VPN : réseau à réseau.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Riric » 11 Sep 2003 11:21

Hello, <BR> <BR>malgrés plusieurs recherche sur les forums je n'ai pas trouvé de réponse à mes problèmes, aussi voici le détail. (j'ai aussi regardé sur jixen.tripod.com) <BR> <BR>Je souhaite interconnecter un LAN A (subnet 192.1.1.0/24) avec un LAN B (subnet 192.168.4.0/24), avec un IPCOP de chaque coté. <BR>Sur chaque Red, une connexion ADSL (wanamoo) <BR>A noter que B comporte plusieurs subnet (pas que 192.168.4.0/24). <BR> <BR>J'ai suivi le VPN Howto et maintenant j'ai le lien VPN qui s'établit, je le vois car je peux, depuis un PC de A, accéder à la page d'admin de l'IPCOP du B. <BR> <BR>Mon objectif est de rerouter tout le traffic de A vers B, à travers le VPN => utilisation des DNS de B. <BR> <BR>Le constat : <BR>- impossible de pinguer depuis le même PC, une IP de B <BR>- le DNS utilisé est celui configuré pour le RED, donc mon FAI, comment faier pour indiquer le DNS de B lorsque le VPN est up ? <BR>- que modifier et surtout de quel coté pour pouvoir attaquer les autres subnets de B ? <BR> <BR>Petit schéma : <BR> <BR>IPCOP A (192.1.1.x) - LAN A (192.1.1.0/24) <BR>| <BR>Internet <BR>| <BR>IPCOP B (192.168.4.y) - LAN B (plusieurs subnet, serveurs, DNS, etc...) <BR> <BR>Merci d'avance pour vos réponses (je mets ça en place pour ma boite, alors j'aimerais bien que ça marche) <BR> <BR>@+
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar belugha » 11 Sep 2003 11:23

As-tu était voir: <BR><!-- BBCode auto-link start --><a href="http://vanhees.homeip.net/modules.php?op=modload&name=indexerIpcop&file=index&dir=/VPN/" target="_blank">http://vanhees.homeip.net/modules.php?op=modload&name=indexerIpcop&file=index&dir=/VPN/</a><!-- BBCode auto-link end --> <BR> <BR> <BR>Il y a une petite astuce concernant les subnets <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Riric » 11 Sep 2003 11:41

non je ne connaissais pas ce site, par contre, les infos existent déjà sur jixen je crois... <BR>penses-tu qu'il faille mettre dans rightsubnet (si on dit que right c'est le réseau B) un truc du genre : 192.168.0.0/16 ? <BR>Ceci devrait forcer la route vers ces subnets via ipsec0...je suppose... <BR> <BR>Eric.
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar belugha » 11 Sep 2003 11:45

ouaip tu peux toujours tenter <IMG SRC="images/smiles/icon_smile.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Riric » 11 Sep 2003 12:02

pour le DNS une idée ?
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar Riric » 11 Sep 2003 22:16

bon alors je viens de faire quelques tests...pfiou...dur, dur... <BR> <BR>BRef, j'ai rajouté un 3 eme point VPN, un peu comme dans la doc citée plus haut. <BR>Du coup j'ai (les @ sont sur la pate verte bien sur) : <BR> <BR>---------------------------------------IPCOP B (192.1.1.x) - LAN B <BR>|IPCOP A (192.168.1.z) - LAN A | <BR>---------------------------------------IPCOP C (192.168.4.y) - LAN C (multi subnet) <BR> <BR>Autrement dit il y a un lien : <BR>- B-C (avec coté C 192.168.0.0/16) <BR>- A-B <BR>- A-C (dans ce cas là 192.168.4.0/24) <BR> <BR>de là, j'arrive à faire depuis un PC des LAN : <BR>- ping depuis le LAN A vers IPCOP B ou IPCOP C <BR>- ping depuis le LAN B vers le LAN A sans problème <BR>- ping de LAN B vers IPCOP C, mais PAS vers LAN C. <BR>- PAS de ping de LAN A vers LAN C. <BR> <BR>Comme si IPCOP C ne faisait pas suivre les trames... strange non ? <BR>comment faire pour voir si mes requêtes arrivent bien sur IPCOP C ? je viens d'essayer de faire des manip avec tcpdump que je ne connais pas bien et sur un ping j'ai bien l'icmp request mais pas le reply qui passe par l'ipsec0... <BR>Y aurait pas un pb de routage dans le LAN C qui ne me retourne pas mes paquets ? <BR> <BR>Merci d'avance pour votre aide ! <BR>@+
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar belugha » 12 Sep 2003 08:03

As-tu regarder des logs dans /var/log/secure ? <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Riric » 12 Sep 2003 11:54

bin le problème c'est que les VPN montent bien. <BR> <BR>Je ne suis pas sur qu'un ping vers l'un des LAN génère un message dans le fichier secure. <BR> <BR>
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar belugha » 12 Sep 2003 11:59

Si tu as des traces ICMP, sinon as-tu essayé un tracert pour savoir la route que prends ton ping ? <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Riric » 12 Sep 2003 16:27

faut que j'essaye... <BR> <BR>par contre, j'ai donc théoriquement 2 VPN, mais est-ce normal que je n'ai qu'un seule interface ipsec0 ? <BR>Il ne devrait pas y avoir un ipsec1 ? <BR> <BR> <BR>@+
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar Riric » 16 Sep 2003 11:15

Bon il semble que la solution soit trouvée et n'ait rien à voir avec IPCop... <BR>disons que j'ai un peu zappé vite certains principes de base du rézo ! <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>En fait, dans le LAN multi-subnet, il n'y a aucune route indiquant le chemin à prendre pour dialoguer avec ma passerelle IPCop et mon LAN. <BR>La modif est en cours par nos admin rézo...je vous tiendrais au courant ! <BR> <BR><IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar Riric » 19 Sep 2003 17:12

Bien,alors suite de l'épisode, finalement pour pouvoir accéder au réseau, j'ai mis en place une translation d'adresse à la sortie du VPN coté multi-subnet.... <BR> <BR>Maintenant je peux pinguer sans problème les devices du réseau B depuis le réseau A. <BR> <BR>Reste la question de la résolution de nom, comment faire pour que la résolution de nom fonctionne depuis le réseau A ? <BR> <BR>Par exemple, je veux pouvoir faire depuis un PC du réseau A : <BR><!-- BBCode auto-link start --><a href="http://serveurreseauA.mondomaine.com/" target="_blank">http://serveurreseauA.mondomaine.com/</a><!-- BBCode auto-link end --> depuis ce PC... <BR> <BR>Une idée ? <BR> <BR>j'ai tenté de mettre dans un fichier de conf les @ des DNS du réseau A, puis j'ai fait un : <BR>killall dnsmasq <BR>/usr/bin/dnsmasq -l /var/ipcop/dhcp/dhcpd.leases -r monfichier.conf <BR> <BR>Mais ça ne fonctionne pas... <BR> <BR>Merci d'avance, <BR>Eric.
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar Riric » 23 Sep 2003 16:39

bon pour ceux que ça interresse, j'ai finalement mis dans ma conf DHCP 2 serveurs DNS : le firewall lui-même et l'une des adresses du LAN B... <BR> <BR>Ainsi, si le DNS du FAI résoud le nom c'est lui qui prend la main, sinon on essaye sur le DNS du VPN... <BR> <BR>A priori ça fonctionne bien ! <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>(bon sauf pour un site que ma boite a eu la bonne idée de déclarer aussi sur l'extérieur mais avec vérouillage si accès depuis l'Internet....ils sont trop forts !)
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité