VPN - Router les paquets par un serveur VPN dans le VERT

[ANexus]

Bonjour,

Je viens de finir d'installer un serveur ipcop chez moi.

il est configuré comme cela

VERT : 192.168.1.1
ROUGE : 192.168.0.1

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.2 0.0.0.0 UG 0 0 0 eth1

J'ai un serveur Windows (192.168.1.11) avec une connexion VPN sur un autre site 192.168.2.0.

Les utilisateurs ont comme passerelle l'ip du serveur IPCOP VERT 192.168.1.1

Comment pourrais-je faire pour qu'un pc lambda sur mon reseau VERT puisse arriver a pinger le site distant ?

Je pensais à ceci :
Faire sur le pc ipcop une route de 192.168.2.0 en passant par la gateway 192.168.1.11 en masque /24
Ne faudrait -il pas rajouter une route sur le windows egalement ?

Auriez vous la commande route add pour créer cette route ?

Merci de vos lumières et de vos réponses,
Stéphane

[Franck78]

Salut

C'est quand même plus simple de prendre la bonne route dès le départ.
Prévoit pendant l'installation de ton client VPN l'ajout de la route qui va bien.
Ou utilise le logon script du domaine si il y en a un.

Faire une détour par l'IPCop pourrait poser des problèmes à des clients tcp/ip mal écrits. Autant éviter

bye

[ANexus]

Merci de ta réponse rapide.

Tu voudrais dire que sur chaque poste utilisateur je devrais mettre la route vers le 192.168.2.0

J'ai rajouter ceci directement sur mon poste Windows XP

Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
192.168.2.0 255.255.255.0 192.168.1.11 192.168.1.15 1

Mais je ne peux toujours pas pinger le 192.168.2.1
Voici ce que j'obtiens quand je fais un tracert

Détermination de l'itinéraire vers 192.168.2.5 avec un maximum de 30 sauts
1 <1 ms <1 ms <1 ms serveur [192.168.1.11]

Il passe bien par le serveur en tout cas.

Faut il rajouter aussi une route sur le serveur windows ?

Merci,

[DWAM2]

Salut

2 solutions :
- ajouter la route sur IPCop (qui, soit dit en passant, n'est pas un serveur, mais un routeur firewall)
- ajouter la route vers 192.168.2.0/24 sur TOUS tes postes clients du GREEN

Ton serveur Windows possède déjà cette route, puisqu'il en est la passerelle... (Vérifier s'il est nécessaire d'activer le routage IP pour un VPN, j'ai jamais essayé)

Pour ajouter la route sur tes clients GREEN :
- soit à la mimine, poste par poste (pas super, difficile à maintenir...)
- soit par le biais du DHCP du serveur NT (pas le DHCP IPCop !!!!)
- soit par le biais du script de logon, comme le suggère Franck, à condition que le serveur soit controlleur du domaine avec les GPO qui vont bien et que les users ouvrent effectivement une session sur CE serveur et non pas localement sur leur propre poste.

Ma préférence : gérer TOUTES les routes en un seul point d'administration > la passerelle par défaut : IPCop

Guillaume

[DWAM2]

Argh ! j'avais commencé à écrire avant que tu ne postes toi-même ta réponse à Franck...
Bref...

Mais je ne peux toujours pas pinger le 192.168.2.1

Que donne un ping depuis le serveur ? Ca marche non ?
Si oui, alors ça doit venir du routage IP qu'il faut activer sur ton serveur sur l'interface virtuelle du VPN.

C'est quel type de VPN ? PPTP ?

[jdh]

Ce schéma n'est ni logique ni sécurisé.

Il n'est pas logique d'avoir "deux" sorties.
Il n'est pas sécurisé d'avoir d'un côté un IPCOP (et toutes ses possibilités de filtrage) et de l'autre un (malheureux) Windows XP.


En effet, l'IPCOP doit être la passerelle (par défaut) des PC en Green. Si, sur l'IPCOP, il y a une route vers le réseau 192.168.2.x (voir man route car la syntaxe est très légèrement différente entre Windows et Linux), les PC en Green aura accès et à l'extérieur et à ce réseau 192.168.2.x.



(Néanmoins, il serait bon que ce "VPN" soit directement géré à partir de l'IPCOP).

[DWAM2]

Néanmoins, il serait bon que ce "VPN" soit directement géré à partir de l'IPCOP

Absolument ! Mettre en place un VPN IPSec serait une bien meilleure solution...

jdh : que veux-tu dire par "logique" ? En quoi ce serait logique ou non... C'est souvent une nécessité sur des réseaux soit hétérogènes, soit datant un peu, soit très complexes...

anexus : on est bien d'accord qu'il s'agit d'un SERVEUR avec un OS Server (NT, W2K, 2003) et pas d'une workstation faisant office de serveur avec un OS client ?

[jdh]

Windows Serveur (2K3) ou Windows Xp : quelle différence en terme de sécurité (ou de firewall) ?

On peut supposer un VPN de type PPTP. Ce qui n'est pas adapté à un VPN "longue durée". Je veux dire que PPTP est OK pour un accès momentané à un réseau.


La logique c'est qu'un réseau n'est qu'une "sortie". Cela est plus simple à sécuriser.

[DWAM2]

Ce n'est pas en terme de sécurité qu'il y a une différence (quoique...) : c'est en terme de capacité à agir comme passerelle, à faire du routage sans limitation de connexions simultanées et justement en s'intégrant dans une logique de sécurité et d'accès utilisateurs définie au niveau du domaine (ou au pire d'un serveur autonome)...
Du temps d'NT4, seuls les serveurs pouvaient être des passerelles (routage IP)

Bien sûr, une seule sortie est plus simple à gérer, mais avec les dual voire triple wan à la mode en ce moment, les connexions site à site en frame relay ou hertziennes ou rnis, les architectures successives (empilées ou juxtaposées) de réseaux établis dans les années 80 ou 90, etc... il est quand même fréquent de devoir gérer plusieurs "sorties" sans forcément pouvoir tout mettre sur IPCop...

[jdh]

Je dis non au 2 affirmations.

* Aucun Windows (NT, 2K, XP, 2K3) n'assure de base le moindre filtrage d'une zone interne vers une zone externe. Je ne vois pas plus de limitation de traffic dans le même sens. Il n'y a donc aucune différence entre ces Windows. Il ne faut pas confondre la limitation en partage des workstations et une capacité à router du trafic.

* Plusieurs sorties : en principe, un PC n'a qu'une passerelle par défaut, la passerelle par défaut peut disposer de routes vers tous les réseaux possibles via d'autres passerelles. J'ai eu à gérer plusieurs passerelles (niveau national, accès Internet, niveau international, lien vers un autre réseau international), j'ai ajouté le plus de firewalls possibles.

Les doubles ou triples sorties Internet n'ont pas à être visibles par le réseau interne. De toute façon IPCOP est limités en nombre de zones (R+O+G+B+V), faut bien que ça serve à quelque chose les cartes multi-interfaces.

(Je n'ai relié en tcp/ip qu'à partir de 95, d'ailleurs tcp/ip, bien que présent antérieurement, n'a été vraiment adopté par Microsoft qu'avec Windows 95. Le filtrage, à cette époque, est nul ou n'existait pas, sans compter la méconnaissance de la rfc1918 ! J'ai même connu les "demis-bridge" à la mode ibm et les mix token-ethernet !)

[DWAM2]

Je dis non au 2 affirmations.

Ca commence mal ! ;o)

Déjà, pour moi, routage et filtrage sont 2 choses différentes, aujourd'hui indissossiables évidemment, complêtement imbriquées, mais c'était pas vraiment le cas y'a 10/12 ans... A l'époque on cherchait à interconnecter avant tout, la sécurité sur le traffic n'est vraiment devenue une préoccupation majeure que vers 1998/99 en gros... Les premiers Cisco 1601 n'avaient même pas de firewall intégré, il me semble....
Bref, on peut théoriquement router sans filtrer et/ou aussi filtrer sans même router (localhost)

Aucun Windows (NT, 2K, XP, 2K3) n'assure de base le moindre filtrage d'une zone interne vers une zone externe.

Depuis NT4 Server, il est possible de filtrer les ports et protocoles transmis au serveur et ce, par interface... Dans le cas d'une passerelle, il est donc possible de filtrer du LAN1 à l'interface 1 et dans l'autre sens, du LAN2 à l'interface 2... C'est basique, sommaire, mais c'est du filtrage...



En faisant cette capture sur un de mes très vieux serveurs toujours sous NT4 (!), je m'aperçois qu'il y avait même déjà un filtrage spécial pour le PPTP !

Par ailleurs, la fonction de "routage ip" (avec RIP) n'était proposée que sur les serveurs.

Par contre effectivement ces fonctions n'étaient pas implémentées sous les OS client (Win9x, NT4 Pro), ça c'est exact.

Il ne faut pas confondre la limitation en partage des workstations et une capacité à router du trafic.

C'est vrai, mais dans le cas présent, la passerelle est aussi le serveur. On peut donc présumer que les utilisateurs distants utilisent la passerelle justement pour accéder au serveur et à ses partages en même temps que les users locaux, auquel cas le détail peut être important fonction du nombre de users...

Pour en revenir au problème d'Anexus, je pense qu'il faut passer par là :

Dans les propriétés de la connexion PPTP sur le serveur/passerelle...

Et bien sûr vérifier que le routage soit cohérent sur l'autre site

Guillaume

[ANexus]

Merci, Merci pour toutes ces réponses,

J'ai eu un peu de mal à me connecter étant donné que je ne suis pas chez moi.

@DWAM2

on est bien d'accord qu'il s'agit d'un SERVEUR avec un OS Server (NT, W2K, 2003) et pas d'une workstation faisant office de serveur avec un OS client ?

Il s'agit effectivement d'un Windows Serveur 2003 R2 et le VPN est de type L2TP IPSEC avec une protection, non pas par certificat mais par cléf prépartagée.

C'est sûr que le meilleur moyen serait de mettre la connexion au VPN par le serveur IPCOP en utilisant "RVP" (ci je me trompes pas).
En lisant la doc admin d'IPCOP le détail sur el VPN est en corus d'écriture, j'ai essayé de m'y connecter en trifouillant un peu les options mais je n'ai pas réussi à établi de connexion.

Sauriez vous comment connecter IPCOP sur le réseau en VPN de l'autre site 192.168.2.0 ?

Sinon @DWAM2 j'avais bien essayé ta solution

Mais quand j'ai activé les cases il me forcait à être en 192.168.0.1 alors que son IP est 192.168.1.11.

Encore merci à vous pour vos réponses,
A bientôt .

[DWAM2]

Salut

oui cette screencap n'était valable que pour un VPN PPTP (notre hypothèse à jdh et moi), ce qui n'est pas ton cas...

Depuis ton serveur peux-tu pinguer ton réseau distant ?
As-tu ajouté la bonne route sur IPCop ?
Que donne un "route print" sur ton serveur ? la route pour le réseau distant est-elle présente ?
Ton VPN est-il bien de type Net2Net (réseau à réseau) ou est-ce uniquement une connexion d'un client (ton serveur) à un réseau ?

Théoriquement, il doit être possible de monter un VPN IPSec entre un IPCop et un serveur 2003... Je ne l'ai jamais fait... De toutes façons, il faudrait déjà plus d'infos sur les équipements des 2 sites, notamment sur les éventuels routeurs et modems (bridge ou pas) impliqués...