[RESOLU] Je galère ... Vpn ou OpenVPN pour mon cas...

[ldarnis]

Bonsoir,

Je dois monter un VPN avec une boîte au Texas qui me dit que sur

l'Ipcop local subnet je dois mettre 10.X.X.X/255.255.255.0 ( alors que mon local subnet est du style 192.172.X.X/255.255.255.0)

et du côté ipcop remote host/ip je dois mettre 145.X.X.X

et j'ai une PSK

Le vpn se monte bien mais comment puis-je faire pour avoir accès depuis une machine du réseau local 192.172.X.Y à une adresse du réseau 145.X.X.Y ???

Je cale et je suis dans la galère car avec le décalage horaire je suis pas mal bloqué ...

Merci pour votre aide

[ldarnis]

RE,

J'oubliais je suis en IPCOP 1.4.13 et j'ai installé la dernière de ZERINA au cas où


Merci

Lionel

[ldarnis]

Voici la config exacte qui me permet de construire le VPN :

conn TexasBordel
left=X.X.X.X
leftnexthop=%defaultroute
leftsubnet=10.129.81.0/255.255.255.0
right=X.X.X.X
rightsubnet=138.113.0.0/255.255.0.0
rightnexthop=%defaultroute
ike=3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=no
authby=secret
auto=start

Mon problème vien du fait que mon réseau local est en 192.168?65.0/24 et que j'ai besoin de joindre des machines se trouvant sur des réseaux 138.113.114.0 /24 et 138.113.18.0 /24

Bref je galère vraiment !!

HELP !!!

[ldarnis]

En fait je pe,nse qu'il faut que je puisse faire du NAT sur mon réseau local par rapport à ce VPN ; qq'un aurait-il une idée , ou alors en faisant des routes du type :

route add -net 10.129.81.0 netmask 255.255.255.0 gw 192.168.65.1 eth0


JE ne sais plus ...

Personne ne veut m'aider

lionel

[loberty]

Bonjour

Jute un conseil, malheureusement pas la solution :

... monte 1 plateforme avec 2 IPCOP et reproduit la config en labo, ce sera plus simple pour toi

A+

[ldarnis]

Bonsoir,

Je ne vais pas monter la config en labo entre deux ipcop car je pense que c'est ipcop qui a une limitation là dessus sur la partie VPN.
Le firewall en face de moi est un CISCO 13XX , donc je n'ai pas trop le choix...

Etant donné que le VPN est UP je suis persuadé que le problème pourrait ê^tre résolu avec un NAT approprié mais je galère à ce sujet ou alors peut-être par du routage mais pas trouvé non plus,

Deux jours que je suis dessus et vraiment avec le décalage horaire je rame violent ...

Donc toujours en quête d'une solution à mon problème


Merci

lionel

[Franck78]

Si tu dis dans la conf du vpn que ton leftsubnet est 10.129.81.0/24 alors ton réseau GREEN qui est le leftsubnet doit être dans ce subnet et pas 192.168.65.0/24

C'est la base même de toutes les config IPSec que tu trouveras. Un tunnel entre deux LAN. Si à la base t'es pas capable de décrire correctement les LAN, c'est foutu.

Soit tu changes ton numéro de réseau, soit les ricains corrige de leur coté le 10.... en 192....

Bye

[ldarnis]

Bonjour "frank78"

En face de moi le dit 'ricain' est un des plus gros provider de résas en ligne donc je le vois mal modifier quoique ce soit en ce qui concerne sa config.
De l'autre côté le site ayant l'adresse réseau 196.168.65.0/24 ( on green leftsubnet) possède 80 machines et il n'est pas prévu que le MIS bouge sa config.

Avant la mise en place de l'IPCOp sur leur site il avait un CISCO , on a gagné pour faire passer cela sur un IPCOP pour des besoins annexes... donc il faut que je me satisfasse de la situation pour monter le dit VPN ...
Mais si cela fonctionnait avant dans cette situation on doit pouvoir le faire fonctionner maintenant ou alors sans IPCOP, bref n y a t'il pas de possibilités au travers de NAT ou de masquerading , j'avoue qu'à force de triturer le pb dans tous les sens j'en perd un peu mon latin ...

Donc je reste en quête d'une solution ...

PS : Si j'avais pu faire changer le leftsubnet ou la config des 'ricains' je l'aurais fais depuis longtemps.

Merci

[Franck78]

Je te suggère d'abord d'obtenir un VPN fonctionnel. Il sera tant ensuite de tordre le coup à la config pour obtenir le résultat escompté.
Donc, place les bonnes valeurs dans l'IPCop, monte lui une workstation dans GREEN avec le bon numéro de réseau et compagnie.
Une fois que cela fonctionne (le client GREEN atteind son but ricain) le plus dur est fait.

Ensuite, tu peux peut être essayé de vendre ce qui suit:

Il n'est pas très sûr de laisser le plus gros provider de résa américain avoir un accès direct et total sur les 80 machines de ton petit reservataire hexagonal (le GREEN).

=>déplacement de, je pense, un petite dizaine de machine, dans le réseau ORANGE (qui aura recu le bon subnet 10.x.x.x)

[Franck78]

Merci pour ta réponse mais je ne suis pas certain de tout comprendre dans tes affirmations.
Par rapport à la configuration que j'ai donné plus haut de mon ipsec.conf le VPN est fonctionnel ... il est actif et donc pour le provider de la résa en ligne tout est OK et de ce fait il ne bougera rien.

Par contre de mon côté j'ai le réseau local en 192.168.65.0/24 que je ne gère pas, et dans lequel un ensemble de systèmes tournent sur cette base (IP), c'est un hôtel de NY, et c'est pour cela que le MIS refuse de bouger son adressage aussi.

Donc si tu as une idée à me soumettre je suis plus que preneur car j'avoue que je patauge ...

Merci dans tous les cas de ta patience et de tes informations,

c'est pas la peine de passer en MP merci.

Si le module ipsec ne trouve pas une interface réseau avec une IP correspondant au leftsubnet, le vpn ne monte pas. Si sur ton IPCop il n'y aucune carte réseau dans ce subnet (10.129.81.0/24) ca nemonte pas.
Soit tu interprètes mal une info, soit tu en caches d'autres. En tout cas je bloque la dessus.

[ldarnis]

Bonjour,

Je ne voulais pas balancer les adresses en publique ...

Bref, si je reprends la config ci-dessous je t'assure que le VPN est monté :

conn TexasBordel
left=X.X.X.X
leftnexthop=%defaultroute
leftsubnet=10.129.81.0/255.255.255.0
right=X.X.X.X
rightsubnet=138.113.0.0/255.255.0.0
rightnexthop=%defaultroute
ike=3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=no
authby=secret
auto=start


Je ne pense pas qu'il y ai besoin que je vous spécifie les adresses publiques !!! ( en left et right)

Simplement le left subnet que je précise est celui que je suis obligé de mettre pour monter le vpn avec le provider sin no way... mais ce que je tente d'expliquer depuis le début c'est que mon réseau local , que je ne peux pas bouger est en 192.168.65.0/24 et que mon besoin vient du fait qu'à partir de ce VPN j'ai besoin que l'adresse 192.168.65.19 puisse accéder à l'adresse 138.113.4.85 dans le réseu du provider ...

Je ne vois pas comment être plus explicite ...
A part vous envoyer les informations génériques du provider pour monter le VPN ...

[Franck78]

mais c'est très clair.
sauf que ce qui me gène, c'est que le module ipsec determine de quel coté du 'tube' il se trouve en comparant les IPS des leftsubnets et les IP présentes sur les cartes réseau.
Et quand il ne sait pas, les messages fusent: NO IPSEC INTERFACE....

tu peux essayer directement des règles de SNAT DNAT pour 'echanger les IP'. Mais je persiste à dire que valider une config fonctionnelle comme elle plait aux ricains PUIS ajouter une étape 'adaptation' est plus facile.

un
#ipsec auto --status
te dira plus sur le tube.

