connexion impossible au VPN d'IPCop avec ssh sentinel

[Mickaelhof]

Bonjour,

je suis actuellement en stage dans un groupe scolaire. Le groupe est composé de 2 Lycées. Mon projet est de mettre en place un VPN entre les administrations de ces 2 Lycées. Un accès pour quelques postes nomades doit également être prévu. J'ai donc choisi la solution IPCOP.

Avant de commencer mes explications, j'ai juste une petite question d'ordre générale: pourquoi dans beaucoup de tuto parlant de vpn sur ipcop est-il nécessaire d'ajouter zerina/openvpn alors qu'IPCop possède déjà un module VPN?? qu'apporte zerina par rapport au module vpn de base d'IPCop???

Bref j'ai donc choisi d'utiliser le module VPN de base d'IPCop que j'ai configuré avec le "fameux" Newbie Kit, ce tuto est vraiment super bien fait!
J'avais donc réalisé tout d'abord une maquette de test avec 2 IPCop 1.4.21 connectés directement entre eux avec un câble croisé (adressage en 10.0.0.0/255.255.255.0 sur les interface rouge), et un adressage différent sur les 2 interfaces vertes (192.168.1.0/24 et 192.168.2.0/24). J'ai donc mis en place le vpn en place (sans openvpn) avec le tuto cité plus haut, le logiciel client est ssh sentinel, le vpn fonctionnait parfaitement, tant en mode roadwarrior qu'en mode réseau à réseau.

Je me suis donc lancé dans la mise en place du premier firewall sur le premier site. J'ai passé le modem/routeur présent en mode Bridge. La connexion Internet fonctionne parfaitement. Je me suis ensuite lancé dans la configuration d'un vpn en mode roadwarrior... et là problème!
Il m'est impossible, depuis un poste nomade avec ssh sentinel de me connecter sur le vpn créé précédemment... j'obtiens un message d'erreur du type : erreur phase 2, vérifier vos paramètre IPSec... Si vous avez une idée sur ce problème ce serait super sympa de m'aiguiller!

Merci d'avance!

[ccnet]

pourquoi dans beaucoup de tuto parlant de vpn sur ipcop est-il nécessaire d'ajouter zerina/openvpn alors qu'IPCop possède déjà un module VPN??

Si on laisse le douteux pptp de côté, il existe actuellement deux technologies vnp disponibles. Elles sont de construction fort différentes et incompatibles. Ce sont les vpn SSL et les vpn Ipsec.
Je n'ai pas le temps de vous détailler les différences entre les deux, c'est relativement long et complexe si l'on veut être un peu complet.
Le "vpn de base" d'ipcop est un vpn Ipsec, bien adapté au liaison site à site (entre deux ipcop par exemple). De mémoire il n'existe pas de bon client Ipsec gratuit pour Windows. Il existe de nombreuses solutions commerciales Ipsec, à commencer par Cisco.
La solution "Zerina" est une solution de type SSL. Zerina est basé sur Openvpn. Il est très aisé et efficace de connecter des clients nomades à un réseau distant avec Openvpn (ou Zerina si l'on utilise Ipcop). Pour le vpn en mode road warrior, postes nomades, je vous conseillerai vivement la solution Zerina et son client pour Windows (Win 95 à Vista) disponible sur http://www.openvpn.se/

j'obtiens un message d'erreur du type : erreur phase 2, vérifier vos paramètre IPSec...

Toutes les joies d'ipsec ! Problème IKE, c'est à dire dans la négociation des clés, dans l'échange des paramètres entre les deux extrémités ... Bon courage !

Ayant décidé d'être bref je n'ai répondu qu'à votre première question qui est néanmoins assez essentielle. Vous trouverez sur internet de nombreuses informations pour comprendre en détail le fonctionnement des deux familles de vpn. Pour répondre à une question, avant que vous ne la posiez, il n'y a pas de différence radicale sur le plan de la sécurité, à votre niveau, entre ssl et ipsec. En existe t il vraiment une ? Il a été longtemps de bon ton de dire que ipsec était le plus sûr. Pourtant SSL v3 sécurise le web aujourd'hui. Bruce Schneier, qui sait de quoi il parle, pense qu'ipsec est ce qu'il y a de mieux mais que ce protocole est trop compliqué pour être vraiment sûr. Mieux vaut une solution, bien maitrisée avec SSL, qu'une mauvaise mise en œuvre avec ipsec qui est fort complexe.

[Mickaelhof]

Merci pour votre réponse!
donc en gros vous me conseillez de mettre en place Openvpn? Au niveau des performances, y-a-t-il une différence entre l'utilisation du protocole IPSec et SSL??

[ccnet]

Oui, c'est à dire Zerina sur Ipcop. La surcharge protocolaire du vpn SSL est plus faible.

[Mickaelhof]

Ok, je vais mettre en place Zerina sur mon IPCop. Je vous tiens au courant! encore merci!

[jdh]

A mon tour de répondre !


Bonne démarche que de faire une maquette !


* choix d'IPCOP :
Il est étonnant de choisir IPCOP avant d'avoir compris exactement quel VPN est adapté, qu'est ce que le vpn d'IPCOP, qu'est ce que Zerina, ...

IPCOP est une solution simple, il en existe d'autres. (J'en préfère une autre désormais).


* famille de VPN :
Il existe les VPN Ipsec et les VPN ssl.

Le VPN Ipsec présentent des contraintes d'utilisation parfois gênantes. (principalement : pas de client roadwarrior gratuit et nat transversal ?).

Le VPN ssl est typiquement OpenVPN (Zerina est le nom du package apportant OpenVPN sur IPCOP). Le client roadwarrior free est disponible et OpenVPN se joue des routeurs NAT.

* implantation avec IPCOP :
Le problème évoqué est typique de Ipsec sur Ipcop : le client (ou le serveur) supporte-il le nat ? Je suppose que l'essai roadwarrior s'est déroulé au travers d'une box en mode routeur ! (aurait gagné à être précisé)

Par ailleurs, Zerina supporte le net2net que dans les versions les plus récentes mais beta. (je peux me tromper).

Il peut être judicieux d'utiliser un vpn différent selon le cas : Ipsec de site à site (modems en bridge), et Zerina pour les roadwarrior ...