Ipcop zerina net2net 1 seule ip publique...

[ninothepooh]

Bonjour,
Je me présente, je m'appelle Antonino et je suis actuellement étudiant en troisième baccalauréat technologie de l'informatique.
Je poste ce message suite à une manipulation que nous n'arrivons pas, mes collègues de classe, et moi-même à résoudre.
Dans le cadre d'un laboratoire, nous devons créer un RPV et connecter 2 réseaux (avec IPCOP version 1.4.16) situé à 2 endroits différents (un a Namur et un a Charleroi). Pour cela, nous avons téléchargé l'addon ZERINA-0.9.7a14 (version alpha). Il nous a fallut tout d'abord modifier un peu le script pour pouvoir installer (sinon un message d'erreur apparaissait disant que nous n'étions pas sur ipcop 1.4.15). L'installation se fait par la suite sans problème et dans l'interface web d'ipcop, nous constatons les mêmes options que dans le tutoriel ci présent :
http://www.vpnforum.de/zerina/?q=docume ... to-net2net
Il nous est donc possible en théorie de connecter 2 réseaux via un RPV net2net.
Voici le problème : une seule adresse internet sur les 2 est publique. En effet, à Namur, nous possédons une ip directement connecter à internet mais a Charleroi, nous avons cette ip : 10.10.15.XX/24 qui passe par un firewall et proxy interne au bâtiment...
La question est donc : serait-il possible de connecter les 2 réseaux avec une ip publique et une ip non publique.
Merci d’avance pour votre collaboration.

[jdh]

Comme il n'est pas indiqué sur ce howto, il est nécessaire que les 2 extrémités d'un tunnel vpn se "voient" parfaitement.

Par exemple, un petit ping permet d'une extrémité ou de l'autre de vérifier la "connectivité". C'est un test de base. En fait l'idéal est de regarder si l'autre extrémité est à l'écoute sur le port prévu dans les fichiers de configuration. Usuellement le port utilisé pour OpenVPN est udp/1194.

Dans le cas indiqué, une extrémité a une adresse ip privée (et est donc derrière un firewall qui "natte" le trafic). Du point de vue de l'autre extrémité, le trafic sera présenté avec l'ip publique du firewall. Il est donc nécessaire que, sur le firewall, le trafic prévu (udp/1194) arrivant de l'extérieur (ou plus précisément de l'ip de l'extrémité avec ip publique) soit transféré vers l'extrémité d'ip privée et interne à ce firewall.

Un renvoi de trafic devrait en principe suffire à faire fonctionner ce vpn. (L'administrateur du firewall doit savoir faire).

[ninothepooh]

tout d'abord je tiens à te remercier pour ta réponse.
En fait, nous n'avons pas l'accès au firewall et donc impossible de redirigé les packet sur notre interface red (c'est dailleur notre principale problème). Y a t il une solution avec openVPN (meme sous un autre systeme d exploitation) qui nous pemettrai d'efectuer cette connexion ? Mon raisonnement est le suivant : un firewall doi permettre aux utilisaeur locaux d'accéder a internet mais aussi que les requetes leurs reviennes... donc si nous opérons lme serveur là ou nous avons l'ip publique et le client la ou nous vons l'ip non publique, serait il posible que les requetes passent par le firewall et revienne dans la onnexion locale ? ya a il un outil qui permette cela ?

[jdh]

Je me doutais un peu de cela !

Construire un VPN sans avoir la participation de l'administrateur du firewall me parait un peu scabreux.

Nul doute que, si cette expérience a de l'intérêt pour l'entreprise, l'école, ... l'administrateur aura à coeur de faire le renvoi nécessaire. Peut-être lui poser la question ?

[ninothepooh]

Et bien c'est une solution en effet ...
Nous allons donc tenter de négocier l'affaire avec l'administrateur.
Dans tout les cas, nous, les 3TIA, vous remerçions de votre concidération.

[ninothepooh]

L'dministrateur refuse malheureusement de nous ouvrir un port :s
Penser vous qu'un réseau roadwarrior fonctionnerai ?
si le serveur roadwarrior est initialisé la ou il y a une ip publique ?

[DWAM2]

Salut

Ca devrait marcher à condition évidemment de faire la config OpenVPN sur un port déjà ouvert sur ce fameux firewall.

Guillaume

[BoscO]

Tout cela m'a l'air bien compliqué et me fait un peu peur pour mon groupe la semaine prochaine !

Mais nino est-ce le firewall de charleroi ou celui de namur qui pose problème ?

[Franck78]

Dans le cadre d'un laboratoire, nous devons créer un RPV et connecter 2 réseaux (avec IPCOP version 1.4.16) situé à 2 endroits différents.......
La question est donc : serait-il possible de connecter les 2 réseaux avec une ip publique et une ip non publique.
Merci d’avance pour votre collaboration.

Un peu bizarre votre affaire. Etudiant, labo, ... en général un prof donne quelquechose de réalisable à faire. Et il est là pour aider
Remarquer en passant qu'un RPV entre deux réseaux n'est pas identique à un client unique roadwarrior lié en RVP....
Il [le prof] a l'air remarquablement absent, même pour allez voir l'admin du firewall....

