IPCOP RPV - Routage pour Gateway Remote

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP RPV - Routage pour Gateway Remote

Messagepar Patrouni » 11 Déc 2009 18:02

Bonjour à tous,

j'ai monté un VPN (RPV) entre 2 IPCops 1.4.21 (via les interfaces RED : PPPOE IP FIXE)

green ipcop1: 192.168.0.254
green ipcop2: 192.168.1.254

tout va bien jusque là, les machines des 2 lans se ping et tout et tout ...

Ca se complique ici : sur le lan 2 (192.0.1.0/24), j'ai un routeur (192.168.1.200) qui permet d'atteindre un site via ls : 192.168.200.0/24

donc toutes les machines du lan 2 ont comme route spécifique :
192.168.200.0/24 Gateway 192.168.1.200 et ca marche nickel pour le réseau 2

j'aimerai atteindre depuis le réseau 1 le réseau 192.168.200.0/24 en passant par le VPN

pour cela il faudrait que je fasse : 192.168.200.0/24 Gateway 192.168.1.200 (ce qui n'est pas possible)

Or j'ai vu que c'est la def rule ipsec qui définie les réseaux source et dest du tunnel, donc ici uniquement possible traffic entre 192.168.0.x et 192.168.1.x

-1- Solution 1:
-----------------
De ce qu'on m'a dit; pour faire le routage 'plus loin', il me faudrait un VRAI tunnel avec L2TP/IPSEC
- IPSEC cripte le l2tp entre les deux ipcop
- L2TP lui encapsule le VRAI traffic entre les réseaux
- et là les 'routes' classiques marcheront...

ipcop et L2TP/IPSEC ? je ne sais pas si ça fait .... quelqu'un a la soluce ?

-2- Solution 2:
-----------------
???

Il y a forcément quelqu'un a déjà été confronté à ce genre de problème qui doit arriver souvent? Joindre un réseau depuis un réseau.

Merci pour vos réponses.
Patrouni
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Déc 2009 17:16

Messagepar ko08nz » 13 Déc 2009 19:15

Salut,

Pour résumer :
192.168.0.0/24 ( ipcop1 ) <--- IPSec ---> ( ipcop2 )192.168.1.0/24 --- Routeur --- LAN 192.168.200.0/24

Il faudrait ajouter des routes statiques :
ipcop1 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev ipsec0
ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev "green"
Routeur $ route ip 192.168.0.0 /24 192.168.1.200

Dans le fichier de conf : /etc/rc.d/rc.local, ajouter une règle pour qu'au prochain reboot, la route reste.

++
ko08nz
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Mars 2009 16:46

Messagepar Patrouni » 13 Déc 2009 23:58

Salut ko08nz,

ipcop1 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev ipsec0
=> OK

Routeur $ route ip 192.168.0.0 /24 192.168.1.200
=> ne serais-ce pas : route ip 192.168.0.0 /24 192.168.1.254

ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev eth0
=> ???
moi j'avais mis :
route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.1.200
dois-je supprimer ?


merci pour tes réponses !
Patrouni
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Déc 2009 17:16

Messagepar ko08nz » 14 Déc 2009 01:35

<--IPSec ---> ( ipcop2 )192.168.1.254/32 --- 192.168.1.200 ( Routeur ) 192.168.200.x/32 --- LAN: 192.168.200.0/24

Routeur $ route ip 192.168.0.0 /24 192.168.1.200
=> ne serais-ce pas : route ip 192.168.0.0 /24 192.168.1.254

Si, si !

ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev eth0
=> ???
moi j'avais mis :
route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.1.200
dois-je supprimer ?

C'est bon.
La router est bonne.
Tu n'as pas besoin d'ajouter la mienne.

++
ko08nz
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Mars 2009 16:46

Messagepar Patrouni » 14 Déc 2009 22:13

ko08nz,

Merci encore pour ton aide même si cela ne fonctionne pas :

<192.168.0.0/24 ( ipcop1 ) <--- IPSec ---> ( ipcop2 )192.168.1.0/24 --- Routeur --- LAN 192.168.200.0/24

Cela ne fonctionne pas et malheureusement pour moi, c'est normal...

et pourtant j'ai bien :
ipcop1 $ route add -net 192.168.200.0 netmask 255.255.255.0 dev ipsec0
ipcop2 $ route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.1.20
et sur le routeur Cisco : route ip 192.168.0.0 /24 192.168.1.254

les tables de routages sont bonnes aussi et ça ne passe pas car IPSEC est construit au départ (on définit les lan/subnet explicitement, ceux qu'on autorise en effet dans le tunnel). Dans mon cas seulement 192.168.0.x et 192.168.1.x. Je ne peux pas non plus jouer avec les Subnets car trop différents... j'ai déjà vu ce problème signalé et la seule réponse fut L2TP/IPSEC...
et ça sur un IPCOP, je ne sais pas faire.

Pourtant, je suis sur que cette mésaventure est déjà arrivé à quelqu'un qui a du trouver une solution...

à l'aide ^^
Patrouni
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Déc 2009 17:16

Messagepar Patrouni » 16 Déc 2009 22:50

Y'a personne qui saurait ?

:(
Patrouni
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Déc 2009 17:16


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron