IPCOP VPN ZERINA accéder à un pc avec gateway dif RESOLU

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP VPN ZERINA accéder à un pc avec gateway dif RESOLU

Messagepar izitop » 12 Juil 2010 03:16

Bonjour,

J'essaye depuis deux heures d'accéder à un pc qui est dans le même subnet que mon ipcop mais avec une passerelle différente.


Ma Config

Gateway 1: (ADSL 1Mo) freebox + Ipcop - 192.168.1.250
Gateway 2: (FIBRE 10Mo) routeur CISCO - 192.168.1.1


COTE IPCOP 192.168.1.250
Routeur : Livebox -- IP:10.0.0.1 -- DMZ: 10.0.0.2 -- netmask: 255.255.255.0 -- broadcast:10.0.0.255


CONFIG IPCOP 1.4.21 RED + GREEN
gateway: 10.0.0.1
RED: 10.0.0.2
GREEN:192.168.1.250

ADDON:
UrlFilter, Zerina, ADVproxy, BOT

COTE FIBRE
Gateway 192.168.1.1
netmask: 255.255.255.0


J'ai plusieurs pc configurer avec la gateway 1 soit 192.168.1.1

Quand j'accède de chez moi à mon réseau distant avec openvpn je ping bien l'ensemble des postes configurer avec la gateway 192.168.1.250 mais les autres non.

Est-il possible de pinger des postes du même netmask n'ayant pas la même gateway ???? et comment procéder??

Merci,
Dernière édition par izitop le 12 Juil 2010 22:08, édité 1 fois au total.
izitop
Matelot
Matelot
 
Messages: 7
Inscrit le: 12 Juil 2010 02:43

Messagepar ccnet » 12 Juil 2010 09:35

Vous avez un problème de route retour bien évidement.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 12 Juil 2010 10:02

Bien évidemment une route manque (et tout est dépeuplé).


Les PC distants accédant au réseau (192.168.1.0/24) sont dans un réseau donné (non mentionné).

Or les PC du réseau interne constitue 2 groupes : ceux qui ont le routeur fibre comme passerelle et ceux qui ont Ipcop comme passerelle.

Si le routeur fibre savait que pour atteindre le réseau OpenVpn il faut passer par Ipcop, cela fonctionnerait.


Mais le problème majeur est de comprendre pourquoi il y a 2 passerelles.
D'une, il est facile de créer un serveur OpenVpn sur une petite Debian par exemple : il n'y a pas qu'Ipcop qui soit capable de le faire.
De deux, le routeur fibre n'est pas un firewall, il y aurait lieu d'intercaler entre le réseau et la fibre un firewall pour filtrer en sortie qui est tout aussi important.
De trois, il est préférable d'avoir un débit symétrique pour OpenVpn.

Comme souvent, une mauvaise réponse technique parce que le vrai problème n'est pas posé.


NB : C'est une bonne question, bien posée avec des informations technique de qualité. C'est bien. Mais continuez à réfléchir aux principes choisis pour avoir une architecture adaptée et non bancale (= qu'il faudra bricoler).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar izitop » 12 Juil 2010 10:37

Les PC distants accédant au réseau (192.168.1.0/24) sont dans un réseau donné A

Aucun vlan ne divise les réseaux

L'ensemble des postes sont dans le même sous réseau. seul change la passerelle

De mon openvnp j'accède au réseau 192.168.1.0/24 ainsi je ping bien tous les postes ayant comme passerelle 192.168.1.250 - soit IP Green de mon IPCOP

D'autres postes disposent d'une passerelle différente, il sont toujours dans le même sous réseau mais avec une passerelle 192.168.1.1


J'ai posté mon problème avec la question suivante :

Y a t-il une solution permettant d'accéder avec openvpn sur mes postes ayant une passerelle différente????
izitop
Matelot
Matelot
 
Messages: 7
Inscrit le: 12 Juil 2010 02:43

Messagepar jdh » 12 Juil 2010 10:46

J'ai REPONDU à cette question !

Si le routeur fibre savait que pour atteindre le réseau OpenVpn il faut passer par Ipcop, cela fonctionnerait.



Ca c'est simple. (Mais c'est chez vous)

Ce qui est moins simple c'est de comprendre pourquoi vous avez 2 groupes de PC : NORMALEMENT on ne doit avoir QU'UNE passerelle. Autrement dit, quand on a 2 passerelles, on a des problèmes !

Il y a peut-être une justification mais nous ne pouvons la comprendre. Et nous vous conseillons de réfléchir au pourquoi, pour MIEUX organiser votre architecture.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar izitop » 12 Juil 2010 11:30

J'ai pas tout compris :shock:

Quelques éclaircissements :

Depuis mon ipcop je ping bien mes postes ayant la passerelle 192.168.1.1
c'est à distance lorsque j'utilise ma connexion openvpn que je n'accède pas sur ces postes configuré avec passerelle 192.168.1.1 - les autres postes configurer avec la passerelle 192.168.1.250 sont accéssible.
izitop
Matelot
Matelot
 
Messages: 7
Inscrit le: 12 Juil 2010 02:43

Messagepar gemoussier » 12 Juil 2010 12:03

Bonjour,

On est bien d'accord au niveau local tout marche bien parce que toutes les machines sont dans le même réseau, on ne passe ni par l'IPCop ni par le routeur Cisco.

Lorsque tu te connectes à ton VPN, tu vas passer par IPCop, les machines l'utilisent comme passerelle par défaut seront comment te répondre. Les autres non. Pour simplifier :

machine A configurée pour IPCop reçoit une connexion OpenVPN avec une IP en 192.168.100.x/24 (par exemple), ne sait pas répondre et renvoie à IPCop qui lui sait faire (il connait une route !).

machine B configurée pour Cisco reçoit une connexion OpenVPN avec une IP en 192.168.100.x/24, ne sait pas répondre et renvoie à Cisco qui ne sait pas faire (il ne connait aucune route vers ce réseau!).

L'autre point souligné c'est qu'avec une architecture mieux pensée vous n'auriez pas à vous poser cette question. Et le pire c'est que vous avez, à priori, deux passerelles dont une sans protection. Je ne défoncerais pas une porte, s'il y avait une fenêtre ouverte.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar izitop » 12 Juil 2010 12:20

Concernant les deux passerelles

passerelle 1 : 192.168.1.250 ipcop
passerelle 2 : 192.168.1.1Routeur CISCO dispose également d'un firewall intégré.


Je ne vois pas la fenêtre??

Concernant ces deux passerelles et l'accès aux postes par openvpn (zerina) ayant une passerelle différente, est ce possible ou non?


J'ai bien pris en compte que lorsque je me connecte avec open vpn j'utilise la passerelle fourni pas IPCOP.

Voici ma question
Mais est-il possible d'accéder aux postes disposant d'une passerelle différente de mon ipcop en utilisant openVpn :?:

Merci.
izitop
Matelot
Matelot
 
Messages: 7
Inscrit le: 12 Juil 2010 02:43

Messagepar gemoussier » 12 Juil 2010 12:42

On ne peut pas deviner concernant le "routeur". Cela dit l'architecture n'est pas très propre quand même.

Pour le reste,

Voici ta réponse :
Elle a déjà été donnée au premier message, et au deuxième etc...
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar ccnet » 12 Juil 2010 13:04

izitop a écrit:Concernant les deux passerelles

Voici ma question
Mais est-il possible d'accéder aux postes disposant d'une passerelle différente de mon ipcop en utilisant openVpn :?:

Merci.


Depuis un certain nombre de posts la réponse vous a été donnée. Manifestement vous ne comprenez pas ce que l'on vous dit. Votre post initial montre aussi que vous ne comprenez pas ce que vous faites. Rassurez vous cela arrive à tout le monde. Tant que je n'ai pas compris un problème je ne sais pas le résoudre. Je vous invite donc à consulter ce site :
http://irp.nain-t.net/doku.php/080routage:start
ou encore ce document : http://christian.caleca.free.fr/pdf/Exe ... outage.pdf

Vous y apprendrez ce qu'il vous manque pour comprendre.

En l'absence d'informations complémentaires vous avez, à mon sens, une architecture bancale. Peut être avez vous une raison pour cela, mais nous ne la comprenons pas. Peut être avez vous aussi un problème particulier que vous résolvez d'une mauvaise manière. Cela nous plus nous ne pouvons le deviner.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar izitop » 12 Juil 2010 13:57

merci pour les liens.
izitop
Matelot
Matelot
 
Messages: 7
Inscrit le: 12 Juil 2010 02:43

Messagepar izitop » 12 Juil 2010 22:06

ccnet

j'ai bien pris en compte tes conseils, je me suis redirigé vers les liens fournis.

Puis :idea: , je me suis penché sur ces tutos à m'en faire mal au dos. :D

Prise de tête A 2 queues de cerise.

Citation:
Si le routeur fibre savait que pour atteindre le réseau OpenVpn il faut passer par Ipcop, cela fonctionnerait.

LE PROBLEME EST RESOLU


Merci.
izitop
Matelot
Matelot
 
Messages: 7
Inscrit le: 12 Juil 2010 02:43

Messagepar ccnet » 16 Juil 2010 21:18

Je vais laisser les modérateurs faire leur travail. J'ai par ailleurs pris connaissance de vos insultes envoyées par MP (que je tiens à disposition des modérateurs si ils n'y ont pas accès). Je pense que votre contribution sur ce forum sera appréciée à sa juste valeur.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ccnet » 17 Juil 2010 10:29

Je voudrais que ceux qui découvriraient ce fil, ou le consulteraient sans avoir assisté aux débordement d'un participant ne se méprennent pas. Ma réponse ci dessus ne s'adresse pas à izitop. C'était ma réponse aux insultes, aux propos racistes, antisémites, homophobes (et j'en oublie) d'un participant dont les messages ont été archivés (je l'espère) pour donner la suite que cela mérite.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité