[Résolu] VPN avec routeur intercalé

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] VPN avec routeur intercalé

Messagepar tocqueville » 15 Juin 2004 07:05

Bonjour,

Je me bats depuis 3 jours dans les différents posts et je ne doute pas que ce sujet ait été abordé mais je n'ai pas trouvé ma réponse, alors toutes mes excuses anticipées si ce post vous semble redondant.

Un petit schéma :
Site 1
NET ---<Modem Cable>--- Interface RED ---<IpCop 1>--- Interface GREEN --- LAN
(Ip Dynamique / Dyndns) (192.168.20.254)

Site 2
NET --- Ip Fixe ---<Routeur>--- IP Interne --- Interface RED ---<IpCop2>--- Interface GREEN --- LAN
(81.80.xx.xx) (192.168.1.1) (192.168.1.2) (192.168.20.254)
Sur cette base je cherche à établir entre ces 2 sites un VPN qui s'obstine à rester fermé avec ces paramètres :

Gauche
Ip Locale : (RED par défaut) Activé
Gauche : dyndns (testé et validé)
Prochain Hote de Gauche : %defaultRoute
Sous-Réseau : 192.168.10.0/24

Droite
Ip Locale : 81.80.xx.xx Activé
Droite : 192.168.1.2
Prochain Hote de Gauche : %defaultRoute
Sous-Réseau : 192.168.20.0/24

Compression : ON

Nom de Configuration et Clé de Cryptage identiques des 2 cotés

Je pense que le problème devrait être résolu par une règle de routage pour acheminer 192.168.1.2 vers 81.80.xx.xx sur le site2 mais je ne maitrise pas et j'ignore s'il doit y avoir également une règle de routage sur le site1

Merci d'avance de votre aide
Dernière édition par tocqueville le 08 Sep 2004 13:12, édité 2 fois au total.
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar popoch » 15 Juin 2004 21:34

ton vpn ne pourra fonctionner qu a une seule condition :

il faut que ton routeur sur ton deuxieme site soit compatible avec le draft "nat through ipsec"... s il ne l est pas, cela ne fonctionnera jamais... je te conseille de le passer en simple "modem" si tu peux... (pour tester dans un premier tps)...
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Messagepar erreipnaej » 15 Juin 2004 21:54

Bonsoir,

Je ne sais pas si ton routeur peut être à l'origine du probleme mais à mon avis tes infos ne sont pas bonne.
Voila ce que j'ai dans le VPN fonctionnel que j'établie régulierement avec 2 dydns. (IpCop 1.3 fix 9 des 2 cotés)

Gauche: gauche.dyndns.org
Prochain hôte de gauche:%defaultroute
Sous-réseau de gauche: 192.168.100.0/24

Droite: droite.dyndns.org
Prochain hôte de droite:%defaultroute
Sous-réseau de droite: 192.168.10.0/24

Bien evidemment de l'autre coté le gauche devient droit et le droit devient gauche ce qui donne:

Gauche: droite.dyndns.org
Prochain hôte de gauche:%defaultroute
Sous-réseau de gauche: 192.168.100.0/24

Droite: gauche.dyndns.org
Prochain hôte de droite:%defaultroute
Sous-réseau de droite: 192.168.10.0/24

Pour ton cas, tu doit remplacer droite ou gauche, c'est selon par ton IP fixe.

J'espére que cela t'aidera à avancer dans ton probléme.
@+
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar tocqueville » 15 Juin 2004 23:29

Bonjour et Merci à tous les deux pour ces éléments de réponses.

Je vais récupérer les caractéristiques du routeur pour vérifier la compatibilité passthrough et vous tiendrais informé.

Par contre, je n'avais pas compris qu'il fallait inverser les paramètres droite & gauche selon le lieu et c'est peut être le deuxième élément de réponse.

Cependant, je m'interrogeais sur la nécessité d'établir une route vers l'ip fixe du routeur sur le site2 à partir de l'interface RED du firewall IPCOP2.

J'ai en effet vainement essayé de paramétrer la route sur le site2 au moyen de la commande suivante :
route add -net 192.168.10.0/24 gw 81.80.xx.xx eth1

Sauriez vous me dire où je me suis trompé ?

Merci d'avance
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar djej » 15 Juin 2004 23:46

salut,

@tocqueville
je pense que le problème vient effectivement du routeur intercallé.
pour le problème de route, je dirai que la route ne sera pas sur eth1 mais sur ipsec1 qui est l'interface du VPN

@erreipnaej
non, il ne faut pas interchanger les coté, la configuration doit etre le même des deux coté. On parle de droite et gauche dans le sens global du vpn. comme si on regarde les deux bouts du VPN sur le papier, il y en a un à droite et un à gauche.

voila.

bon courage @+
Avatar de l’utilisateur
djej
Major
Major
 
Messages: 86
Inscrit le: 26 Nov 2002 01:00
Localisation: NANTES

Messagepar tocqueville » 16 Juin 2004 00:02

Bonjour à tous

Merci @djej pour cette mise au point et c'est effectivement ce que j'avais compris quand à la permanence des paramètres gauche et droite mais, comme je n'ai jamais monté de VPN, j'ai néammoins testé cette solution sans plus de succès.

Je vais donc rétablir un paramétrage identique des 2 cotés mais, par contre, y-a-t-il une importance dans le choix du droite et du gauche : lorsque je regarde l'écran de contrôle du RPV, le réseau qui s'affiche doit-il correspondre au réseau local (192.168.10.0 sur le site1) ou au réseau distant (192.168.20.0 sur le site1) ?

J'espère être assez clair et je vous remercie d'avance de votre aide.
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar tocqueville » 16 Juin 2004 00:19

Juste une précision complémentaire :

Je viens de tester, sur le site1, la commande
"route add -net 192.168.10.0/24 gw 81.80.xx.xx dev ipsec0"

qui s'est soldé par l'erreur :

"SIOCADDRT : Network is unreachable"

Sauriez vous me dire où est l'erreur ?
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar djej » 16 Juin 2004 00:49

eu question à la con, je pense pas avoir tout suivi au niveau de ton plan d'adressage IP.

ton site A:
RED=>IP dynamique
GREEN=>192.168.10.254

ton site B:
RED routeur=>81.80.xx.xx
GREEN routeur=>192.168.1.1
RED ipcop=>192.168.1.2
GREEN ipcop=>192.168.20.254


de plus la route tu l'ajoutes sur l'ipcop du site A ou du site B? parceque la c'est vraiment pas clair, ou faut vraiment que je me couche.

merci de nous éclairer.
bon courage @+
Avatar de l’utilisateur
djej
Major
Major
 
Messages: 86
Inscrit le: 26 Nov 2002 01:00
Localisation: NANTES

Messagepar tocqueville » 16 Juin 2004 01:40

Pour ce qui concerne la synthèse des sites, celà correspond effectivement à la réalité.

Pour ce qui concerne la route que j'envisage de créer, il me semble que ce soit sur le site B qu'il soit nécessaire de la renseigner mais je ne suis pas un spécialiste.

Pour compléter ces informations, le site A est en ADSL par Oleane qui oblige un routeur ATM derrière le modem ADSL. Je l'aurais bien déconnecté pour raccorder directement l'interface RED IPCop A mais comme la liaison sortante du modem est ATM je ne sais comment le faire.

Merci de votre aide.

@+
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar Franck78 » 16 Juin 2004 02:23

Hello,

Ce n'est pas une bonne idée de vouloir supprimer le routeur Oléane. On général ils s'en servent pour établir leurs statistiques et autres contrôles.

Et left/right ne sert pas a autre chose que donner une représentation visuelle de la connexion. Avec deux extémités, freeswann n'a aucun mal a repérer de quel coté il est !

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tocqueville » 16 Juin 2004 05:15

Bonjour,

Voici les informations relatives au matériel coté Site B

Modem ADSL Hi-Focus ANET 930 & Routeur SpeedStream 5711 interconnectés par le port ATM / X25.

Par contre, malgré mes recherches sur le Net, il m'a été impossible de savoir si ce routeur était compatible avec le draft "nat through ipsec" tel qu'évoqué par Popoch..

Si quelqu'un a des infos ?

Merci d'avance
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar tocqueville » 19 Juin 2004 05:16

Bonjour à tous,

Sans information sur la compatibilité du matériel, je vais tenter de poursuivre mais il me reste un problème relatif au routage.

Sauriez vous m'indiquer les règles de routages à appliquer (et sur quel site) pour faire communiquer les lan 192.1268.10.0 et 192.168.20.0 en sachant que, sur le Site 2, l'adresse visible (81.80.xx.xx) est indirecte pour Ipcop 2.

Merci d'avance.
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar Franck78 » 19 Juin 2004 10:59

C'est jamais évident à débuggé le vpn.


Pour voir exactement dans quel état chaque pee se trouve:

#ipsec auto --status

si tu veux publier le résultat de chaque peer ...
bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tocqueville » 19 Juin 2004 19:46

Merci Franck pour ton info.

Effectivement je vais voir celà mais malheureusement, à force de bricoler, j'ai planté la passerelle côté boulot et je vais devoir y aller pour la relancer.

J'ai en effet profité du week end pour "bidouiller" les règles de routage de chez moi mais j'ai dû me planter et du coup plus d'accès.

Cependant, même si je me doute que ce n'est pas simple, saurais tu mettre en oeuvre les règles de routage nécessaires en eth1 et ipsec0 ?

Merci d'avance
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

routeur speedstream 5711

Messagepar nano77 » 30 Juin 2004 19:47

Bonjour,

Je me permets d'intervenir car, si je ne suis pas un spécialiste du VPN, pour le routeur je suis un plus dans mon domaine.
Il faut avant tout que vous contactiez Oleane pour leur demander dans quel version IOS se trouve le routeur . L'IOS doit être au minimun en 5.3.160. Si vous étes en 4.0.9 aucune chance de faire fonctionner le VPN.
Ensuite il est toujours bon leur faire vérifier les ouvertures de port et de protocole.
Si c'est de l'IPSEC, ils doivent ouvrir le port 500 en UDP sur votre machine ainsi que tous les ports avec le protocole 50, toujours sur votre machine.

Voilà.
En espèrant vous avoir aider :)
nano77
Matelot
Matelot
 
Messages: 1
Inscrit le: 30 Juin 2004 19:35

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité