VPN host-to-LAN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN host-to-LAN

Messagepar nuer » 16 Juin 2004 17:19

J'ai monté un ipcop 1.4.0b3 pour faire un VPN de type Host-to-LAN.

Après avoir suivi les procédures :
http://www.ipcop.org/cgi-bin/twiki/view ... opVPNHowto
http://www.ipcop.org/cgi-bin/twiki/view ... VPNW2Kv140

La liaison VPN se fait correctement entre un portable itinérant winXP et le ipcop (ping sur l'interface GREEN est ok), par contre il n'est pas possible de pinguer les postes du LAN ni de se connecter à leur ressources partagées. Est ce normal ? J'ai l'impression que oui dixit le howto sur le vpn road warrior. Y a t il une manière de rendre ça possible ?

Merci.
nuer
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juin 2004 17:11

Messagepar braouazou » 16 Juin 2004 17:29

Personnellement, pas de problème de ce genre de mon coté avec un client Win2k ou Debian. Bien entendu, tu n'as pas les machines du réseau dans les favoris réseau, il te suffit d'entrer \\IP dans une barre d'adresse et ça roule ;-)

Regarde les posts de la semaine dernière , Belougha nous a posté les liens vers 2 how-tos qui ont l'aur plus que complets, ça pourra sans doute t'aider !
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar nuer » 16 Juin 2004 17:40

braouazou a écrit:Personnellement, pas de problème de ce genre de mon coté avec un client Win2k ou Debian.


Tu fais comment, avec des certif ou en shared-key ? Pour l'instant je veux le faire en shared-key.

braouazou a écrit:Bien entendu, tu n'as pas les machines du réseau dans les favoris réseau, il te suffit d'entrer \\IP dans une barre d'adresse et ça roule ;-)


Ca je me doute, j'en espérais pas autant :)

braouazou a écrit:Regarde les posts de la semaine dernière , Belougha nous a posté les liens vers 2 how-tos qui ont l'aur plus que complets, ça pourra sans doute t'aider !


J'ai suivi le premier, mais je pense être un peu paumé dans le ipsec.conf de ipcop. J'ai adapté celui par défaut mais c'est rempli de paramêtre dont je ne suis pas sur qu'ils soient nécessaire.
nuer
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juin 2004 17:11

Messagepar braouazou » 16 Juin 2004 17:52

J'utilise une pre-shared key (je vais tenter ce week-end les certificats, par curiosité ;-) )

Edit: D'ailleurs, si quelqu'un a des tuyaux pour la mise en place des certificats pour un client Linux... Je n'ai pas réussi à mettre la main sur une seule doc!

J'ai eu beaucoup de mal à mettre en place ce VPN, mais avec le recul, je me rends compte que tous mes problèmes étaient liés à la configuration de mes clients, pas de problème avec IPCop! J'utilise même l'interface web!

Au cas où ça puisse t'aider, voici mes fichiers de configuration:

-----------------------------------------------------------------------------------

Du coté d'IPcop (@IP dynamique, donc dyndns):
Code: Tout sélectionner
config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        plutoload=%search
        plutostart=%search
        uniqueids=yes
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.1.0/255.255.255.0,%v4:!192.168.2.0/255.255.255.0

conn %default
        keyingtries=0
        disablearrivalcheck=no

conn RoadWarrior
        left=mon.dyndns.org
        leftnexthop=%defaultroute
        leftsubnet=192.168.1.0/255.255.255.0
        right=%any
        rightsubnet=vhost:%no,%priv
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        authby=secret
        auto=start


-----------------------------------------------------------------------------------

Mon client Win2k:
Code: Tout sélectionner
conn Roadwarrior
      right=%any
      left=mon.dyndns.org
      leftsubnet=192.168.1.0/255.255.255.0
      presharedkey=***********


-----------------------------------------------------------------------------------

Mon client Debian sid:
Code: Tout sélectionner
config setup
   # Debug-logging controls:  "none" for (almost) none, "all" for lots.
   klipsdebug=none
   plutodebug=none
   interfaces=%defaultroute


conn %default
        keyingtries=0
        disablearrivalcheck=no

conn roadwarrior
        right=mon.dyndns.org
        rightsubnet=192.168.1.0/24
        left=%defaultroute
        authby=secret
        auto=add


Sur le serveur et sur mon client debian, le fichier ipsec.secrets a la syntaxe:
Code: Tout sélectionner
mon.dyndns.org %any : PSK "********"


J'espère que ça pourra t'aider, peut-être d'autres aussi ;-)

@+
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar nuer » 16 Juin 2004 18:21

braouazou a écrit:J'utilise une pre-shared key (je vais tenter ce week-end les certificats, par curiosité ;-) )

J'ai eu beaucoup de mal à mettre en place ce VPN, mais avec le recul, je me rends compte que tous mes problèmes étaient liés à la configuration de mes clients, pas de problème avec IPCop! J'utilise même l'interface web!


Au cas où ça puisse t'aider, voici mes fichiers de configuration:



Merci de ton aide. J'ai des fichiers quasi identiques mise à prt que j'avais rajouté des parametres comme sur les doc (auto=add, type=tunnel ...) Je viens de réessayer et toujours le même résultat, le LAN est invisible.
nuer
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juin 2004 17:11

Messagepar Franck78 » 16 Juin 2004 18:38

@braoua*

Bienvenue au club x509:

moi, popoch, bzh-tux (bientôt), touffator.

Alors ca ne marche pas avec l'interface ipcop. J'arrive pas à recouper ce que fait le cgi avec les docs x509 trouvés au hazard.
Il n'y en a d'ailleurs absolument aucun entre deux Ipcop/x509 de docs.


A lire pour s'imprégner:
http://www.openswan.org/docs/local/README.x509

Et personne ici n'a réussi ...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar braouazou » 16 Juin 2004 19:00

Et bien c'est encourageant!! En tout cas merci Franck pour ta réponse.

Je vais sans doute quand même tenter le coup un de ces jours (peut-être pas ce week-end histoire de ne pas le bouffer avec ces histoires), histoire de rejoindre votre club ;-)
C'est dommage...

@+
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar poudre » 17 Juin 2004 10:49

Bonjour Nuer,

si tu ne peux pas pinger ton lan, regarde déjà les routes définie sur les postes du lan pour atteindre ton road warrior.

Pascal.
poudre
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 159
Inscrit le: 21 Nov 2003 01:00

Messagepar nuer » 17 Juin 2004 14:08

poudre a écrit:si tu ne peux pas pinger ton lan, regarde déjà les routes définie sur les postes du lan pour atteindre ton road warrior.


Oui c'est ce que je me disais, il doit y avoir un problème de routage et je pense savoir d'ou ça peux venir. Il faut que mes postes du Lan aient une route définie pour atteindre le roadwarrior, c'est bien ça ? Merci de m'avoir soulever le problème.
nuer
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juin 2004 17:11

Messagepar poudre » 17 Juin 2004 14:27

C'est ça si le PC IPcop n'est pas la passerelle par défaut des machines se trouvant sur le lan.
Pascal.
poudre
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 159
Inscrit le: 21 Nov 2003 01:00

Messagepar nuer » 17 Juin 2004 18:28

poudre a écrit:C'est ça si le PC IPcop n'est pas la passerelle par défaut des machines se trouvant sur le lan.


Bon désolé de tout ce bruit, la passerelle par défaut sur mes postes du Lan n'est pas ipcop, donc ça ne pouvait vraiment pas fonctionner et j'avais complètement oublié ce "détail". Merci à tous.
nuer
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juin 2004 17:11

Messagepar braouazou » 17 Juin 2004 19:18

Je n'y avais pas pensé non plus...
Mais forcément ;-)

Ajoute la route manuellement, et tu ne devrais plus avoir de problème!!
Et n'oublie pas de poster la solution, ça servira sans doute à d'autres //
@+
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron