vpn entre deux classes reseaux différentes

[oblooblo2000]

Bonjour, j'ai installé la contrib de openvpn pour ipcop et cela marche très bien entre ma machine cliente 192.168.2.20 (carte wifi et 10.0.0.6 liaison vpn) et mon lan cote ipcop 192.168.52.0

Mon probleme est que je ne peux acceder a mon sme server qui necessite d'avoir des connection autorisé qu'avec les reseaux declaré (192.168.52.0 et non celui de la machine cliente 192.168.2.20 ou 10.0.0.6 je ne sais pas trop). Le probleme est le meme pour les stations clientes cote lan (XP avec parefeu autorisant les connections que'en provenance de reseau 192.168.52.0) Je n'ai pas envis de mettre le reseau 192.168.2.20 (ou 10.0.0.6) dans chaques regles...

Comment faire,
j'ai vu des regele du style
push "dhcp-option DNS 10.66.0.4"

ou push route 192.168.52.0

mais bon sans succes je suis un peu perdu et ne sais pas trop vers quelles doc me tourner pour trouver, vite, une solution a mon probleme !

Merci pour votre temps !

[oblooblo2000]

up
no idea ?

[jdh]

Je ne comprends pas "ma machine cliente 192.168.2.20 (carte wifi et 10.0.0.6 liaison vpn)" !


Avec OpenVPN (Zerina), quand un client (le PC lointain) se connecte à un serveur (l'IPCOP), il se passe :
- une adresse ip est attribué au client,
- une route est envoyée,
- un serveur dns/wins est indiqué.

Un serveur interne doit savoir atteindre le PC client, ce qui veut dire
- l'IPCOP est la passerelle par défaut,
- (ou le serveur a une route vers les adresses vpn via l'IPCOP, s'il y a une autre passerelle, cas rare !),
- les services fournis autorisent les adresses vpn.

Par exemple Apache utilise des lignes "allow from/deny from".

[oblooblo2000]

salut et merci de ta reponse,

@ carte wifi: 192.168.2.20
@ client vpn 10.0.0.6

Mon serveur ipcop m'attribue une adresse 10.0.0.6 !
Tu parles d'apache, justement mes ibay de sme serveur et mon reseau distant (entreprise) etant en classe 192.168.52.0 mes ibay sont inaccesible depuis le client vpn (je les trouve mais interdit de me connecter), de meme les parefeu des stations XP d'entreprises ne sont pas accessible via vnc du fait de la classe 192.168.52.0 differentes de celle du vpn !!

[DWAM2]

Salut

si tu veux pouvoir joindre les machines de ton LAN via OpenVPN, tu dois évidemment accepter sur celles-ci la plage IP (ou au moins l'ip de ta machine) configurée pour OpenVPN (que tu en aies envie ou non). Donc avec ton exemple, tu ajoutes le réseau 10.0.0.0 (ou juste le host 10.0.0.6) dans ton SME et tes postes XP pour que ceux-ci te considèrent comme faisant partie du réseau local lorsque tu utilises ta connexion OpenVPN pour les joindre.

Pour SME, c'est très clair :
Menu : Gestion des réseaux locaux

Par mesure de sécurité, plusieurs services du serveur ne sont disponibles que pour votre réseau local. Mais il vous est possible d'accorder ces privilèges d'accès local à d'autres réseaux en les ajoutant à la liste ci-dessous. Dans la plupart des cas, vous devriez laisser cette liste vide.

Sous XP, dans le pare-feu, tu dois passer en exception et "modifier l'étendue" des programmes et services que tu souhaites utiliser à distance... Ex : RDP, partages, VNC, etc...

Le problème n'a rien à voir avec les routes ou les options pushées par OpenVPN. Ton problème est un problème de sécurité...

Guillaume

[oblooblo2000]

salut et merci,
en effet, ta reponse me confirme ce que je redoutais ! Si tu as 100 clients xp avec parefeu a configurer ca craint !!
Il n'y a pas moyen de :
- soit mettre une meme classe d'adresse au clients vpn
- soit remplacer l'adresse du client au niveau d'ipcop vers l'adresse du lan
salut

[DWAM2]

Quand on a 100 clients XP, normalement on a les serveurs qui vont avec (2003 Serveur) pour pouvoir définir une stratégie globale et configurer les postes automatiquement, non ?

