vpn entre 2 ipcop 1.4

par **Guillome** » 08 Déc 2003 23:15

Je suis en train de faire un vpn entre 2 ipcop 1.4.0a2 avec un copain, mais ca ne fonctionne pas, il a beau l'activer de son coté dans "etat du systeme" le RPV est arreté. Est ce que qqu'un aurait deja eu un pb de ce genre ? merci

par **RastaRaoul** » 08 Déc 2003 23:22

bonjour a tous, comme le dit mon copain guillaume, j'ai beau cocher la case activé, le service vpn reste arrété.... c'est plutot galere.. je commence a péter les plombs, car chez lui ça s'active et pas chez moi. alors qu'on a la même version (1.4.0a2). j'avoue être à l'ouest... merci de vos réponce @+

par **Pierre34** » 09 Déc 2003 01:32

Bon je voulais faire un retour sur mon au secours je le ferais ici 2 IPCOPs 1.4.0.1a Serveur en IP fixe - client en IP dynamique avec 2 pattes vertes donc une n'est pas dans le VPN du moins je crois. C'est le client qui inite la connexion. Appliquer les modifs de gesp sur la reconnexion ***** Serveur ********** ipsec.conf config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.1.0/255.255.255.0,%v4:!192.168.2.0/255.255.255.0 conn %default keyingtries=0 disablearrivalcheck=no conn XXX right=XXX.dyndns.org rightsubnet=192.168.2.0/255.255.255.0 rightnexthop=%defaultroute left=ADRESSE_IP_FIXE leftsubnet=192.168.1.0/255.255.255.0 leftnexthop=%defaultroute dpddelay=30 dpdtimeout=120 dpdaction=hold authby=secret auto=add ipsec.secrets ADRESSE_IP_FIXE xxx.dyndns.org : PSK "mot_de_passe" crontab -e 5,15,25,25,45,55 * * * * /etc/rc.d/rc.vpncheck Fichier /etc/rc.d/vpncheck permission 755 #!/bin/bash # # rc.vpncheck # Si le eroute donne un tun0x connection OK # Le filtre sur le sous reseau permet de diffierntier les liaisons # PAS DE BOUCLE car s'est le distant qui initie la connection nb=`ipsec eroute | grep tun0x | grep -c 192.168.2.0` if [ "$nb" = "0" ] then echo `date`" rc.vpncheck : Pas de connection, on fait un restart ipsec" >> /var/log/messages /etc/rc.d/ipsec restart fi ****** Client *************** config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.2.0/255.255.255.0,%v4:192.168.3.0/255.255.255.0,%v4:!192.168.1.0/255.255.255.0 conn %default keyingtries=0 disablearrivalcheck=no conn STA right=xxx.dyndns.org rightsubnet=192.168.2.0/255.255.255.0 rightnexthop=%defaultroute left=ADRESSE_IP_FIXE leftsubnet=192.168.1.0/255.255.255.0 leftnexthop=%defaultroute dpddelay=30 dpdtimeout=120 dpdaction=hold authby=secret auto=add ipsec.secrets ADRESSE_IP_FIXE xxx.dyndns.org : PSK "mot_de_passe" crontab -e 0,10,20,30,40,50 * * * * /etc/rc.d/rc.vpncheck Fichier rc.vpncheck permission 755 #!/bin/bash # # rc.vpncheck # Si le eroute donne un tun0x connection OK # le filtre sur le sous reseau permet de differentier les connections nb=`ipsec eroute | grep tun0x | grep -c 192.168.1.0` if [ "$nb" = "0" ] then echo `date`" rc.vpncheck : Pas de connection ipsec, on fait un down puis un up" >> /var/log/messages /usr/local/sbin/ipsec auto --down XXX > /dev/null 2>&1 sleep 10 /usr/local/sbin/ipsec auto --up XXX > /dev/null 2>&1 sleep 10 fi Dans le rc.firewall les ajout se font juste avant le ;; avant le stop donc a la fin du start Du serveur #Pour le VPN # Inmportant pour l'autentification /sbin/iptables -I INPUT -i ppp0 -p udp --source-port 500 -j ACCEPT # On accepte les packets cryptés de 2 sources /sbin/iptables -A INPUT -p 50 -i ppp0 -j ACCEPT # Pour le ssh sur port 222 /sbin/iptables -A INPUT -i ppp0 -p tcp --destination-port 222 -j ACCEPT # prise en main via l'interface Web distante 445 /sbin/iptables -A INPUT -i ppp0 -p tcp --destination-port 445 -j ACCEPT # Les ports forwardes /sbin/iptables -I INPUT -i ppp0 -p tcp --destination-port 5900:5910 -j ACCEPT Du Client # pas d'entree pour le vpn on peut sortir # Pour le ssh sur port 222 /sbin/iptables -A INPUT -i ppp0 -p tcp --dport 222 -j ACCEPT # Pour la prise en main via l'intervase Web distante 445 /sbin/iptables -A INPUT -i ppp0 -p tcp --dport 445 -j ACCEPT # Les ports de prise en main de PC /sbin/iptables -A INPUT -i ppp0 -p tcp --destination-port 5900:5910 -j ACCEPT QUELQUES REMARQUES. - Pas de %any, j'ai assez galéré avant de lire le message de belugha qui l'indiqué donc passer pars dyndns. - Se serait plus joli si la procedure rc.vpcheck se lancé chaque 10 minutes, regarde si elle tourne deja, si oui se deconnecte, si non se met en attente de la connexion mais il faut un mecanisme basé sur par exemple un fichier contenant le num PID mais j'avais peur de problème de suppression sur arret intempestif puis de ne plus penser que le fichier exister et de galerer en cherchant une hypothetique panne donc j'ai fais simple. - Dans le rc.firewall il faudrais rajouter dans les paquets accepté un test sur les IPs mais il faut mettre en place un mecanisme. j'ai vue qu'il y avait ça dans les fichiers a telecharger mais pas eu le temps - Pour savoir si la connexion ipsec est active je me sers de ipsec eroute avec dans la chaine tun0x quans elle tombe on peux avoir la ligne de eroute mais je n'avais pas le tun0x si vous avez d'autres moyens plus sur que ce bricolage je prends. Beaucoup de chose (tout sauf rc.vpnchec) vient de Belugha et de gesp. Si vous connaissez l'instruction de redirection de port (sans passer par l'interface web je suis preneur (mais je n'ai pas encore cherché). Il faut (je n'en suis pas sur) actiiver les mises a jour de l'horloge. Bon j'espère n'avoir rien oublié Pierre

vpn entre 2 ipcop 1.4

Qui est en ligne ?