modification iptables pour openvpn zerina

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

modification iptables pour openvpn zerina

Messagepar vico_fr » 18 Avr 2009 12:34

Bonjour à tous,

Voila la situation, j'ai un ipcop sur un reseau local avec un acces vpn roadwarrior sur la patte rouge directement relié a internet. Le poste ipcop n est pas la passerelle par defaut du lan local.

Quand je me connecte en roadwarrior j ai bien acces à ipcop mais le lan local ne me repond pas (openvpn ne nat pas ma connexion roadwarrior vers le lan local il bridge juste la connexion).

J'ai donc ajouté une regle iptables pour nat ma connexion roadwarrior:

iptables -t nat -A POSTROUTING -o eth0 -s 10.244.103.0/24 -j MASQUERADE

le ping vers le lan local fonctionne désormais parfaitement mais cette manipulation est elle dangereuse, il n y a t il pas un moyen plus simple d'implémenter ou d automatiser cette règle iptables au niveau open Zerina?

j espère avoir été assez clair.

Merci d avance de vos remarques.

Vico
une patate sur la toile :)
vico_fr
Matelot
Matelot
 
Messages: 8
Inscrit le: 15 Jan 2008 17:18
Haut

Messagepar jdh » 19 Avr 2009 10:44

Y a-t-il suffisamment d'informations dans l'énoncé pour donner une piste, une réponse ? NON !


2 accès à Internet : Pourquoi 2 accès ? Pourquoi 2 firewalls ? Quel autre firewall ?

S'il y a un firewall "maitre", ne devrait-il pas gérer aussi le vpn ? ne devrait-il pas gérer TOUTES les routes ?

openvpn ne nat pas ma connexion roadwarrior vers le lan local
Quel serait l'intérêt ? (Cela est inutile). Pourquoi le réseau local ne devrait voir qu'une seule adresse pour tous les clients roadwarrior ?

Bref, un schéma, des adressages ip, des explications, de l'INFO !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar vico_fr » 19 Avr 2009 12:53

Un peu plus d info :

il y a 2 accès internet, l'accès principal est en 192.168.1.1 (routeur du FAI que l on ne gère pas, sert pour le surf internet) et l ipcop est en 192.168.1.254 avec une ip externe fixe qui gère 1 vpn site a site et des connexions vpn roadwarrior.

Vu qu il me restais une adresse ip externe fixe dispo dans une plage que l on loue je me suis dit que je gèrerai mieu les accès VPN si je suis en direct et non pas derrière le routeur du FAI (qui nous a déjà fait des surprises lord de demandes de configurations)

Je suis d accord pour dire que se n est pas la meilleur solution et que un seul acces internet avec de la redirection de port du routeur du FAI vers ipcop serai plus simple.

Pour revenir sur le problème de nat des clients roadwarrior, lorsque je ping depuis un client roadwarrior un poste du réseau local je n ai pas de réponse, car les poste du lan local (192.168.1.0/24) ne connaisse pas l adresse du réseau vpn (10.244.103.0/24) et ils renvois tous vers leurs passerelle par défaut, le routeur du FAI (192.168.1.1).

La NAT me paraissait etre la solution pour que les postes du lan local puissent répondre aux clients roadwarrior dans cette configuration là. De plus quel problème cela pose t il que le lan local ne voit qu une seul adresse pour les clients roadwarriors?

Après réflexion, l'ajout d'une route statique en plus sur les postes du lan local vers le réseau vpn roadwarrior (route add 10.244.103.0/24 gw 192.168.1.254) devrait suffire.
vico_fr
Matelot
Matelot
 
Messages: 8
Inscrit le: 15 Jan 2008 17:18
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron