VPN Routage et sous réseaux

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN Routage et sous réseaux

Messagepar greg84 » 13 Jan 2009 11:28

Bonjour je suis depuis quelques jours fasse à un problème, nous avons cette configuration réseaux

Réseau A : 192.168.14.0/24 IPCOP A GREEN 192.168.14.254
Réseau B : 192.168.19.0/24 IPCOP B GREEN 192.168.19.254
Sous Réseau C : 192.168.5.0/24 IPCOP C RED 192.168.19.253

Shema

Réseau A <-> (IPCOP A) <-> INTERNET <-> (IPCOP B) <-> Réseau B <-> (IPCOP C) <-> Réseau C
|__________IPSEC0_________|

En fait je ne peux pas changer les adresses réseaux, un vpn fonctionne tres bien entre A et B, le reseau C accède à Internet au travers IPCOP C puis IPCOP B, le receau C accède donc bien au réseau A à travers le vpn.

PAr contre impossible que le réseau A accède au reseau C, les routes vers C n'existe pas sur IPCOP A.

J'ai essayé plusieurs chose sur IPCOP A
ip route add 192.168.5.0.24 via 192.168.19.253 dev ipsec0 mais j'ai un message d'erreur sur IPCOP car il ne peux pas communiquer avec 192.168.19.253.

Je peux pinger à partir d'un poste XP sur le réseau A l'adresse distante 192.168.19.253, j'ai donc essayé de rejouter une route sur le pc XP mais cela ne marche pas car 192.168.19.253 n'est pas sur le meme reseau que l'interface du pc xp.

Je suis dans le flou, j'ai fait des recherches sur INternet mais il y a un problème de routage que je ne sais résoudre.
J'espères avoir été le plus clair possible
greg84
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 30 Sep 2004 12:03

Messagepar ccnet » 13 Jan 2009 12:06

Le tunnel IPSEC est il bien entre réseau A et réseau B ? je ne suis pas certain de bien comprendre le schéma.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar greg84 » 13 Jan 2009 12:11

Oui le tunnel est bien entre le reseau A et B et il fonctionne, le réseau C est un sous reseau de B.
Merci
greg84
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 30 Sep 2004 12:03

Messagepar ccnet » 13 Jan 2009 12:29

Voyant votre adressage, le réseau C n'est pas un sous réseau de B. Ou alors les masques ne sont pas ceux indiqués. 192.168.19.0/24 et 192.168.5.0/24 sont bien deux réseaux distincts.

Le routage à mettre en place ne concerne pas seulement Ipcop A. Ipcop B doit savoir quoi faire des paquets venant de A et destiné à C. La route par défaut sur l'interface verte pour un ipcop c'est l'interface rouge de ce même ipcop et non un autre ipcop quelque part sur le réseau connecté à l'interface verte.

Vous avez certes un problème de routage. Mais surtout vous avez une architecture impropre (ce que j'appelle un réseau "tuyaux de poêle"). Dans une architecture correcte vous devriez passer tous vos flux par un dispositif central (j'emploie ce mot car ipcop ne me semble pas adapter à ce dont vous avez besoin) situé en B. Au passage si vous expliquiez le pourquoi des réseau B et C, peut être pourrions nous trouvez une solution. Voulez vous vraiment que tous les paquets venant d C qui arrivent sur B voient leur adresses ip translater avec l'ip de l'interface rouge d'ipcop C ? Un routeur entre B et C serait plus indiqué si vraiment vous deviez utilser une telle architecture.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar greg84 » 13 Jan 2009 13:51

Voyant votre adressage, le réseau C n'est pas un sous réseau de B. Ou alors les masques ne sont pas ceux indiqués. 192.168.19.0/24 et 192.168.5.0/24 sont bien deux réseaux distincts.


En effet vous avez raison

Dans une architecture correcte vous devriez passer tous vos flux par un dispositif central (j'emploie ce mot car ipcop ne me semble pas adapter à ce dont vous avez besoin) situé en B. Au passage si vous expliquiez le pourquoi des réseau B et C, peut être pourrions nous trouvez une solution. Voulez vous vraiment que tous les paquets venant d C qui arrivent sur B voient leur adresses ip translater avec l'ip de l'interface rouge d'ipcop C ? Un routeur entre B et C serait plus indiqué si vraiment vous deviez utilser une telle architecture.



En fait le reseau B est un reseau existant situé dans un grand batiment, le reseau C etait dans une autre ville et viens de déménager dans le meme batiment. En fait j'ai voulu garder le paramétrage des differents serveurs, pc, copieur du reseau C et ultiliser IPCOP C comme passerelle entre le reseau B et C. Cela m'evite de paramétrer tout les postes et les serveurs et je n'utilise plus qu'un abonnement ADSL celui du reseau B.
Tout fonctionne au niveau informatique pour le réseau C sauf quand nous essayons de nous connecter de A vers C.

Voyez vous une autre architecture qui peut corespondre mieux sans que je modifie trop tous le paramétrage du réseau C.
greg84
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 30 Sep 2004 12:03

Messagepar ccnet » 13 Jan 2009 14:44

Sans remettre en cause l'adressage d'origine un routeur ferait l'affaire. Pas idéal mais en attendant mieux ...

Une solution utilisant une autre firewall qui pourrait prendre en charge le travail de centralisation et traitement des différents flux serait souhaitable. L'utilisation de Vlan faciliterai le travail. Pfsense serait un firewall possible pour cela. Ce qui certain c'est que l'architecture actuelle va continuer à poser des problèmes.

En attendant avez vous tenté de mettre une route sur l'interface verte d'ipcop B pour lui dire d'envoyer le trafic destiné au réseau C vers l'interface rouge d'ipcop C (qui est celle connecté à B si j'ai bien suivi). La route retour de C vers B est la route par défaut sur ipcop C. C'est un peu bricolo mon idée, faire du routage avec ipcop ... mais si cela peut vous tirer d'affaire.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar baalserv » 15 Jan 2009 12:30

Bonjour,

Peut être que l'ajout d'une interface ''BLUE'' sur Ipcop B serai une solution simple ?

Seulement s'il est possible de monter un VPN vers ''BLUE'' en parallèle de celuis deja existant.


Lan A --- IPCOP A ---- INTERNET ---- IPCOP B --- Lan B (green existant)
............................................................ !> --- Lan C (blue)

Ce n'est qu'une idée

@+
baalserv
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 03 Mars 2006 23:26
Localisation: Pays Basque


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron