VPN+SAMBA+IPCOP1.2

par **marcsins** » 02 Juin 2003 10:26

bjr, même avec cette config, je vois tjs les postes mais ne peut y accéder.... sous-réseaux de gauche= 192.168.0.168/32 (ipcop) sous-réseaux de droite= 192.168.10.2/32 (samba) A++ Marc S.

par **antolien** » 02 Juin 2003 10:32

tu ne répond pas à la question, le ping fonctionne ? par contre tu as raison il faut faire plutôt le tunnel avec gauche=ipcop/32 droite=LAN/24 on récapitule, LAN1---VPN---LAN2 IPCOP1---VPN---LAN2

par **marcsins** » 02 Juin 2003 10:42

Bjr, si je ping de mon poste winXP ( B2) cela fonctionne vers l'ipcop distant et un autre poste du réseau distant. si je ping a prtir de mon ipcop ( via putty) rien ne passe vers l'extérieur mais simplement vers le réseau interne. si je ping à partir de l'ipcop distant ( via putty) rien ne passe vers l'extérieur mais que le réseau interne. mes 2 vpn sont au vert. a croire que les ipcop ne veulent pas être utilisé a autre chose... A++ Marc

par **antolien** » 02 Juin 2003 10:43

au fait, je viens de reregarder ton smb.conf; remote announce = 192.168.0.1/24 192.168.10.1/24 remote browse sync = 192.168.0.168 192.168.10.168 il y a une erreur par rapport au shéma que tu m'a envoyé ce serait plutôt : remote announce = 192.168.0.168/24 192.168.10.2/24 remote browse sync = 192.168.0.168 192.168.10.2 il manque aussi la ligne resolve order avec wins en premier et broadcast en dernier

par **antolien** » 02 Juin 2003 10:48

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-02 10:42, marcsins a écrit: Bjr, a croire que les ipcop ne veulent pas être utilisé a autre chose... A++ Marc </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> c'est sûr qu'installer samba sur un firewall c'est pas génial <IMG SRC="images/smiles/icon_rolleyes.gif"> encore si c'était juste pour du local, ça irait mais là ça devient délicat. j'ai posé la question à thomas (à savoir s'il y avait une autre soluce que d'ajouter des tunnels), je met sa réponse en copie : -------------------------------------------------- Un VPN avec IPSec met en place un canal crypté entre deux réseaux. La plupart du temps, quand on le met en place sur des GW comme IPCop, il protège les réseaux internes. En clair, il va être chargé de relier le lan 192.168.1.0/24 au lan 192.168.2.0/24 IPSec verifie les adresses sources et destination puisqu'il les garantit. Donc le problème, c'est qu'avec une installation de ce type, la passerelle IPCop n'est qu'à moitié dans le vpn. Et de plus sa route par defaut est evidemment en dehors (Internet). Le problème pour le faire router dans le tunnel pour ses process locaux, c'est qu'il utilise en général comme ip source par defaut pour unlan distant son IP publique. Et malheureusement cette IP ne peut pas passer dans le tunnel, car elle n'appartient pas aux lans protégés. Pour pinger depuis la passerelle, tu te rappelles que l'on contourne le problème en utilisant l'adresse source située sur le lan, afin de pouvoir passer das le tunnel et aussi pour que le distant sache nous renvoyer les paquets par le tunnel. Mais pour ce qui est de router des paquets, on ne peut odifier aussi simplement son adresse source. Cela me parait donc difficile de faire router des paquets issus de process locaux dans le tunnel. Il faut effectivement (c'est très bien documenté sur le site de freeSwan) ajouter un tunnel pour la com IPCop/lan distant. si tu veux que tout le monde parle avec tout le monde dans les tunnels, il te faut donc en fait 4 vpn distincts (je te laisse les trouver). Bonne journée, à plus tard. Thomas ---------------------------------------------- donc allons faire un tour sur freeswan <IMG SRC="images/smiles/icon_eek.gif">

par **marcsins** » 02 Juin 2003 11:00

j'ai bien changé les lignes dans les smb.conf pour les remote annoce le ligne name resolve order = wins ... bcast existe bien mais tjrs le même problème : en voisinage réseau j'ai mes postes mais impossible d'y accéder. A++ Marc

par **marcsins** » 02 Juin 2003 12:36

Après relecture ( j'y avait déjà fait un tour...je ne demande pas d'aide pour le plaisir d'ennuyer mon monde...) j'ai installer les 4 tunnels lan to lan lan to gate gate to lan gate to gate et ?????????? c'est tjs la même chose, mais tunnels sont au vert mais les pind que je fais a partir de putty ne passe pas sur l'extérieur on ne voit que l'interne... A++ Marc

par **belugha** » 03 Juin 2003 14:56

As-tu désactivé les ports Netbios par iptables ? iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j DROP Si oui il faut alors les supprimer de ton fichier rc.firewall, et si tu ne veux pas rebooter les passer en ACCEPT.

par **marcsins** » 03 Juin 2003 16:09

Bjr, non je n'ai pas désactiver les ports par iptables, commande inconnue , je suis sous la 1.2 ?? j'ai ouvert ces ports par l'intermédiaire du panneau services. Merci de ton aide A++ Marc S

par **belugha** » 03 Juin 2003 16:40

sous la 1.2 c'est ipchains qui est utilisé .

par **antolien** » 03 Juin 2003 17:42

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-03 14:56, belugha a écrit: As-tu désactivé les ports Netbios par iptables ? iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j DROP iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j DROP iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j DROP Si oui il faut alors les supprimer de ton fichier rc.firewall, et si tu ne veux pas rebooter les passer en ACCEPT. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> le netbios en forward n'est pas droppé par ipcop en VPN, c'est pas toi qui l'a ajouté ça par hazard ?

par **marcsins** » 04 Juin 2003 08:25

Bjr, Non je n'ai rien rajouté comme régles... d'ailleurs je n'aarive pas a convertir la commande iptable en ipchain d'après la documentation la commande : iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j DROP deviendrait : ipchains -I FORWARD -i ipsec0 -p tcp -s 192.168.10.0/24 137:139 -d 192.168.10.0/24 137:139 -j DROP mais cela me répond : No target by that name, je présume que ipchain ne recommait pas ipsec0 ??? et comme j'ai peur de faire des bêtises, j'avance a pas feutrés... A++ Marc

par **belugha** » 04 Juin 2003 08:32

Marcsins, si tu n'as rien ajouté alors ca devrait fonctionner c'est qu'il y a autres choses <IMG SRC="images/smiles/icon_wink.gif">

par **marcsins** » 04 Juin 2003 08:57

Bjr, Je n'ai rajouté aucunes régles . voici le résultat de mes derniers essais : avec dans samba interfaces 192.168.10.0/24 192.168.0.0/24 127.0.0.0/24 j'avais une erreur du style : Can't add adress ip for broadcast 192.168.0.255 et pas pour les deux autres. donc j'ai remplacé le 192.168.0.0/24 par 192.168.0.1/24 et là plus cette erreur, mais en fouillant dans les logs j'ai cette erreur qui provient de nmbd : bind failed on port 137 socket_adress = 192.168.0.168 Error = Cant't assign this adress Failed to open nmb socket on interface 192.168.0.168 for port 137 qu'en penses tu ?? A++ Marc S.

par **belugha** » 04 Juin 2003 09:08

C'est bien ce que j'avais dit précedemment c'est que le port 137 est fermé.

VPN+SAMBA+IPCOP1.2

Qui est en ligne ?