Salut,
Voici notre situation:
Site A 192.168.10.0 Routeur Equant A
GW 192.168.10.1 ---------->
Site B 192.168.11.0 Routeur Equant B
GW 192.168.11.1 ---------->
-------- VPN --------> Routeur WAN -----> Internet
Site C 192.168.12.0 Routeur Equant C
GW 192.168.12.1 ---------->
Site D 192.168.13.0 Routeur Equant D
GW 192.168.13.1 ---------->
Ces 4 sites sont reliés entre eux via un réseau vpn equant, les 4 sites accèdent a internet via une sortie reliée directement au vpn.
Nous disposons d'un firewall ipcop (GW) sur chaque site, qui pointe vers le routeur equant, j'aimerais pouvoir accéder librement aux machines des différents sites, le problème est qu'ipcop fait du nat sur tout ce qui sort par l'interface RED et ne laisse pas passer le traffic entrant vers les postes du réseau local GREEN.
Sans IPCOP cela fonctionne parfaitement mais je n'ai aucun controle sur le flux internet, c'est la raison pour laquelle nous avons décidé de poser un firewall sur chaque site.
Une solution serait d'utiliser le vpn ipcop mais cela reviendrait a faire un "vpn dans le vpn
Est-ce possible de désactiver le nat vers les sites en vpn? ou le désactiver complètement? vu que le Routeur WAN se chargera de masquer les adresses privées.
Merci d'avance
ipcop et configuration réseau equant vpn multi-sites
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
ipcop et configuration réseau equant vpn multi-sites
par seba7 » 16 Fév 2006 01:30
- seba7
- Matelot
- Messages: 4
- Inscrit le: 16 Fév 2006 01:05
par Franck78 » 16 Fév 2006 01:54
Hello,
J'ai pas l'occasion d'essayer en réél mais cela ne doit pas poser de problèmes insurmontables. Pour désactiver totalement le 'masquerade', il suffit de mettre en commentaire la ligne le déclenchant.
Dans /etc/rc.d/rc.firewall, un coup de 'cherche' sur MASQ (ligne 119), place la ligne en commentaire et redémarre IPCop.
Si problème il y a, tu le verras rapidement. En tout cas, c'est une option qui mérite d'exister dans IPCop, pour gérer le cas des réseaux entièrement privés!
bye
J'ai pas l'occasion d'essayer en réél mais cela ne doit pas poser de problèmes insurmontables. Pour désactiver totalement le 'masquerade', il suffit de mettre en commentaire la ligne le déclenchant.
Dans /etc/rc.d/rc.firewall, un coup de 'cherche' sur MASQ (ligne 119), place la ligne en commentaire et redémarre IPCop.
Si problème il y a, tu le verras rapidement. En tout cas, c'est une option qui mérite d'exister dans IPCop, pour gérer le cas des réseaux entièrement privés!
bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par seba7 » 16 Fév 2006 02:30
En mettant cette ligne en commentaire, j'ai toujours l'accès a internet par contre je ne ping plus les réseaux derriere IPCOP.
Y'a t'il des règles iptables bloquant ce traffic?
Y'a t'il des règles iptables bloquant ce traffic?
Franck78 a écrit:Hello,
J'ai pas l'occasion d'essayer en réél mais cela ne doit pas poser de problèmes insurmontables. Pour désactiver totalement le 'masquerade', il suffit de mettre en commentaire la ligne le déclenchant.
Dans /etc/rc.d/rc.firewall, un coup de 'cherche' sur MASQ (ligne 119), place la ligne en commentaire et redémarre IPCop.
Si problème il y a, tu le verras rapidement. En tout cas, c'est une option qui mérite d'exister dans IPCop, pour gérer le cas des réseaux entièrement privés!
bye
- seba7
- Matelot
- Messages: 4
- Inscrit le: 16 Fév 2006 01:05
par Franck78 » 16 Fév 2006 14:15
Soit plus précis que ça dans ton rapport si tu veux m'aider.
Sans tester tout IPCop dis moi seulement ce qui ne marche plus explicitement. Ping, oui il y des règles, et dans le GUI même.
En commentant seulement la ligne NAT, le service 'xyz' vérifié fonctionnel avant, cassé après: symptome: [log ou toute info diagnostique utile].
a tester:
-proxy squid
-vpn (à cause du NAT traversal!)
-les transferts de ports vers un serveur ORANGE et/ou GREEN
-un accès externe (transfert de port vers l'IPCop itself).
Puisque l'IPCop devient un routeur classique, vérifier par acquis de concsience que rien d'autre que ce qui est permis par les transferts de ports ne passe.
Note que cela ne suffit pas [l'absence de NAT] à 'ouvrir' un port. Il faut toujours un transfert explicite!
Sans tester tout IPCop dis moi seulement ce qui ne marche plus explicitement. Ping, oui il y des règles, et dans le GUI même.
En commentant seulement la ligne NAT, le service 'xyz' vérifié fonctionnel avant, cassé après: symptome: [log ou toute info diagnostique utile].
a tester:
-proxy squid
-vpn (à cause du NAT traversal!)
-les transferts de ports vers un serveur ORANGE et/ou GREEN
-un accès externe (transfert de port vers l'IPCop itself).
Puisque l'IPCop devient un routeur classique, vérifier par acquis de concsience que rien d'autre que ce qui est permis par les transferts de ports ne passe.
Note que cela ne suffit pas [l'absence de NAT] à 'ouvrir' un port. Il faut toujours un transfert explicite!
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par seba7 » 16 Fév 2006 16:36
Tout le traffic vers les réseaux derriere l'interface red est bloqué (telnet, ping, http...) alors qu'avec le NAT activé ca marchait, en revanche le traffic en direction d'internet fonctionne toujours.
Apparament pour que cela marche il y aura du bidouillage a faire, et sur une machine de production je suis pas trop pour, a moins d'un add-on spécial prévu pour...
As-t'on une grande perte de bande passante due au cryptage du vpn? est-ce possible de désactiver le cyptage? etant donné que je suis déja sur un réseau sécurisé.
Apparament pour que cela marche il y aura du bidouillage a faire, et sur une machine de production je suis pas trop pour, a moins d'un add-on spécial prévu pour...
As-t'on une grande perte de bande passante due au cryptage du vpn? est-ce possible de désactiver le cyptage? etant donné que je suis déja sur un réseau sécurisé.
- seba7
- Matelot
- Messages: 4
- Inscrit le: 16 Fév 2006 01:05
par Franck78 » 16 Fév 2006 23:32
seba7 a écrit:Tout le traffic vers les réseaux derriere l'interface red est bloqué (telnet, ping, http...) alors qu'avec le NAT activé ca marchait,
C'est encore une fois pas clair du tout ton explication. C'est le fonctionnemant normal d'IPCop: bloquer ce qui vient de RED....
L'unique possibilité d'accès au [green] est avec un transfert de port et vers une seule machine[=pas de routage].
Le transfert de port marche ou marche plus?
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par seba7 » 17 Fév 2006 04:25
C'est le traffic de GREEN vers RED, en direction du réseau VPN qui est bloqué.
Vers INTERNET ca fonctionne toujours.
Par exemple , avant je pouvais communiquer avec mon routeur derrière RED (telnet...) , avec le NAT désactivé, je peux plus.
Il faudrait donc une règle pour autoriser mon LAN GREEN a acceder au VPN via un routage classique et vice versa
Vers INTERNET ca fonctionne toujours.
Par exemple , avant je pouvais communiquer avec mon routeur derrière RED (telnet...) , avec le NAT désactivé, je peux plus.
Il faudrait donc une règle pour autoriser mon LAN GREEN a acceder au VPN via un routage classique et vice versa
- seba7
- Matelot
- Messages: 4
- Inscrit le: 16 Fév 2006 01:05
par Franck78 » 21 Fév 2006 13:23
Je crois qu'il faudrait un schéma plus détaillé que l'esquisse du premier post....
Tes explications sont décidément très incomplètes.
D'ou? Du site A? Si oui, cela passe bien par le vpn puisque c'est le seul moyen d'atteindre le routeur vers l'internet (site B).
Tes explications sont décidément très incomplètes.
Vers INTERNET ca fonctionne toujours.
D'ou? Du site A? Si oui, cela passe bien par le vpn puisque c'est le seul moyen d'atteindre le routeur vers l'internet (site B).
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité