Routage avec IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar calamarz » 27 Oct 2003 11:43

Oui je sais, je suis ch....... mais mince je n'arrive pas a router des paquets via un VPN pitiéééééééééé si quelqu'un l'a deja fais je voudrais de l'aide !!!!! <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar tomtom » 27 Oct 2003 11:49

Hello Calmarz, ça fait longtemps.... <BR> <BR>Bon, je te propose la chose suivante : <BR> <BR>il faudrait monter un lab de test avec deux ipcops en vpn + un sous-réseau d'un coté.... <BR> <BR>lanA----192.168.0.0----.1 IPCOP A ------ VPN -------- IPCOP B .1 ------- 192.168.1.0 LanB ----- .2 routeur (debian ? ) .1 ------ 192.168.2.0 ----- LanC <BR> <BR> <BR>Tu pourrais faire ça ? <BR> <BR>Ensuite, on monte gentiment les deux vpn (un lanA-LanB et un LanA-LanC), on ajoute les routes et on fait des tests ! <BR> <BR>Ca ne sert à rien de se prendre la te 1000 ans ! <BR> <BR>Si tu peux faire ça, tiens moi au courant ! <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar calamarz » 27 Oct 2003 12:20

Oui je crois que je vais faire cela avec le plan d'adressage IP que tu m'as indique, juste une chose il y a un probleme je n'ai plus de ligne pour faire le test alors peut-on mettre un cable croisé entre les 2 IPCOP ??? pour simuler une connexion par modem (je donnerai des @ IP fixes sur eth1) C possible ?? <BR> <BR>_________________ <BR>On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer. <BR> [ Albert Jacquard ] <BR><BR><BR><font size=-2></font>
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar tomtom » 27 Oct 2003 12:22

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-27 11:20, calamarz a écrit: <BR>Oui je crois que je vais faire cela avec le plan d'adressage IP que tu m'as indique, juste une chose il y a un probleme je n'ai plus de ligne pour faire le test alors peut-on mettre un cable croisé entre les 2 IPCOP ??? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je suppose qu'il n'y a pas de problème, il faut mettre le red en ip statique et pour la conf du vpn ca devrait rouler.. Bon, ce sera un peu simplifié par rapport à la réalité, mais ca devrait se comporter pareil... <BR> <BR>Tiens moi au courant qued tu as monté ça ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar calamarz » 27 Oct 2003 18:10

Aie le test est compromi en effet pas possible de monter un tunnel VPN avec les deux IPCOP en réseau via un cable croisé (donc sans modem) j'ai mis interface rouge en IP fixe mais le probleme c'est que le tunnel ne se monte pas <IMG SRC="images/smiles/icon_mad.gif"> et oui car je ne peux pas configurer de connexion ( modem sur com x) donc pas de tunnel ;-(
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar tomtom » 27 Oct 2003 18:25

Hum, c'est ennuyeux... <BR> <BR>Bon, je vais reprendre le schema d ton installation alors et on va regarder... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar calamarz » 28 Oct 2003 12:44

Merci a toi TomTom, bon je vais suivre tes conseils donc, je vais mettre mon installation a plat donc je vais refaire deux IPCOP le site Principal et un site distant comme cela je serais certain de ne pas faire d'erreur, voilà je refais la configuration en 1.2 comme avant. <BR> <BR>IPCOP A (Site Principal) <BR> <BR>Nom IPCOP: ipcop-A <BR> <BR>Interface GREEN: <BR>@IP 192.168.69.253 <BR>Masque 255.255.255.0 <BR> <BR>Connexion: <BR>PPPOE Modem ADSL D-Link 300G+ <BR> <BR>Interface RED: <BR>@IP « Statique » : 62.30.30.1(@ IP Fixe fictive) <BR>DNS Primaire: 62.4.16.70 (DNS de Nerim) DNS Secondaire: 62.4.17.69 (DNS de Nerim) <BR>Passerelle par défaut: 192.168.69.253 <BR>DHCP: <BR>@ de départ: 192.168.69.140 <BR>@ de fin: 192.168.69.189 <BR>DNS Primaire: 192.168.69.253 <BR>DNS Secondaire: <BR>Bail par défaut: 60 <BR>Bail maximum: 120 <BR>Suffixe de domaine: <BR> <BR>IPCOP B (Site Distant) <BR> <BR>Nom IPCOP: ipcop-B <BR> <BR>Interface GREEN: <BR>@IP 192.168.71.253 <BR>Masque 255.255.255.0 <BR> <BR>Connexion: <BR>PPPOE Modem ADSL D-Link 300G+ <BR> <BR>Interface RED: <BR>@IP « Statique » : 124.60.60.2(@ IP Fixe fictive) <BR>DNS Primaire: 62.4.16.70 (DNS de Nerim) DNS Secondaire: 62.4.17.69 (DNS de Nerim) <BR>Passerelle par défaut: 192.168.71.253 <BR>DHCP: <BR>@ de départ: 192.168.71.140 <BR>@ de fin: 192.168.71.189 <BR>DNS Primaire: 192.168.71.253 <BR>DNS Secondaire: <BR>Bail par défaut: 60 <BR>Bail maximum: 120 <BR>Suffixe de domaine: <BR> <BR>voilà donc le debut de la configuration si vous voyez des incohérences <IMG SRC="images/smiles/icon_razz.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar elbibelo64 » 28 Oct 2003 13:35

Dans le même esprit... <BR> <BR>Bonjour, <BR> <BR>(les @ sont toutes fictives of course!) <BR> <BR>lan A (192.168.0.0)--ipcop A--VPN--ipcop B--lan B(192.168.1.0)--routeur C--lan C(192.168.2.0) <BR> <BR>@GREEN ipcop A: 192.168.0.1 <BR>@RED ipcop A: 193.39.200.1 <BR> <BR>@GREEN ipcop B: 192.168.1.1 <BR>@RED ipcop A: 193.40.200.1 <BR> <BR>@ sur le routeur C: <BR>193.39.200.254 <BR>193.40.200.254 <BR>192.168.2.1 <BR> <BR>OK...maintenant pour que le lan C voit le lan A: <BR>Que se passe-t'il si j'ajoute "ip route 192.168.0.0 255.255.255.0 gw 192.168.1.1" sur le routeur C ?? <BR> <BR>En tout cas depuis le lan C...on ne voit toujours pas le lan A... <BR> <BR>Normal ? <IMG SRC="images/smiles/icon_rolleyes.gif">
Avatar de l’utilisateur
elbibelo64
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 18 Oct 2003 00:00
Localisation: Bayonne (64)

Messagepar tomtom » 28 Oct 2003 13:50

rahhh.. <BR>Pourquoi 1.2 ? Je connais pas bien ipchains moi, j'espère qu'il n'y a rien qui bloque dan sles vpn... <BR> <BR>La 1.3 ca te tente pas ? <BR> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 28 Oct 2003 13:52

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-28 12:35, elbibelo64 a écrit: <BR>Dans le même esprit... <BR> <BR>Bonjour, <BR> <BR>(les @ sont toutes fictives of course!) <BR> <BR>lan A (192.168.0.0)--ipcop A--VPN--ipcop B--lan B(192.168.1.0)--routeur C--lan C(192.168.2.0) <BR> <BR>@GREEN ipcop A: 192.168.0.1 <BR>@RED ipcop A: 193.39.200.1 <BR> <BR>@GREEN ipcop B: 192.168.1.1 <BR>@RED ipcop A: 193.40.200.1 <BR> <BR>@ sur le routeur C: <BR>193.39.200.254 <BR>193.40.200.254 <BR>192.168.2.1 <BR> <BR>OK...maintenant pour que le lan C voit le lan A: <BR>Que se passe-t'il si j'ajoute "ip route 192.168.0.0 255.255.255.0 gw 192.168.1.1" sur le routeur C ?? <BR> <BR>En tout cas depuis le lan C...on ne voit toujours pas le lan A... <BR> <BR>Normal ? <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est exactement de ca qu'il est question <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>En théorie, il te suffit d'ajouter sur les ipcop un vpn lanA-lanC et ca va marcher tout seul ! <BR> <BR>Mais en pratique avec notre ami Calmarz, ca marche po <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar elbibelo64 » 28 Oct 2003 14:22

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>... <BR>C'est exactement de ca qu'il est question <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>En théorie, il te suffit d'ajouter sur les ipcop un vpn lanA-lanC et ca va marcher tout seul ! <BR> <BR>Mais en pratique avec notre ami Calmarz, ca marche po <IMG SRC="images/smiles/icon_bawling.gif"> <BR>t. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>tu veux dire Tomtom qu'il suffirait de créer un VPN ce Lan A vers Lan C pour que le Lan C voit le Lan A....Mais c'est normal.... <BR>Où est l'astuce....?? <BR>Un truc m'échappe! <BR> <BR>En gros, si il n'y a pas de vpn entre lan A et lan C....ils ne pourront pas se voir en passant par le vpn de lan B ...hum!
Avatar de l’utilisateur
elbibelo64
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 18 Oct 2003 00:00
Localisation: Bayonne (64)

Messagepar tomtom » 28 Oct 2003 14:46

ce n'est pas une astuce, c'est la seule possibilité.... <BR> <BR>IPSec verifie les ip source et destination des paquets, et si elles ne sont pas conformes à celle specifiée dans le tunnel, les paquets ne passent pas.... <BR> <BR>Tu as donc 2 solutions : <BR> <BR>soit tu "elargis" le vpn pour que du coté B, le "right network" soit l'ensemble des 2 reseaux B et C. <BR> <BR>soit tu ajoutes un tunnel (mais tojours entre les deux ipcops A et B !!) ... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar elbibelo64 » 28 Oct 2003 14:50

C'est parfait...c'est exactement ce que j'attendais comme réponse... <BR> <BR>En fait...serait-il possible alors d'élargir le réseau en tapant très large, du genre 192.0.0.0/8 d'un côté et 10.0.0.0/8 de l'autre ? <BR> <BR>Je pense que c'est possible mais e n'ai jamais testé! <BR> <BR>PS: Tomtom, je te trouve concie et fiable...merci d'être présent...
Avatar de l’utilisateur
elbibelo64
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 18 Oct 2003 00:00
Localisation: Bayonne (64)

Messagepar tomtom » 28 Oct 2003 14:56

Oui tu peux tout à fait elargir le VPN autant que tu veux.?. C'est d'ailleur ce qu'on utilise dans le cas des "hub VPN" avec un site central : On fait croire à chaque bout du vpn que tout le reste du réseau (tous les autres lan en fait) sont derrière le "site central", en elargissant le canal. <BR>Par exemple, avec Belugha, on a elargi le tunnel (chaque site est en classe B, mais voit un classe A derrière le site central qui englobe tous les autres classe B). Imparable <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Merci pour le compliment ça me touche <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar elbibelo64 » 28 Oct 2003 15:30

Vous bossez où avec Belhuga? <BR> <BR>Moi, je travaille dan sle monde Universitaire... <BR> <BR>Pour ce qui est de l'ouverture classe A , çà ressemble à une astuce de programmeur....çà me plaît bien! <BR> <BR>A+ <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
elbibelo64
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 18 Oct 2003 00:00
Localisation: Bayonne (64)

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité