VPN et routteur

par **pepone2001** » 14 Mars 2003 17:07

Je suis chez Colt et j'ai l'impression que leur routeur ne laisse pas passer le VPN. Doit t'il y avoir des ports particulier a ouvrir vis a vis des VPN en général. Mon projet est de creer un VPN entre IPCOP et un Watchgard ( je sais ça n'a pas l'air facile :/ )

par **irl** » 15 Mars 2003 18:33

Si tu as des infos là dessus ca m'intéresse car je suis en train de monter plus ou moins le même projet que toi. Nous avons 5 implantations connectées à l'ADSl par un CISCO 826. Derrière chaque cisco, il y a un SmoothWall. Notre siège central a un Watchguard Firebox. J'aimerais aussi connecter chaque SmoothWall par VPN au Watchguard. Le problème c'est que chaque Smoothwall se trouve derrière le CISCo qui fait du NAT et je sais pas quel port on doit ouvrir. J'ai galèré mais je crois que la solution serait d'ouvrir et de Forwarder le port TCP 50 ou 1723 vers l'interface externe su SmoothWall. J'ai demandé une aide auprès des techniciens de notre provider et je saurai quoi peut-être lundi. Mon email : <a href="mailto:remi.ledecq@galilee.be">remi.ledecq@galilee.be</a> Si tu as d'autres infos je serais heureux que tu me les communiques merci d'avance. Si tu as un mail communique le moi ce sera plus facile. Il y a peu d'infos sur les formum concernant l'utilisation d'un vpn smoothwall ou ipcop derrière un routeur NAT, c'est très dommage.

par **antolien** » 15 Mars 2003 18:42

il y a un lien que louis à posté qui pourra peut être vous aider. <a href="http://jixen.tripod.com/" target="_blank">http://jixen.tripod.com/</a>

par **irl** » 16 Mars 2003 11:25

Merci beaucoup, Antolien. Pas évident car les exemples sont faits avec une installation complète de FreesWann et en plus dans sa config de réseau à réseau je me demande où il va chercher ses adresse ip 10.1.25.100 (adressse externe de son serveur vpn) et 10.1.25.1 (adresse interne de son routeur NAT).Cela ne me semble pas être des adresses privées ou je me trompe.Chez moi, j'ai 192.168.1.2 pour l'interface externe du Smoothwall et 192.168.1.1 pour l'interface interne du CISCO.L'adresse publique (une seule et qui est fixe) est sur l'interface externe du CISCO. internet | | 193.191.141.x CISCO 826 (NAT) 192.168.1.1 | | | 192.168.1.2 (ip rouge du Smooth) Smooth 192.168.10.2 (ip verte du smooth) | | | LAN (192.168.10.0/24) En considérant que l'autre site avec lequel je veux créer un VPN à les mêmes caractéristiques (sauf le lan 192.168.70.0/24 et l'ip publique fixe : 193.191.141.y) que dois je mettre comme gauche, droite prochain hôte de gauche etc..) Y a -t-il qqch à configurer sur le cisco ? Il parle du port udp 500 et du 50 ? Si on pouvait m'aider ce serait génial. Pour la connexion avec le WatchGuard, je verai plus tard. Si je pouvais déjà connecter 2 Smooth ou 2 IpCop ce serai fantastique. Au fait c'est mieux quoi pour le vpn, smooth ou ipcop ? Merci d'avance pour tous ceux qui se décarcassent pour aider les autres dans ce Forum, chapeau.! Si on pouvait m'aider ce serai

par **antolien** » 16 Mars 2003 18:57

c'est louis qu'il faut remercier pour sont lien et sa doc MNF pour le VPN <IMG SRC="images/smiles/icon_smile.gif"> De chaque côté tu as un firewall en façade et le ipcop derrière ? Les @ en 10.x.x.x sont bien des @ privées en classe A. ça parraît compliqué mais à ce que j'ai compris, tu dois ouvrir le 500 et le 50 en UDP sur le firewall. Et les config de gauche et droite sont différents... fais nous un shémas avec les 2 cotés du VPN svp et on va voir avec cette doc s'il y a moyen. je pense que les vpn ipcop et smoothwall sont identiques. et je crois que c'est basé sur freeswan.

par **irl** » 16 Mars 2003 20:22

génial. Si tu as une adresse email je peux t'envoyer un schéma détaillé avec les adresses ip (via forum c pas évident). Si on trouve la solution, je pense que j'écrirai un petit How-to sur le VPN derrière un routeur NAT en francais car j'ai trouvé la dessus pas mal de questio ns sur le net mais sans réponses, donc je crois que ca peut aider pas mal de monde. mon email : <a href="mailto:remi.ledecq@galilee.be">remi.ledecq@galilee.be</a> Merci beaucoup.

par **irl** » 16 Mars 2003 21:10

voilà la config que nous allons avoir : pour la partie gauche internet(adsl 3Mb/S) | | 193.191.141.x (ip rouge : ip fixe publique) CISCO 826 (NAT) 192.168.1.1 (ip verte : ip privée) | | | 192.168.1.2 (ip rouge du Smooth) Smooth (FIREWALL et VPN..du moins j'aimerais) 192.168.10.2 (ip verte du smooth) | | | LAN (192.168.10.0/24) Pour la partie droite internet(adsl 3Mb/S) | | 193.191.141.y (ip rouge : ip fixe publique) CISCO 826 (NAT) 192.168.1.1 (ip verte : ip privée) | | | 192.168.1.2 (ip rouge du Smooth) Smooth 192.168.170.2 (ip verte du smooth) | | | LAN (192.168.70.0/24) Conclusion et projet : Le sous réseau de gauche et le sous réseau de droite sont connectés à l'adsl par un routeur cisco 826 (NAT + port forwarding) prêté et configuré par la communauté française de Belgique (nous sommes une école sup).Nous avons donc 1 adresse ip fixe de chaque côté sur le cisco (193.191.141.x et 193.191.141.y ).Derrière chaque routeur CISCO il y a un FW SmoothWall. J'aimerais utiliser les SmoothWall pour créer un VPN afin de faire communiquer les LAN 192.168.10.0/24 et 192.168.70.0/24. Questions : 1) Y a-t-il qquch à tripatouiller sur le cisco (apparemment oui)?et Quoi ? 2)Que dois-je mettre précisément dans la config de chaque vpn Smoothwall (gauche ,droite et brol et brol). Je n'ai trouvé sur le net aucun how-to relatant ma situation, qui doit pourtant être courante. Chaque fois qu'on propose un exemple de config VPN avec un Sous-réseau naté, l'autre côté du VPN ne l'est pas ... et on dit simplement et facilement (et hypocrytement ..grr) qu'il suffit d'adapter la config pour que ca marche avec 2 sous-réseau naté....facile à dire .. Je promet que si ca marche et que je trouve la solution, j'écrirai ce How-to avec plaisir (et en français dans le texte .. he oui on n'est pas tous flamands en belgique..LOL). Un américain m'a proposé une solution en créant un premier VPN direct entre les CISCO puis "encapsuler" le VPN smoothwall dans le premier. C pas con mais cele ne me satisfait pas et je trouve cela compliqué.De plus cela va ralentir considérablement le trafic (double cryptage/décryptage) Merci beaucoup à tous ceux qui veulent bien m'aider.

par **antolien** » 16 Mars 2003 21:44

attend , mais si tu peux faire un VPN entre les cisco c'est bon tu n'as pas besoin d'en faire un autre ! il suffirai d'ajouter les routes sur les ipcop. par contre il y a un souci dans les @ entre les cisco et les smooth de chaque côté elle sont en 192.168.1.0/24 (il fau en changer 1 des 2) par exemple on va dire pour le coté droit 192.168.100.1 pour le cisco et 192.168.100.2 pour le smooth tu fais un vpn entre les 2 cisco puis du côté droit : tu ajoute la route 192.168.10.0/24 sur la smooth avec comme gateway ton cisco (192.168.100.1) et la route 192.168.70.0/24 sur la smooth avec comme passerelle ton autre cisco (192.168.1.1) comme ça c'est tout simple, et au pire il faudrait aussi ajouter une règle qui autorise en entrée les rézos vpn distants tu vois ce que je veux dire ?

par **irl** » 16 Mars 2003 21:55

yes sir je pige très bien. C'est une très bonne idée. Je vais voir avec le technicien de mon provider s'il peut me configurer le vpn avec le cisco 826 (car c pas vraiment certain et comme il n'y a qu'eux qui peuvent touvher au cisco, g pas le choix). En tout cas merci du conseil et pour l'idée. Si il y a quand même moyen de le faire direct avec smooth...j'aimerais quand même savoir comment faire, car a mon avis tous les routeurs NAT ne font pas directement du VPN comme le cisco. Merci beaucoup antolien. Je vous tiens au courant.Bonne fin de soirée

par **pepone2001** » 17 Mars 2003 10:56

Merçi antolien et irl je vais déjas essayer de faire ouvrir les ports 50 et 500 et faire quelques test car pour ma part je prefere faire moi meme le vpn pour tout un tas de raison, en particulier par ce que le provider n'est pas le meme des 2 cotés et je veut pouvoir gerer des VPN roadwarrior par la suite ( a ce propos si qqun a des informations concrete sur ce type de config je suis preneur <IMG SRC="images/smiles/icon_wink.gif"> )

par **irl** » 17 Mars 2003 12:01

Je viens de planifier la proposition d'antolien concernant le VPN entre les cisco et les routes à ajouter dans les smoothwall. J'ai l'impression qu'il y qqch qui cloche car sur le premier smooth de gauche je rentre : route add -net 192.168.70.0 netmask 255.255.255.0 gw192.168.1.1 Cela me ménera sur l'autre routeur cisco mais pas directement dans l'autre lan 192.168.70.0. Je suppose que l'autre SmoothWall va empêcher (par sa fonction de firewall) les machines de se contacter. Que voulais tu dire par "et au pire il faudrait aussi ajouter une règle qui autorise en entrée les rézos vpn distants" Car le VPN qui se ferait entre les 2 cisco est configuré pour faire communiquer les sousrezo 192.168.1.0/24 et 192.168.100.0/24 ??? (pas les sous-sous rezo) Je crois finalement que j'ai pas très bien compris. J'aimerais tout de même utiliser comme pepone le vpn de Smoothwall directement. Si tu as des infos en plus, pepone, cela m'intéresse toujours très fort. IDEm de mon côté car je cherche activement.

par **antolien** » 17 Mars 2003 15:17

en fait dans le cas d'irl, il faudrait ajouter une règle ipchains(ou iptables quelle version de smooth tu as ?) qui autoriserai en entrée sur les smooth les sousrézos. il n'y auras pas de prob de sécurité car cela reste des addresses privées. sinon, pour le reste , dans l'exemple du lien, il n'y a un routeur NAT que d'un seul côté. dommage mais il va falloir jongler et pitetre c possible. J'ai vu aussi que le protocole d'exhange des clefs(IKE) est sur le port 51. a suivre...

par **irl** » 17 Mars 2003 16:13

c'est une smoothwall 1.0. Donc c'est du ipchains. Pas facile. J'ai envoyé un mail au gars qui a fait l'article dans le lien .. on peut toujours rêver qu'il réponde pour aider.

par **irl** » 20 Mars 2003 11:26

Toujours pas nouvelles mais ca va venir.

par **pepone2001** » 20 Mars 2003 13:36

idem pour moi mais Colt m'a répondu qu'il devrait quand meme y avoir un port tcp a ouvrir mais demerdenSieSich <IMG SRC="images/smiles/icon_help.gif"> je cherche....

VPN et routteur

Qui est en ligne ?