Question à propos de VPN

[Gemini59]

Bonjour,

J'ai trouvé ce forum en recherchant des tutos sur les vpns liés à Ipcop. Et aillant des soucis je me suis dit que vous seriez surement m'aider

J'effectue un stage dans le cadre de ma licence, et mon premier objectif est de sécuriser le réseau de l'extérieur, chose que j'ai faite avec ipcop. Ensuite il m'a été demandé de mettre un vpn en place afin qu'un employé puisse travailler de chez lui et la je suis paumé, je ne connais pas bien les vpns (Réseau c'est pas mon cours préféré bref), Je me documente et finit pas choisir Zerina avec Ipcop...

Un petit dessin avant de poser mes questions:



Alors voila j'ai mis le parefeu de la livebox au minimum, configurer la DMZ de la livebox sur Ipcop, aucun soucis niveau communication avec l'extérieur tout va bien. J'ai configuré zerina (suivant 2/3 tutos). Lorsque j'exporte fichier de config pour pouvoir accéder au vpn :

#OpenVPN Server conf
tls-client
client
dev tun
proto tcp
tun-mtu 1400
remote 192.168.2.2 1250
pkcs12 stef.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server

J'installe OpenVpn sur mon pc (xp pro), je me connecte par wifi, je lance mon vpn et j'ai accès au réseau, je ping mon serveur qui me répond, super. Le soucis est lorsque je rentre chez moi, je remplace remote 192.168.2.2 par l'adresse publique pour une connexion à distance, je reste bloquer sur la tentative de communication TCP...

Mes questions,

1)Cela va paraitre bête mais y'a t'il un moyen de tester un vpn avec une même connexion internet, un test chez soit le soir c'est bien mais si ça ne fonctionne pas, je dois attendre le lendemain pour changer quelque chose?

2)J'ai cru comprendre aujourdh'ui en cherchant qu'il ne fallait pas deux même réseaux, le réseau 192.168.1.0 de ma livebox à domicile poserait t-il un problème avec le réseau interne 192.168.0.0 de l'entreprise?

3)Qu'est ce qu'il ne pourrait aller vis à vis de ma configuration? Dois je utiliser un Vpn roadwarrior ou bien Vpn réseau à réseau? Si je dois utiliser un vpn RaR, n'y t'il pas moyen de mettre la DMZ de ma livebox vers mon pc pour etre en roadWarrior?

J'aurai pu tester tout cela mais en étant chez moi et ici, dans un soucis de temps je vous pose donc ces questions.

En vous remerciant d'avance pour vos réponses.

Gemini

[ccnet]

J'installe OpenVpn sur mon pc (xp pro), je me connecte par wifi, je lance mon vpn et j'ai accès au réseau, je ping mon serveur qui me répond, super. Le soucis est lorsque je rentre chez moi, je remplace remote 192.168.2.2 par l'adresse publique pour une connexion à distance, je reste bloquer sur la tentative de communication TCP...

Test douteux. Le vpn Zerina ne peut pas fonctionner depuis le lan.

Votre fichier de conf serveur est pour le moins curieux. Sauf modification la connexion est établie en UDP sur le port 1194. Dans votre fichier c'est TCP sur le port 1250.

1. Non
2. Oui possible
3. Vpn roadwarrior

Lisez plus attentivement les documentations.

[baalserv]

Bonjour,

Je pense que la lecture de ce site pourrai vous apporté des éléments permettant de mieux comprendre les Vpn : http://christian.caleca.free.fr/vpn.html

[Gemini59]

Je vais changer pour udp et tester ce soir...

Merci

[gemoussier]

A priori le WiFi est géré par la livebox en amont de l'IPCop, ce qui n'est pas (forcément) une bonne idée mais passons. Etant en zone rouge, la liaison VPN fonctionne et cela semble normal.

Comment est configurée la box de l'entreprise ? IPCop sur l'adresse DMZ, ou redirections de ports ?
Vérifiiez que les dyndns soient bien mis-à-jours.

[Gemini59]

La box est en DMZ sur ipcop. Pour dynDNS, il n'y à aucun soucis, j'ai même essayer l'ip directe

[ccnet]

Reprenons à la base. Selon votre schéma en début de ce fil, la seule et unique manière de se connecter correctement avec un client en vpn c'est bien avec le pc en haut à droite de votre schéma.
Ensuite assurez vous que vous utilisez la configuration standard pour un client nomade : UDP:1194. L'ip de destination du client sera l'ip publique de la freebox en face.
Les livebox doivent être aussi transparentes de possible, c'est à dire envoyez tout les trafic reçu vers l'interface RED d'ipcop.
La partie Orange, incluse dans la zone rouge devrait ne pas exister, et le wifi être désactivé sur la Livebox.
Lors de la configuration de Zerina, le numéro de réseau choisi pour le vpn doit être unique: ne pas déjà exister dans votre infrastructure.
Les packages clients vpn doivent etre générés avec l'interface web de Zerina en choisissant "Roadwarrior".

Tout le reste dans votre cas, rel_ve au choix, de la poésie ou de l'acrobatie. En particulier, vous ne pouvez faire aucun test depuis l'intérieur du réseau local en vpn, cela n'a aucun sens.