Connexion VPN LAN + DMZ

par **antolien** » 06 Mai 2003 13:42

voilà la question, comment faire pour que la connexion vpn entre deux ipcop puisse joindre aussi bien les deux LAN et les deux DMZ ? [lan1]---[ipcop1]===vpn===[ipcop2]---[lan2] __l_________________________________l___ [DMZ1]--------------------------------------[DMZ2] 1: lan1<->lan2=ok 2: lan1<->dmz2 ? 3: lan2<->dmz1 ? voilà j'éspère que c'est clair. alors on a essayé, de créer une autre connexion avec les autres sous réseaux mais sans succès. on s'est dit que c'était un problème au niveau des adresses publiques qui sont les mêmes... donc on s'est dit qu'il fallait ajouter des routes statiques avec comme gateway ipsec0 ? mais là on bloque... au fait, on va donner comme exemple lan1=10.0.0.0/24 dmz1=10.0.1.0/24 lan2=10.1.0.0/24 dmz2=10.1.1.0/24 si quelqu'un à une idée ?

par **targa** » 06 Mai 2003 13:52

Je ne vois pas l'intérêt de créer un lien VPN entre 2 DMZ ?? Ce n'est pas la vocation d'une DMZ puisqu'elle est déjà accessible par tous.

par **antolien** » 06 Mai 2003 13:55

non, par exemple je n'ai que 2services accessibles de l'exterieur(ssh et smtp); or là nos dmz sont les serveur wins des lan, et autres. le vpn nous ouvrirait accès à tous les services comme en local...

par **remi** » 06 Mai 2003 13:58

Un ajout de route ne suffairait pas... Lan a pour paserelle IPCOP1 IPCOP1 a pour passerelle IPCOP2... Et inversement ....

par **antolien** » 06 Mai 2003 14:01

oui, et donc on pensait que en ajoutant les routes ipcop1 dmz2 ipsec0 ipcop2 dmz1 ipsec0 cela parraîssait suffisant, que proposez vous ?

par **tomtom** » 06 Mai 2003 15:45

Pourquoi ne pas essayer de passer tout le classe B dans le tunnel ? du genre right=10.0.0.0/16 et de l'autre cote right=10.1.0.0/16 ? A condition que tu n'utilises pas d'autres parties des classes B de part et d'autre, ca devrait fonctionner sans problème, non ? Thomas

par **antolien** » 06 Mai 2003 15:57

ce n'est pas un problème de sous réseaux, j'ai mis des adresses différentes de ce que nous avons. par contre il doit y avoir, comme rémi me l'a fait remarquer, un problème d'accès à la dmz. même si cela n'est pas visible dans les logs, il faudrait ajouter une règle pour autoriser les LAN distants à accéder à la DMZ. Or avec le GUI, je n'arrive pas à ouvrir une plage de ports, donc, il faudrait ajouter une règle iptables. tu n'aurais pas cette règle sous la main ? la flemme de réfléchir <IMG SRC="images/smiles/icon_lol.gif"> en tout cas j'éssaierai ça dès qu'il sera dispo et je vous tiens au courant

par **tomtom** » 06 Mai 2003 16:05

une règle pour laisser passer tout le traffic VPN vers la dmz (sur IPCop2) : iptables -I forward -i ipsec0 -d 10.1.1.0/24 -j ACCEPT avec ipsec0 ton interface vpn sur ipcop 2 bien entendu ! Cependant, il faudra bien definir à 1 moment cote lan 1 (sur IPCop1 donc) que le reseau 10.1.1.0/24 est de l'autre coté du tunnel, or je suppose que si tu as defini ton tunnel de manière standard, tu n'auras mis que le 10.1.0.0/24 , non ? Evidemment, il te faut la symetrique si tu veux faire l'acces à DMZ1 coté Lan2 ! Voila

par **antolien** » 06 Mai 2003 16:18

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-06 16:05, tomtom a écrit: une règle pour laisser passer tout le traffic VPN vers la dmz (sur IPCop2) : iptables -I forward -i ipsec0 -d 10.1.1.0/24 -j ACCEPT avec ipsec0 ton interface vpn sur ipcop 2 bien entendu ! Cependant, il faudra bien definir à 1 moment cote lan 1 (sur IPCop1 donc) que le reseau 10.1.1.0/24 est de l'autre coté du tunnel, or je suppose que si tu as defini ton tunnel de manière standard, tu n'auras mis que le 10.1.0.0/24 , non ? Evidemment, il te faut la symetrique si tu veux faire l'acces à DMZ1 coté Lan2 ! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> merci pour la règle <IMG SRC="images/smiles/icon_smile.gif"> En fait, j'ai ajouté la route manuellement sur ipcop1 afin qu'il passe par ipsec0(gw) pour joindre la dmz de l'autre côté, puis inversement. route add -net 10.1.1.0/24 gw ipsec0 donc maintenant il faut voir si c'est le firewall qui bloque ou bien s'il y a un problème de routage ou autre. mais j'ai confiance <IMG SRC="images/smiles/icon_biggrin.gif">

par **tomtom** » 06 Mai 2003 16:23

OK OK, je serai vraiment surpris si ça marche, car si les declarations des réseaux "au bout du tunnel" se font dans les fichiers de conf de ipsec, ce n'est pas pour rien à mon avis, masi bon on verra bien ça... Moi comme je t'ai dit je ne me serais pas pris la tête et j'aurais modifié directement dans le ipsec.conf pour mettre 10.1.0.0/16, comme ça tu es sur que ça passera <IMG SRC="images/smiles/icon_biggrin.gif"> Ca m'interresse tout de même si il suffit d'ajouter la route <IMG SRC="images/smiles/icon_rolleyes.gif">

par **remi** » 06 Mai 2003 16:24

ca m'interresse aussi, et l'idée du fichier ipsec.conf est pas mal... tiensnous au courant

Connexion VPN LAN + DMZ

Qui est en ligne ?