VPN net to net (résolu)

par **mick.ch** » 30 Mars 2010 14:35

Bonjour,

J'essaie de mettre en place un VPN entre deux IPCop.

J'ai donc choisit : "Net to Net Connection status and control"

IPCop 1 :

Nom: Client
Act as: OpenVPN Client
Nom d'hôte ou IP locale du RPV: xxxxx.no-ip.org
Serveur/IP distant: yyyyy.no-ip.org
Sous-réseau local : 192.168.11.0/255.255.255.0
Sous-réseau distant : 192.168.1.0/255.255.255.0
OpenVPN Subnet : 10.10.91.0/255.255.255.0
Protocole: UDP
Port destination: 1195
LZO-Compression: NON Encryption: BF-CBC
MTU Size: 1400

IPCop 2 :

Nom: SSII
Act as: OpenVPN Server
Nom d'hôte ou IP locale du RPV: yyyyy.no-ip.org
Serveur/IP distant: xxxxx.no-ip.org
Sous-réseau local : 192.168.1.0/255.255.255.0
Sous-réseau distant : 192.168.11.0/255.255.255.0
OpenVPN Subnet : 10.10.91.0/255.255.255.0
Protocole: UDP
Port destination: 1195
LZO-Compression: NON Encryption: BF-CBC
MTU Size: 1400

La connexion reste fermée des deux côtés...

Pouvez-vous m'éclairer ?

par **fleib** » 30 Mars 2010 19:19

Quelle est ton architecture complete?

ADSL de chaque côté?

Quelle configuration a été faite sur chaque routeur? Routeur ou bridge? Redirection de port?

Quels sont les addons installés et les version d'IPCop et de Zerina?

En un mot, tu ne nous as pas fourni tous les details necessaires a comprendre ton probleme...

par **mick.ch** » 02 Avr 2010 11:53

Merci de ta réponse,

Quelle est ton architecture complète?

ipcop1-------net--------ipcop2

ADSL de chaque côté?

Sur IPCop1 c'est une ligne fibre Numéricable 100Méga
Sur IPCop2 pour l'instant c'est une livebox Pro 8Méga qui sera peut être remplacer si le débit n'est pas suffisant pour l'utilisation du VPN (Le client se connecte sur un serveur de fichiers, les fichier sont relativement gros AutoCAD entre 20 et 30 Méga par fichiers.

Quelle configuration a été faite sur chaque routeur? Routeur ou bridge? Redirection de port?

Les deux routeur (box) sont configurer pour tous rediriger vers les IPCop (DMZ) et sur les IPCop j'ai ouvert le port 1195 utiliser pour testé le VPN net to net.

Quels sont les addons installés et les version d'IPCop et de Zerina?

Addons : Zerina de chaque cotés. Version IPCop 1.4.21 et Zerina 0.9.7a14

J'espère avoir été un peu plus précis avec ces infos. En tout cas je ne vois pas, j'ai suivi ce tuto :
http://www.databrokers.net/opensource/ipcop/vpn-to-vpn-detailed-how-to.html

Merci

par **fleib** » 02 Avr 2010 12:02

Je n'en vois pas la mention, mais peut etre l'as tu fait: il faut ouvrir le port 1195/UDP sur chacun de tes routeurs et les rediriger sur l'interface RED de chaque IPCop.

Fais nous parvenir les logs de OpenVPN à l'essai d'une connexion.

Bon courage

par **BeM** » 02 Avr 2010 16:13

Bonjour,

Je suis un peu dans la même situation sauf que perso c'est open côté client... ce qui, au final, ne change pas grand chose !...

Avais tu déjà créé des clients "roadwarriors" ? car dans mon cas oui donc sous réseau openvpn roadwarrior = sous réseau openvpn n2n = open côté client...

Ce que j'ai du mal à comprendre, ce sont ces histoires de certificats... à priori quand on lit le tuto http://www.databrokers.net/opensource/i ... ow-to.html (qui doit être le seul) ça parait clair et pourtant...

Je viens d'essayer de créer un certficat N2N côté serveur, d'exporter le package et de créer mon client en utilisant "upload zerina net to net package"... c'est toujours open côté client mais toujours fermé coté serveur...

Par ailleurs, je précise routeur en mode bridge côté client et dmz -> ipcop créée côté serveur...

Je continue... et si quelqu'un s'est déjà un peu cassé les dents, aide bienvenue.

Read U

par **mick.ch** » 02 Avr 2010 16:18

Pour le port 1195 j'ai bien fait la redirection vers l'interface rouge de chaque IPCop.

Voici mon journal IPCop :

Diffie-Hellman initialized with 1024 bit key
00:13:35 OVPN_ACF WARNING: normally if you use --mssfix and/or --fragment, you should also set --t un-mtu 1500 (currently it is 1400)
00:13:35 OVPN_ACF Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
00:13:36 OVPN_ACF TUN/TAP device tun1 opened
00:13:36 OVPN_ACF /sbin/ifconfig tun1 10.10.91.1 pointopoint 10.10.91.2 mtu 1400
00:13:36 OVPN_ACF /sbin/route add -net 192.168.11.0 netmask 255.255.255.0 gw 10.10.91.2
00:13:36 OVPN_ACF Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
00:13:36 OVPN_ACF Local Options hash (VER=V4): '63e69e66'
00:13:36 OVPN_ACF Expected Remote Options hash (VER=V4): 'c7a667a4'
00:13:36 OVPN_ACF UDPv4 link local (bound): [undef]:1195
00:13:36 OVPN_ACF UDPv4 link remote: 90.48.131.114:1195
00:14:36 OVPN_ACF [UNDEF] Inactivity timeout (--ping-restart), restarting
00:14:36 OVPN_ACF TCP/UDP: Closing socket
00:14:36 OVPN_ACF /sbin/route del -net 192.168.11.0 netmask 255.255.255.0
00:14:36 OVPN_ACF Closing TUN/TAP interface
00:14:36 OVPN_ACF SIGUSR1[soft,ping-restart] received, process restarting
00:14:36 OVPN_ACF Restart pause, 2 second(s)

ça parle à quelqu'un?

par **mick.ch** » 02 Avr 2010 16:36

Oui j'ai également configuré le VPN en roadwarrior et cela fonctionne bien. J'upload le certificat et le copie dans le dossier config de openVPN de mes machines clientes sous Seven et la ça tourne bien. Mais pour ne pas m'embêter à devoir configuré sur tous les clients je voulais le mettre en place en net to net.

par **fleib** » 02 Avr 2010 17:24

Peux tu fournir aussi les logs cote client?

Pour ta propre securite, je te conseille de masquer tes IP publiques lorsque tu fourni le contenu des fichiers de log...

par **Stirner** » 02 Avr 2010 18:13

fleib a écrit:Pour ta propre securite, je te conseille de masquer tes IP publiques lorsque tu fourni le contenu des fichiers de log...

Pour ta sécurité également je me permet de te conseiller de fermer un 1711 ports ouverts sur ton IP...

par **fleib** » 02 Avr 2010 18:32

Merci pour cette préconisation, cela dit, je me connecte à travers la connexion ADSL de mon voisin (avec sa permission, bien entendu) et n'ai donc pas la main sur son routeur.

Pour ma propre sécurité, j'ai donc placé mon IPCop entre lui et moi... Avec aucun port ouvert en entrée...

par **mick.ch** » 06 Avr 2010 09:32

Voici les logs coté client:

OpenVPN 2.0.7 i386-pc-linux [SSL] [LZO] built on Apr 15 2006
15:42:02 openvpnserver Diffie-Hellman initialized with 1024 bit key
15:42:02 openvpnserver WARNING: normally if you use --mssfix and/or --fragment, you should also set --t un-mtu 1500 (currently it is 1400)
15:42:02 openvpnserver TLS-Auth MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
15:42:02 openvpnserver TUN/TAP device tun0 opened
15:42:02 openvpnserver /sbin/ifconfig tun0 10.49.67.1 pointopoint 10.49.67.2 mtu 1400
15:42:02 openvpnserver /sbin/route add -net 10.49.67.0 netmask 255.255.255.0 gw 10.49.67.2
15:42:02 openvpnserver Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
15:42:02 openvpnserver GID set to nobody
15:42:02 openvpnserver UID set to nobody
15:42:02 openvpnserver UDPv4 link local (bound): [undef]:1194
15:42:02 openvpnserver UDPv4 link remote: [undef]
15:42:02 openvpnserver MULTI: multi_init called, r=256 v=256
15:42:02 openvpnserver IFCONFIG POOL: base=10.49.67.4 size=62
15:42:02 openvpnserver Initialization Sequence Completed
15:52:30 openvpnserver event_wait : Interrupted system call (code=4)
15:52:30 openvpnserver TCP/UDP: Closing socket
15:52:30 openvpnserver /sbin/route del -net 10.49.67.0 netmask 255.255.255.0
15:52:30 openvpnserver ERROR: Linux route delete command failed: shell command exited with error status : 7
15:52:30 openvpnserver Closing TUN/TAP interface
15:52:30 openvpnserver SIGTERM[hard,] received, process exiting

par **fleib** » 06 Avr 2010 10:06

Dans tes logs coté client, il est fait mention d'un port 1194, or, tu nous a dit plus haut que tu utilisais le port 1195 (c'est d'ailleurs le cas pour le serveur...).

N'y aurait il pas un pb de configuration de ce coté là?

par **mick.ch** » 06 Avr 2010 11:46

J'ai remodifier le port d'écoute sur le client et sur le serveur par le 1194 et j'ai toujours pas de connexion...L'erreur semble se trouver à ce niveau la :

11:12:15 openvpnserver event_wait : Interrupted system call (code=4)
11:12:15 openvpnserver TCP/UDP: Closing socket

par **BeM** » 06 Avr 2010 14:44

ça y est tout est ok...

Serveur ipcop1 sous réseau opvpn N2N en 10.xxx.xxx.xxx
Serveur ipcop1 sous réseau opvpn RW en 172.xxx.xxx.xxx

Port utilisé : 1194 pour RW 1195 ou 1196 pour N2N

Dowload du client package

Certificat créé sur serveur ipcop1

Client ipcop2 créé par upload du client package en utilisant upload ZERINA net to net package !

par **mick.ch** » 13 Avr 2010 10:42

Bonjour

Je reprend le post après quelques temps mais j'ai eu pas mal de boulot ces temps-ci donc j'avais mis un peu de coté ce problème.

Je viens de reconfigurer mon VPN net to net et cette fois la connexion s'ouvre bien entre mes deux IPCops
J'ai procédé en important le certificat de l'un vers l'autre.
Seulement, à présent j'ai mon réseau derrière IPCop1 en 192.168.1.0 /24 et celui derrière IPCop2 en 192.168.11.0 /24 mais il est impossible de pinguer une machine du réseau distant.

Voici la table de routage d'IPCop1 :

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.245.148.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1
10.159.75.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.245.148.0 10.245.148.2 255.255.255.0 UG 0 0 0 tun1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.11.0 10.159.75.1 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1

et celle d'IPCop2 :

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.159.75.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.198.188.0 10.159.75.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0 0 eth1

Si vous voyez ce qui m'échappe, je suis preneur ?

VPN net to net (résolu)

VPN net to net (résolu)

OK pour nous

Qui est en ligne ?