Probleme avec ZERINA et openVPN

[jesbond]

Je vous explique le plus clairement possible mon Problème.

Structure :

Client 192.168.1.10 -- 192.168.1.254 GREEN -::-:IPCOP:-::- BLUE 192.168.2.254 --- Client WIfi 192.168.2.10

Ce que je veux faire :
- Installer un VPN entre mes interfaces BLUE et GREEN d'ipcop.

Pour cela j'ai installé ZERINA sur ipcop et OpenVPN GUI sur le client WIFI (IP : 192.168.2.10). J'ai créé des certificats en roadwarrior , je pense qu'ils sont corrects...

Mais quand je fais "connecter" sur le client WIFI, openVPN reste bloqué et indique ça :

Mon Oct 30 12:41:19 2006 UDPv4 link local (bound): [undef]:1194
Mon Oct 30 12:41:19 2006 UDPv4 link remote: 192.168.2.254:1194


Mon Oct 30 12:44:22 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Oct 30 12:44:22 2006 TLS Error: TLS handshake failed
Mon Oct 30 12:44:22 2006 TCP/UDP: Closing socket
Mon Oct 30 12:44:22 2006 SIGUSR1[soft,tls-error] received, process restarting
Mon Oct 30 12:44:22 2006 Restart pause, 2 second(s)
Mon Oct 30 12:44:24 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Oct 30 12:44:24 2006 LZO compression initialized
Mon Oct 30 12:44:24 2006 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Mon Oct 30 12:44:24 2006 Control Channel MTU parms [ L:1442 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 30 12:44:24 2006 Data Channel MTU parms [ L:1442 D:1442 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Oct 30 12:44:24 2006 Local Options hash (VER=V4): 'a6ae7d69'
Mon Oct 30 12:44:24 2006 Expected Remote Options hash (VER=V4): '006a55ce'

Sincèrement le tuto Kit NEwbie m'a servi mais je pense pas qu'il soit suffisement complet... Et à part ce lien http://home.arcor.de/u.altinkaynak/howt ... step1.html ou d'autre encore... on trouve carrément rien a ce sujet....

Depuis vendredi j'essaie de faire une bonne config et ça marche pas...

AIDEZ SVPPPPP !
Je sais vraiment plus quoi faire,..............................;[/quote]

[jdh]

Je pense que Zerina attend que le client soit du côté Red et non Blue, et que par conséquent Zerina ajoute une règle d'entrée qui n'est pas adaptée.

Mais, franchement, un access-point avec WPA doit être suffisamment efficace en terme de sécurité pour ne pas monter une couche supplémentaire de (pseudo-)sécurité.

Cela s'appelle de la paranoia. Et ce n'est pas la peine d'ouvrir un nouveau fil pour ça.

[jesbond]

De toute façon, même sans créer de VPN, je n'ai pas accer a mon reseau LAN (interface GREEN) a partir d'un client wifi (interface BLUE), et ça je ne sais pas pourquoi...
Je ne comprend pas pourquoi ça marche pas.
Je ne trouve pas d'aide....

[jdh]

Encore une fois les politiques par défaut d'IPCOP sont claires (et mentionnées dans le Newbie-kit).

RED => IPCOP : fermé

BLUE => IPCOP : fermé
BLUE => GREEN : fermé
BLUE => RED : ouvert

GREEN => IPCOP : ouvert
GREEN => BLUE : ouvert
GREEN => RED : ouvert (AMHA : hélas !)

Dans le newbie-kit, il y a même les explications pour autoriser certains traffics (selon le sens).

[jesbond]

Par exemple :
j'active mon service telnet sur le client LAN.
J'installe putty sur le client wifi pour me connecter au service telnet du lan sur le port 23.

Je créé une regle sur ipcop :
Parefeu - acces a la dmz -
Réseau d'origine : BLEU -
ip source : 192.168.2.10 (= client wifi) -
réseau de destination : VERT -
ip de destination : 192.168.1.10 -
port de destination : 23.

J'active ma règle .

et la j'arrive pas a me connecter en telnet au LAN....

voila mon premier probleme

[jesbond]

jai déjà lu le newbie-kit........

Faut surtout pas croire que jy met de la mauvaise volonté je suis acharné sur ipcop.....
J'aimerai bien reussir a faire ça qd meme !

[jdh]

Je ne suis pas spécialiste d'IPCOP mais en principe c'est ça.

Kesako Telnet ? (je plaisante) Entre un openvpn et utiliser Telnet, y a comme une grande différence en terme de sécurité. Je pensais que plus personne n'utilisait Telnet tellement c'est "insecure" !

Une fois le service Telnet activé, cela fonctionne-t-il avec un PC sur le même réseau (Green) ?

(Telnet=TCP/23)

[jesbond]

Une fois le service Telnet activé, cela fonctionne-t-il avec un PC sur le même réseau (Green) ?

J'ai qu'un seul PC dans le reseau GREEN...
Je travaille sur une maquette...

[m2nis]

Je pensais que plus personne n'utilisait Telnet tellement c'est "insecure" !

Une large proportion des routeurs du marché ne propose encore QUE telnet pour l'administration... distante! Heureusement, l'ouverture du port peut être restreint à certaines ip seulement.

[jdh]

Je sais bien ! Mais, comme chacun sait, "telnet" fait passer en clair les mots de passe.

Il est regrettable que cela ne migre pas vers du "ssh" (avec clé et authentification).

En revanche, en principe, on ne passe pas sa vie à configurer des routeurs. Donc les sessions telnet sont peu nombreuses (et courtes). Donc un mot de passe "solide" doit pouvoir aider. Il serait souhaitable que le telnet" ne soit autorisé que de l'intérieur et/ou avec certaines ip.

J'ai souvenir d'un routeur (installé dans 6 pays pour un réseau européen que j'avais construit) dont le prestataire exigait une ligne rtc pour un modem d'administration. C'était assez bien conçu.

Cela dit il reste pas mal de protocoles qui passe des choses en clair : telnet, ftp, http, smtp, pop3, ...


Tu auras noté que je voulais (enfin j'essayais) de mettre un peu d'humour dans la différence de sécurité entre un "telnet" et un "openvpn".

[jesbond]

C'est bien gentil tout ça.......
Mais vous vous égarez un peu de mon problème.

Je parle de telnet juste pour faire des tests de communication entre 2 postes.
POUR VERIFIER les PINHOLE que j'ai créé sur ipcop et ça marche pas....

bref je sens que je v pas m'en sortir....

[jdh]

Le ping me parait le test le plus simple plutot que de mettre en oeuvre un service ("telnet").

Encore une fois, il faut faire un test direct puis ensuite mettre les machines à leur place (blue et green).

Je pense qu'IPCOP doit permettre cela de façon simple (idéalement avec BOT). Quelquefois c'est bien plus simple qu'imaginé et paramétré.

[m2nis]

En revanche, en principe, on ne passe pas sa vie à configurer des routeurs.

Heureusement!

Donc les sessions telnet sont peu nombreuses (et courtes). Donc un mot de passe "solide" doit pouvoir aider.

A partir du moment où il circule en clair, le "solide" devient très relatif...

Tu auras noté que je voulais (enfin j'essayais) de mettre un peu d'humour dans la différence de sécurité entre un "telnet" et un "openvpn".

Oui oui, même si j'ai basculé dans un mode un poil plus "sérieux".

C'est bien gentil tout ça.......
Mais vous vous égarez un peu de mon problème.

Ah bon?
A mon avis, vous devriez faire une règle dans un premier temps la plus ouverte possible pour tenter de cerner votre problème. Au lieu d'ouvrir bleu:23 vers vert, ouvrez donc bleu vers vert. Une fois que tout fonctionne, il est toujours temps de refermer.

Par ailleurs, n'oubliez pas que le journal du pare-feu est certainement votre meilleur ami dans ce genre de cas. S'il m'a aidé avec autant de patience, il devrait bien en faire de même avec vous.

[jesbond]

Bon jai fini par reinstaller IPCOP mais cette fois ci avec 3 interfaces seulement, au lieu de 4.
J'ai supprimé ORANGE.

Bon point déjà, c'est que je pinguer le client wifi a partir du lan, mais que je pe pas le faire dans le sens inverse.

Donc sa respecte bien les regles par défault d'ipcop.

[jesbond]

Par contre jai toujours le meme probleme.
C'est qu'à partir du client LAN, j'arrive 1 fois sur 4 à me connecter à l'interface web d'ipcop pour le configurer.

http://192.168.1.254:81


et pourtant ça ping en continu, ya jamais de coupure ....

vous savez de koi sa peut venir ?