IPCOP en tête de réseau opérateur

[Oizo]

Bonjour tout le monde,

J'ai un soucis avec IPCOP en passerelle par défaut:
Mon réseau est constitué d'un VPN opérateur reliant 8 sites + le siège et d'une sortie Internet sur le siege.
En toute logique mon IPCOP est donc ma passerelle par défaut et j'ai indiqué mon routeur VPN opérateur du siège en passerelle pour les autres sites.
Mon problème est que les machines du siège accèdent bien aux autres sites mais que si une machine d'un autre site essaie d'accèder à une machine du siège sans que la machine du siège ai préalablement fait un ping ou une autre solicitation alors la ça ne marche pas...

En + clair peut etre:

Ping Machine site distant -> Machine siège = echec, sauf si peu de temps avant ou pendant la machine du siege ping la machine du site distant.

Le probleme ne se pose pas si j'utilise mon Routeur VPN Opérateur par défaut, mais la j'ai d'autre problème dans ce sens la... Bref je ne trouve pas de solution miracle à part pour le moment de pinger régulièrement les machines des autres sites ce qui est un peu "lourd" et impossible à faire depuis toutes les machines du siège!

Mon IPCOP : 1.4.16 avec les dernières versions de ADVProxy, URLFilter et Update accelerator proxy transparent sur green en detection d'intrusion activée.

J'espère avoir été clair et que quelqu'un saura m'aiguiller vers une solution.

[Franck78]

C'est parceque mettre en passerelle par défaut (ici IPCop) une passerelle qui n'est pas directement sur le LAN ou se situe la machine client n'a pas de sens.

Je sais pas comment est organisé ton montage, cependant il est très probable que chaque site possède son numéro de réseau IP. Donc la passerelle 'est' la machine faisant le VPN.
A charge pour elle d'effectuer le routage correct.

[Oizo]

Hum ta réponse me fait dire que je n'ai pas été clair!

Sur l'ensemble des sites la passerelle par défaut est bien le routeur VPN opérateur, le probleme ne se pose que sur le siège ou la j'ai deux passerelle potentielle : L'ipcop et le routeur VPN, actuellement l'ipcop n'est utilisé que par le siège pour l'accès internet car je dispose d'une autre sortie ailleur mais sans proxy ni filtrage... c'est pourquoi à terme l'ensembles des sites devra sortir par l'accès du siège.

Si je met comme passerelle par défaut le routeur VPN alors se pose le problème des VPN que j'ai créé avec l'IPCOP, je n'ai pas la main sur les routeurs du VPN opérateur donc je ne peux pas rajouter de routes...

Voila pour les précisions...

Si tu veux je peux éventuellement poster un shéma...

[Franck78]

Hum ta réponse me fait dire que je n'ai pas été clair!

Si tu veux je peux éventuellement poster un shéma...

Oui car imaginer un montage à partir de quelques indications est fatiguant. Et souvent faux.
Donc même simplifié, oui un petit schéma

[Oizo]

----------------@LAN--------Ip routeur VPNop-------Sortie Internet-------------Défaut Gateway

Siege-------192.168.1.0-----192.168.1.254------IPCop:192.168.1.253------------IPCOP

Usine1------192.168.0.0-----192.168.0.254-----Routeur:172.19.26.130------Routeur VPNop
Usine2------172.19.26.0-----172.19.26.129-----Routeur:172.19.26.130------Routeur VPNop
Agence1----172.19.25.64---172.19.25.65-------Routeur:172.19.26.130------Routeur VPNop
Agence2----172.19.24.64---172.19.24.65-------Routeur:172.19.26.130------Routeur VPNop
Agence3----172.19.27.64---172.19.27.65-------Routeur:172.19.26.130------Routeur VPNop
Agence4----172.19.28.64---172.19.28.65-------Routeur:172.19.26.130------Routeur VPNop
Agence5----10.159.32.0-----10.159.32.254-----Routeur:172.19.26.130------Routeur VPNop


Actuellement seul le siège utilise IPCOP, les autres sites utilise la sortie Internet de l'usine2
Sur l'ensemble de mes sites les routeurs sont configurés (par l'opérateur) avec comme sortie Internet l'adresse IP Lan du routeur de l'usine2 sauf au siège ou la c'est l'IPCOP

En théorie donc au siège j'ai deux possibilité, utiliser le routeur de mon VPN opérateur comme passerelle par défaut ou mon IPCOP après lui avoir mis les routes vers mes autres sites.
Sauf que sur mon IPCOP j'ai aussi monté un VPN (LAN-LAN + Roadwarrior) donc je suis (presque) obligé d'utiliser mon IPCOP comme passerelle par défaut à moins de demander à mon opérateur de rajouter toutes les routes des VPN d'IPCOP sur mon Réseau VPN Opérateur.

Je sais que tout cela est un peu "étrange", cela a été mis en place avant mon arrivée par un opérateur dont je ne citerai pas le nom juste avant mon arrivée dans la boite, mais dans un futur plus ou moins proche l'objectif est de n'avoir qu'une sortie internet (au siège bien sur) et donc sécurisée par IPCOP.

Je pense avoir mieux expliqué mon réseau et que cela suffira à vous aiguiller vers une meilleure compréhension de mon probleme

[Oizo]

Je relance mon post en précisant que si mes explications sont incompréhensible il faut me le dire...
mais j'ai vraiment besoin de trouver une solution à mon problème...

A savoir pourquoi tant que une machine du siege ne 'ping' pas une machine distante, ladite machine distante ne peux pas acceder à cette meme machine du siège alors qu'apres plus de probleme mais seulement pendant un temps limité...

Merci pour toute l'aide que l'on voudra bien m'apporter!

[DWAM2]

Salut

sans rentrer dans ton cas spécifiquement (je suis trop naze pour ca - désolé), qq infos :

- il est possible/certain que la réponse de tes pings depuis le siège ne te reviennent pas à cause du routage prévu sur tes sites distants

- bien faire le point sur la gestion du RIP sur tous les routeurs impliqués dans ton infrastructure

- il te faut analyser hop par hop ce qui passe ou pas. Pour cela, je ne peux que t'indiquer une bonne adresse : http://poptop.sourceforge.net/dox/diagn ... ding.phtml
Bien que prévu pour un autre produit 'poptop', cette page propose de bonnes méthodes pour trouver les points de blocage avec tcpdump par exemple

En espérant que cela puisse t'aider...
Guillaume