[oblooblo2000]

Qu'as tu contre les serveurs linux avec partage samba et ldap ?
Ma question est plutot générique !!

[DWAM2]

Absolument rien... je me sers également beaucoup de Samba mais ton exemple montre parfaitement l'intérêt d'avoir au moins un "vrai" serveur windows pour controler un parc de clients windows (surtout si important en nombre)...

[jdh]

Les derniers propos s'égarent COMPLETEMENT.

La question est : un réseau (interne) avec un serveur + un client vpn, que faut-il faire pour que le client accède au serveur ? (une question bien posée est à moitié résolue !)

Pour répondre à cette question, il y a 2 choses :
- le client VPN peut-il voir, au sens ip, le réseau interne ?
- le client peut-il acceder au service proposé ?

Pour la 1ere question, j'ai répondu "regarder les routes". Ce point là est-il OK ?

Pour la 2me question, je demande quel service ?

Il ne sert à de discourir si on ne sait pas quel service !

[oblooblo2000]

salut jdh, je ne vois pas pkoi tu penses que l'on s'égare ?

- le client VPN peut-il voir, au sens ip, le réseau interne ?
- le client peut-il acceder au service proposé ?

Pour la 1ere question, j'ai répondu "regarder les routes". Ce point là est-il OK ?
1/ Oui etant donné que j'arrive a attaquer les serveurs cote reseau interne et les clients XP toujours cote interne !


Pour la 2me question, je demande quel service ?
2/ apache,sql,ldap... pour mes serveurs sme (je n'ai qu'a rajouter le reseau vpn dans les reseaux "locaux")
3/ pour mes xp, principalement du partage netbios et du vnc pour maintenance (en rajoutant les adresses 10.0.0.6 dans les parefeu ca marche)

Donc pour en revennir a mon reel probleme, je ne veux pas modifier tous les parefeu des machines xp et meme rajouter des reseaux locaux a mes sme) je sais je suis $%#&! !


@ +

[DWAM2]

Bon si tu ne veux/peux pas reconfigurer tes clients XP et ton SME, il faut oublier IPSec et OpenVPN.

Reste alors comme solution d'installer dans ton LAN un serveur PPTP comme PopTop. Avec Poptop, on peut donner aux clients du VPN des ips faisant partie de son LAN, soit 192.168.52.0/24 pour toi.

Cela rêgle par défaut ton accès aux clients windows.
Il te faudra gérer une route supplémentaire vers ton SME sur ce serveur PPTP en indiquant ton IPCop comme passerelle (sur GREEN bien sûr).

Sur IPCop, tu devras faire un transfert pour GRE (protocole) et un transfert pour ton port PPTP (TCP 1723).
A noter : cela rendra impossible d'utiliser des VPN PPTP depuis ton LAN ou ta DMZ vers des serveurs PPTP externes.

C'est moins sécurisé qu'IPSec ou OpenVPN, mais pour de l'administration à distance, il est tjs possible d'activer/désactiver les transferts de ports en fonction des besoins...

Il existe d'autres solutions pour des serveurs PPTP (sous windows serveur et sous linux) mais je ne sais pas si elles permettent toutes ce fontionnement. J'utilise seulement Poptop sous CentOS. Par ailleurs, utiliser le service PPTP de ton SME n'est pas envisageable (sauf pour ton SME lui-même et uniquement).

+ d'infos : http://poptop.sourceforge.net/

Guillaume

[oblooblo2000]

salut et merci pour ta reponse !
Ca parrait un peu usine a gase apres, de plus j'aimes bien centralisé les elements ! J'avais pensé a du IP masquerade par exemple, et/ou alors pourquoi ne pas modifié le script zerina pour autorisé comme adresse celles du reseau interne! Se pose alors la question, est ce sécurisé ? Pourquoi les adresses se doivent d'etre différentes quant on ne veux pas séparé les services entre clients vpn et client reseau interne?