Tout cela m'a l'air bien compliqué et me fait un peu peur pour mon groupe la semaine prochaine !

Mais nino est-ce le firewall de charleroi ou celui de namur qui pose problème ?

Bravo pour cette remarque excellente le bosco. Comme un cheveu sur la soupe. C'est un forum ici, pas un salon de 'chat'.


Alors la réponse à la question initiale est oui, on peut connecter deux réseaux même si l'un d'eux est caché derrière une IP privée. Et puisqu'il y transfert de d'IP (privé<->publique) sur un point du RVP, il faut prendre des mesures spécifiques connues sous le nom de NAT-traversal si vous choississez IPSec.


Bye

[ninothepooh]

Bonjour,
tout d'abord, je vous remercie une fois de plus pour votre attention.
il est vrai que le problème peu paraitre un peu flou. Voici donc le shema block que nous avons a réalisé.

nous avons installer ipcop dans les 2 sites (a namur et a charleroi). il nous est malheureusement impossible de créer une connection net2net car une seul ip publique. Nous serai-il donc possible de commencer a créer un réseau ou à namur, il y aurai un serveur roadwarior et a charleroi un client roadwarior et par la suite entré des route manuellement ?

Il est a noté que tout auter solution de migration vers un autre système (openvpn ou autre) est le bienvenu ; nous avons pensez a installer openvpn sur une autre machine et de configurer les route manuellement.

remarque : les professeur son catégorique : pas d ouverture de port pour redirectionner vers notre interface red ...
merci a tous .[/img]

[DWAM2]

Relier des réseaux avec une solution Road-Warrior n'est pas une solution "pro"... par définition...

Vous pouvez quand même essayer de vous en rendre compte par vous-mêmes :

- installez et configurez OpenVPN/Zerina sur l'IPCop de Namur
- créez un compte + certificat pour Charleroi

- installez et configurez le client OpenVPN sur un poste client à Charleroi
- lancez la connection

Si le port 1194 est bien ouvert sur le firewall de Charleroi, ca devrait marcher. Sinon, changez le port pour OpenVPN (serveur et client)

Guillaume

[ninothepooh]

oui en fait il y a une erreur sur le shema : du coté de charleroi, le firewall et proxy ne sont en fait qu'une seule machine et pour nous connecter sur internet, on nous a fournis une adresse de type 10.10.15.XX/24 (nous devons nous connecter sur le meme ranch d'adresse que le firewall et la passerelle et dns sont 10.10.15.150)... l'interface red de notre firewall proxy à l'adresse 10.10.15.86 et passe par le firewall de technofuture. L'ip que nous avons sur internet est différente, bien évidemment, de la 10.10.15.86. Le problème est que nous n'avons pas possibilité de natter d'un port du firewall principale de technofuture à notre adresse ip 10.10.15.86. Tout ce que l'on peu faire c'est émettre des requete de connexion et espérer qu'elles nous revienne mais actuellement, le problème dépasse notre entendement lol nous ne savons pas vers quoi nous dirigé pour le résoudre...





Un homme désespéré.

[Franck78]

remarque : les professeur son catégorique : pas d ouverture de port pour redirectionner vers notre interface red ...

les professeurs sont catégorique


A quoi bon perdre du temps alors? Ca ne rime à rien votre histoire. Ca ne se passe pas comme ca en entreprise. Il y a coopération pour atteindre un objectif. Enfin la plus part du temps

[ninothepooh]

Rebonjour.
Nous avons actuellement avancer dans le problème. Nous avons créer un serveur roadwarrior a namur et, à charleroi, sur la machine ipcop, nous avons lancer par ligne de commande la commande : openvpn nomdefichier.ovpn, lequel a été généré par un ajout de client sur le serveur roadwarrior a namur. La connexion s'accomplis. Nous somme donc connecter au réseau de namur et nous arrivons a pinger l'interface verte de la machine ipcop a namur ainsi que tout les client de namur mais seulement a partir du pc IPCOP. il y a toujour un problème : les client du réseau de charlerois n'arrivent pas a pinger les cient de namur. cependent, les client de charleroi arrive a pinger l interface tun de la machine ipcop a charleroi mais pas de celle a namur. existe t'il un moyen de créer les route soi même ? Nous avons ajouter des route panuellement avec la commande route add (nous avons dit que tout ce qui devai aller au sous reseau de namur passai par l'interface TUN0) mais les ping ne fonctionne quand meme pas
Pouvons nous ajouter quelque chose au niveau de la connexion pour ajouter les routes qui ne sont pas prisent en compte ?

merci pour vos réponses.

[mstotor]

il y a la posssiblité via le fichier config de faire du push route, c'est marqué dans la documentation de zerina, bref d'y commenter le DNS, les differentes routes à prendre pour avoir acces aux ressources distantes et qui seront directement mappées au client lors de la connexion