2007 23:29
cela fait bien longtemps que je me suis plus amusé avec le vpn réseau à réseau, mais pourquoi ne pas faire qu'un seul tunnel ? cela ne doit pas poser problème.
je modifairai la config vpn de la sorte (du côté ou tu as ta dmz d'installé)
Sous-réseau local :
192.168.0.0/255.255.0.0 (ainsi tu prends en compte tes 2 reseaux)
Si je dis n'importe quoi, tu auras vite fais de refaire
Sinon, si un 'utilisateur-vpn' plus aguerri peut y répondre.
je modifairai la config vpn de la sorte (du côté ou tu as ta dmz d'installé)
Sous-réseau local :
192.168.0.0/255.255.0.0 (ainsi tu prends en compte tes 2 reseaux)
Si je dis n'importe quoi, tu auras vite fais de refaire
Sinon, si un 'utilisateur-vpn' plus aguerri peut y répondre.
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par jdh » 21 Août 2007 23:41
Avec 192.168.0.0/255.255.0.0, c'est encore mieux !
En effet, cela englobe les 3 réseaux !!
Plus besoin de tunnel !! (Elle est pas belle ...)
Si le ping fonctionne c'est que les tunnels sont montés et fonctionnent tout à fait bien. Le problème est donc ailleurs ...
Attention, pour logger un peu, certains services font un reverse dns avant de répondre : cela peut prendre bien une minute ...
Dans un cas comme celui là, il faut faire un peu de tcpdump de chaque côté pour comprendre ce qu'il se passe ...
En effet, cela englobe les 3 réseaux !!
Plus besoin de tunnel !! (Elle est pas belle ...)
Si le ping fonctionne c'est que les tunnels sont montés et fonctionnent tout à fait bien. Le problème est donc ailleurs ...
Attention, pour logger un peu, certains services font un reverse dns avant de répondre : cela peut prendre bien une minute ...
Dans un cas comme celui là, il faut faire un peu de tcpdump de chaque côté pour comprendre ce qu'il se passe ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par gunsnroses » 22 Août 2007 09:48
Merci beaucoup,
j'ai supprimer le second vpn entre green et orange, puis modifier le vpn green-green comme vous me l'aviez conseiller en mettant en lien 192.168.1.0/255.255.255.0 (ipcop1) et 192.168.0.0/255.255.0.0 (ipcop2).
Le tout fonctionne très bien, je peux acceder au serveur web de la DMZ par son IP ou par son url ce que je cherchais à faire.
Encore merci à tous pour votre aide.
j'ai supprimer le second vpn entre green et orange, puis modifier le vpn green-green comme vous me l'aviez conseiller en mettant en lien 192.168.1.0/255.255.255.0 (ipcop1) et 192.168.0.0/255.255.0.0 (ipcop2).
Le tout fonctionne très bien, je peux acceder au serveur web de la DMZ par son IP ou par son url ce que je cherchais à faire.
Encore merci à tous pour votre aide.
-
gunsnroses - Major
- Messages: 78
- Inscrit le: 16 Juin 2005 15:45
- Localisation: La Flèche
par jdh » 22 Août 2007 10:14
Cela fonctionne !
Pourquoi pas.
Néanmoins, je persiste à dire que le réseau 192.168.0.0/255.255.0.0 englobe 192.168.2.x et 192.168.5.x mais aussi 192.168.1.x ..... ce qui est TOTALEMENT illogique.
La logique d'Ipsec c'est de créer UN tunnel entre 2 réseaux DIFFERENTS. Je peux admettre qu'on "fusionne" 2 réseaux en 1 seul en jouant sur le masque. Par exemple 192.168.0.0/255.255.252.0 permet de "fusionner" 192.168.0.x, 192.168.1.x, 192.168.2.x et 192.168.3.x. Mais le réseau "left" et le réseau "right" d'Ipsec DOIVENT (DEVRAIENT ?) être différents au sens ip.
Ma préférence irait à créer autant de tunnels que de "zones" : si un IPCOP dispose de zones Green+Orange, il faut 2 tunnels. Cela est LOGIQUE. J'aimerais l'avis d'habitués d'IPCOP ...
Je peux imaginer que ceci peut fonctionner :
Green1 (192.168.1.x) - IPCOP1 - Internet - IPCOP2 - Green2 (192.168.4.x) + Orange (192.168.5.x)
avec "left" = 192.168.1.0/255.255.255.0 et "right" = 192.168.4.0/255.255.252.0
(là "left" EST différent=disjoint de "right").
Il est clair que, dans le futur, AMHA il y aura des problèmes dont on ne comprendra pas l'origine. (D'ailleurs le ping en fonctionnant indiquait que le problème était ailleurs).
Pourquoi pas.
Néanmoins, je persiste à dire que le réseau 192.168.0.0/255.255.0.0 englobe 192.168.2.x et 192.168.5.x mais aussi 192.168.1.x ..... ce qui est TOTALEMENT illogique.
La logique d'Ipsec c'est de créer UN tunnel entre 2 réseaux DIFFERENTS. Je peux admettre qu'on "fusionne" 2 réseaux en 1 seul en jouant sur le masque. Par exemple 192.168.0.0/255.255.252.0 permet de "fusionner" 192.168.0.x, 192.168.1.x, 192.168.2.x et 192.168.3.x. Mais le réseau "left" et le réseau "right" d'Ipsec DOIVENT (DEVRAIENT ?) être différents au sens ip.
Ma préférence irait à créer autant de tunnels que de "zones" : si un IPCOP dispose de zones Green+Orange, il faut 2 tunnels. Cela est LOGIQUE. J'aimerais l'avis d'habitués d'IPCOP ...
Je peux imaginer que ceci peut fonctionner :
Green1 (192.168.1.x) - IPCOP1 - Internet - IPCOP2 - Green2 (192.168.4.x) + Orange (192.168.5.x)
avec "left" = 192.168.1.0/255.255.255.0 et "right" = 192.168.4.0/255.255.252.0
(là "left" EST différent=disjoint de "right").
Il est clair que, dans le futur, AMHA il y aura des problèmes dont on ne comprendra pas l'origine. (D'ailleurs le ping en fonctionnant indiquait que le problème était ailleurs).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
12 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité