probleme de routage IPCOP

[calamarz]

Bonjour voila mon souci j'ai mon site principal en 192.168.69.0 il est relie via un routeur cisco vers un site exterieur qui abrite le serveur de messagerie 192.168.16.0. <BR> <BR>J'ai un site distant en 192.168.72.0 relie au principal via un VPN sous Ipcop 1.2 je voudrais que la messagerie fonctionne sur le site distant mais impossible, en effet les PC sur le site distant on pour passerelle l'ipcop mais celui ci ne veut pas router, il se connecte sur le net je n'arrive pas a lui ajouter une passerelle vers par exemple l'autre Ipcop (site prinicipal) qui lui rerouterai vers le routeur cisco <BR> <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR>@pluche

[antolien]

il faut que tu ajoutes une route sur ipcop <BR> <BR>route add -net 192.168.16.0/24 gw "ip-routeur" eth1 <BR> <BR><!-- BBCode auto-link start --><a href="http://antolien.free.fr/ipcop/route.htm" target="_blank">http://antolien.free.fr/ipcop/route.htm</a><!-- BBCode auto-link end --> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>par contre, j'ai pas vraiment saisi l'architecture

[calamarz]

Voici un schema d'une partie du reseau je ne peux pas mettre sur l'ipcop une route avec une gateway dont l'ip n'est pas sur le reseau moi je voulais sur l'IPCOP distant: <BR> <BR>route add -net 148.148.16.0/24 gw 148.148.69.253 <BR> <BR>puis sur l'autre IPCOP le principal: <BR> <BR>route add -net 148.148.16.0/24 gw 148.148.69.254 <BR> <BR> <BR> <BR>Site distant----------IPCOP (192.168.72.253) <BR>192.168.72.0 | <BR> | <BR>Site principal---------IPCOP (192.168.69.253) <BR>192.168.69.0 <BR> | <BR> | <BR> | <BR>Routeur numeris cisco (192.168.69.254) <BR> | <BR>Autre site avec serveur de messagerie (192.168.16.4) <BR> 192.168.16.4 <BR>

[antolien]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-04 17:01, calamarz a écrit: <BR>Voici un schema d'une partie du reseau je ne peux pas mettre sur l'ipcop une route avec une gateway dont l'ip n'est pas sur le reseau moi je voulais sur l'IPCOP distant: <BR> <BR>route add -net 148.148.16.0/24 gw 148.148.69.253 <BR> <BR>puis sur l'autre IPCOP le principal: <BR> <BR>route add -net 148.148.16.0/24 gw 148.148.69.254 <BR> <BR> <BR> <BR>Site distant----------IPCOP (192.168.72.253) <BR>192.168.72.0 | <BR> | <BR>Site principal---------IPCOP (192.168.69.253) <BR>192.168.69.0 <BR> | <BR> | <BR> | <BR>Routeur numeris cisco (192.168.69.254) <BR> | <BR>Autre site avec serveur de messagerie (192.168.16.4) <BR> 192.168.16.4 <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Tu devrais plutôt mettre la même règle sur l'ipcop distant, car il connait déjà la route pour aller vers le site principal. Donc, si tu lui dit "le réseau 192.168.16 est joignable par le routeur numeris", il passera par le site principal. <BR> <BR>Par contre, il faudra que ton routeur connaisse la route du Site distant pour les paquets retour. soit, 192.168.72.0/24 avec gateway 192.168.69.253

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Site distant----------IPCOP (192.168.72.253) <BR>192.168.72.0 | <BR> | <BR>Site principal---------IPCOP (192.168.69.253) <BR>192.168.69.0 <BR> | <BR> | <BR> | <BR>Routeur numeris cisco (192.168.69.254) <BR> | <BR>Autre site avec serveur de messagerie (192.168.16.4) <BR> 192.168.16.4 <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Helas pour toi ce n'est pas juste une question de routage.... <BR>En fait pour que ton affaire fonctionne il va falloir "tricher" avec le vpn... <BR> <BR>Il faut faire dire au IPCop du site distant qu'à l'autre bout du vpn, il y a aussi le site 192.168.16.0/24 <BR> <BR>Le problème, c'est que IPCop ne permet pas de faire ça via le gui, il ne te permet pas je pense de specifier une addresse de reseau "local" pour le vpn, donc il va falloir monter à la main un deuxième tunnel ipsec. <BR> <BR>Celui-ci devra etre cnstruit comme ceci : <BR>left : 192.168.16.0/24 <BR>right : 192.168.72.0/24 <BR> <BR>Evidemment, ce serait plus simple si le site ou il y a le serveur de messagerie et le site central etaient d'adresses contigues, puisqu'on pourrait faire une aggrégation dans le vpn existant...... <BR>ex : ton site central serait 192.168.0.0/24 ton site avec le serveur de courrier : 192.168.1.0/24 <BR> <BR>on pourrait modifier le tunnel existant en disant que left est 192.168.0.0/23 au lieu du /24 actuel et le tour serait joué. <BR> <BR>As-tu la possibilité de modifier un des plans d'adressage ? <BR> <BR>Thomas <BR> <BR> <BR>plus ajouter la route sur le routeur numeris pour indiquer que le reseau 192.168.72.0/24 est accessible par 192.168.69.253

[calamarz]

Non car il y a beaucoup trop de pc et surtout le reseau en 192.168.16.0 est celui de la société mere alors <IMG SRC="images/smiles/icon_frown.gif"> mais bon je cherche car c'est vrai que je voyais cela de facon simple au debut mais j'ai vite dechanter car pour rediriger toutes les adresses du 192.168.72.0 par l'ipcop 192.168.72.253 puis sur l'Ipcop 192.168.69.253 et enfin 192.168.69.254 mais non !!! et je ne peux pas non plus mettre une route sur l'ipcop distant 192.168.72.253 de type route add -net 148.148.16.4 mask 255.255.255.255 gw 148.148.69.253 mais je peux pas car ce n'est pas sur le même plan IP pour ton idee TomTom je n'ai pas tous saisi sur l'histoire du VPN dans le VPN <IMG SRC="images/smiles/icon_confused.gif">

[tomtom]

Je dis que rajouter une route ne suffit pas. <BR>Explication un peu plus claire (peut-être <IMG SRC="images/smiles/icon_rolleyes.gif">) ?? <BR> <BR>Un tunnel IPSec definit une liaison entre 2 sous réseaux. Dans les fichier de config (ipsec.conf) on peut voir que sont definis des 2 cotes un reseau "left" et un "right". <BR> <BR>typiquement, tu vas avoir : <BR> <BR>leftsubnet : 192.168.72.0/24 <BR>rightsubnet : 192.168.69.0/24 <BR> <BR>bon, le problème c'est que IPSec va verifier que les adresses sources et destination sont bien dans les plages, donc même si tu pouvais ajouter la toute sur ton IPCop distant, lles paquets ne passeraient pas. <BR> <BR>La solution, c'est donc de creer un second vpn (pas dans l'autre, plutot à côté) qui "masquera" le reseau 16 : <BR> <BR>leftsubnet : 192.168.72.0/24 <BR>rightsubnet : 192.168.16.0/24 <BR> <BR>definit sur les 2 ipcops.... Le problème c'est que tu ne pourras pas fair je pense ça par le gui, faut y aller à la main dans les fichiers de conf.... <BR>De fait, la route sera automatiquement ajoutée sur le ipcop, et ca porrait rouler... <BR> <BR> <BR> <BR>Voila, c'est juste une idée comme ça, je ne sais pas si il est possible de monter ce tunnel vu qu'IPCop n'appartient pas au subnet definit, mais c'est à essayer à mon avis..... Alors que si tu avais pu agreger les deux lan pour qu'on ait une seule entrée de vpn, c'etait plus simple... <BR> <BR>tant pis <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Tom <BR>

[calamarz]

Bon bon je suis toujours sur mon probleme de VPN, alors voila j'ai eu une idee pourquoi ne pas casser un VPN existant par exemple le 192.168.72.0 et le 192.168.69.0 je m'explique Tom Tom tu me parlais agreger le VPN mais si je casse l'existant qui est: <BR> <BR>Sous-réseau de gauche: 192.168.69.0/24 <BR>Sous-réseau de droite: 192.168.72.0/24 <BR> <BR>et que je le transforme en: <BR> <BR>Sous-réseau de gauche: 192.168.0.0/23 <BR>Sous-réseau de droite: 192.168.72.0/24 <BR> <BR>je devrais pouvoir donc rediriger les paquets 192.168.16.0 sur le 192.168.69.0 Non ??? je compte faire le test sur un nouveau site que j'installe cette semaine mais je ne sais pas si l'idée est viable ?? <BR>qu'en penses tu ??? <BR> <IMG SRC="images/smiles/icon_confused.gif">

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-11 11:20, calamarz a écrit: <BR>Bon bon je suis toujours sur mon probleme de VPN, alors voila j'ai eu une idee pourquoi ne pas casser un VPN existant par exemple le 192.168.72.0 et le 192.168.69.0 je m'explique Tom Tom tu me parlais agreger le VPN mais si je casse l'existant qui est: <BR> <BR>Sous-réseau de gauche: 192.168.69.0/24 <BR>Sous-réseau de droite: 192.168.72.0/24 <BR> <BR>et que je le transforme en: <BR> <BR>Sous-réseau de gauche: 192.168.0.0/23 <BR>Sous-réseau de droite: 192.168.72.0/24 <BR> <BR>je devrais pouvoir donc rediriger les paquets 192.168.16.0 sur le 192.168.69.0 Non ??? je compte faire le test sur un nouveau site que j'installe cette semaine mais je ne sais pas si l'idée est viable ?? <BR>qu'en penses tu ??? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Ben l'idée n'est pas mauvaise.... <BR>Il faut faire le test, ca peut marcher mais ça paeut aussi ne pas marcher. Le petit problème, c'est que 192.168.0.xxx et 192.168.72.xxx appartiennent tous les 2 au reseau 192.168.0.0/23 <BR> <BR>normalement ca ne devrait pas *trop* poser de problèmes car les "hub vpn" sont faits de cette manière (cf boulot de belugha). <BR> <BR>D'ailleurs je te conseille de lire ce doc, il devrait t'interrsser dans tous les cas.... <BR> <BR>Thomas

[calamarz]

Oui bon je vais faire le test mercredi et on verra bien deja merci beaucoup, pour la doc de Belugha je ne la trouve pas dans les doc IPcop tu a sle liens ????

[calamarz]

Bon et bien cela ne fonctionne pas <IMG SRC="images/smiles/icon_bawling.gif"> et oui le tunnel VPN est ouvert mais je ne ping rien les paquet se perdent, bon je vais essayer les deux tunnels en // et on verra bien

[calamarz]

Bon et bien je viens de faire le test des deux tunnels en // et bien cela ne fonctionne pas <IMG SRC="images/smiles/icon_eek.gif"> bon je cherche mais rien n'a faire !!!! personne n'a jamais eux cela a faire <IMG SRC="images/smiles/icon_confused.gif"> et oui je n'arrive pas a redirigerun reseau via le VPN <IMG SRC="images/smiles/icon_cry.gif"> bon je vais encore chercher

[calamarz]

Bon et bien je vais retenter en trichant avec les masques de sous reseaux mais sans ma planter cette fois si <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>Sous-réseau de gauche: 192.168.69.0/24 <BR>Sous-réseau de droite: 192.168.72.0/24 <BR> <BR>et que je le transforme en: <BR> <BR><!-- BBCode Start --><B>Sous-réseau de gauche: 192.168.0.0/16</B><!-- BBCode End --> et non pas /23 merci Wann <BR>Sous-réseau de droite: 192.168.72.0/24 <BR> <BR>

[calamarz]

ya du mieux maintenant le VPN fonctionne ne tre les deux sites mais a priori le paquets destinés au 192.168.16.0 ne passe pas par le VPN alors que mon masque est "bon" 148.148.0.0/16, bon je vais chercher encore

[calamarz]

Bon la je commence a avoir mal a la tete <IMG SRC="images/smiles/icon_boxe2.gif"> et oui donc le VPN fonctionne mais si je fais un tracert depuis un poste situe sur le 192.168.70.x vers le serveur de messagerie 192.168.16.x et bien je passe bien par mon VPN 192.168.0.253 <IMG SRC="images/smiles/icon_lol.gif"> en plus le paquet ne part plus sur le net <IMG SRC="images/smiles/icon_lol.gif"> mais en revanche j'ai un superbe "request time out" !!!!! <IMG SRC="images/smiles/icon_mad.gif"> bref je ne sais pas si il arrive de l'autre cote. <BR> <BR>Pfffff bon je n'ai pas modifier les routes sur le routeur numeris mais la question que je me pose c'est comme puis je verifier que mon paquet passe bien sur le deuxieme ipcop 192.168.69.253 ???? et apres pourrais cette fois si le router en faisant: <BR>route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.69.254 <BR> <BR>Bon je sais mon post ressemble a un monologue mais personne n'a jamais eu besoins de router un reseau autravers un VPN ??? <IMG SRC="images/smiles/icon_rolleyes.gif"> bon OK je dois commencer a vous gavez mais bon au moins si un jour quelqu'un a besoin de faire aussi cela il benificiera de mon experience <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>