Code: Tout sélectionner

000
000 "VersLaBaule": 10.0.0.0/16===86.72.26.90---1.1.1.1...1.1.1.1---90.144.112.212===10.44.0.0/16
000 "VersLaBaule":   CAs: '%any'...'%any'
000 "VersLaBaule":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "VersLaBaule":   policy: PSK+ENCRYPT+TUNNEL+PFS; interface: ppp0; unrouted
000 "VersLaBaule":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "VersLaBaule":   IKE algorithms wanted: 5_000-2-5, flags=-strict
000 "VersLaBaule":   IKE algorithms found:  5_192-2_160-5,
000 "VersLaBaule":   ESP algorithms wanted: 3_000-2, flags=-strict
000 "VersLaBaule":   ESP algorithms loaded: 3_168-2_160,
000
000 #172: "VersLaBaule" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 10s
000


Par exemple ici, l'autre bout ne répond pas (state main I1) (le I4 normal)

[ldarnis]

J'obtiens cela ( j'ai enlevé mon IP publique en left)

000 interface ipsec1/eth0 192.168.65.1
000 interface ipsec1/eth0 192.168.65.1
000 interface ipsec0/eth2 LEFTIPPUBLIC
000 interface ipsec0/eth2 LEFTIPPUBLIC
000
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=64, keysizemin=168, keysizemax=168
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=64, keysizemin=40, keysizemax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=64, keysizemin=96, keysizemax=448
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=128, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=128, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=128, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000
000 algorithm IKE encrypt: id=65289, name=OAKLEY_SSH_PRIVATE_65289, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=6, name=OAKLEY_CAST_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=2, name=OAKLEY_SHA, hashsize=20
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE dh group: id=1, name=OAKLEY_GROUP_MODP768, bits=768
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,367,36} trans={0,367,504} attrs={0,367,336}
000
000 "Pegasus": 10.129.81.0/24===LEFTIPPUBLIC---LEFTIPPUBLICGATEWAY...LEFTIPPUBLICGATEWAY---138.113.5.245===138.113.0.0/16
000 "Pegasus": CAs: '%any'...'%any'
000 "Pegasus": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "Pegasus": policy: PSK+ENCRYPT+TUNNEL; interface: eth2; erouted
000 "Pegasus": newest ISAKMP SA: #371; newest IPsec SA: #362; eroute owner: #362
000 "Pegasus": IKE algorithms wanted: 5_000-2-5, 5_000-2-2, 5_000-1-5, 5_000-1-2, flags=-strict
000 "Pegasus": IKE algorithms found: 5_192-2_160-5, 5_192-2_160-2, 5_192-1_128-5, 5_192-1_128-2,
000 "Pegasus": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "Pegasus": ESP algorithms wanted: 12_128-2, 12_128-1, 3_000-2, 3_000-1, flags=-strict
000 "Pegasus": ESP algorithms loaded: 12_128-2_160, 12_128-1_128, 3_168-2_160, 3_168-1_128,
000 "Pegasus": ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<N/A>
000
000 #371: "Pegasus" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2425s; newest ISAKMP
000 #362: "Pegasus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 3494s; newest IPSEC; eroute owner
000 #362: "Pegasus" esp.2cbf250d@138.113.5.245 esp.b902b38@LEFTIPPUBLIC tun.1008@138.113.5.245 tun.1007@LEFTIPPUBLIC
000

[Franck78]

un ifconfig donne quoi?

il doit y avoir une interface "ipsecX" avec une IP dans le réseau 10.129.81.x.

si non, je sais pas, ajoute un rseau 'orange'
si oui, fait une comande du type
route add -net 138.113.0.0 ipsecX

[ldarnis]

Salut,

J'ai cela ( X.X.X.X) étant mon IP public côté NY, j'ai la 'haine' car je vais surement perdre le client car le provider ne veut pas bouger et le client dit , à juste raison, cela fonctionné avant avec un CISCO donc cela doit fonctionner maintenant ... bref je suis dans la M....

ipsec0 Link encap:Ethernet HWaddr 00:30:18:49:A0:04
inet addr:X.X.X.X Mask:255.255.255.0
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:2001 errors:0 dropped:0 overruns:0 frame:0
TX packets:13394 errors:0 dropped:2526 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:162063 (158.2 KB) TX bytes:2968860 (2.8 MB)

ipsec1 Link encap:Ethernet HWaddr 00:30:18:49:A0:06
inet addr:192.168.65.1 Mask:255.255.255.0
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

ipsec1 Link encap:Ethernet HWaddr 00:30:18:49:A0:06
inet addr:192.168.65.1 Mask:255.255.255.0
UP RUNNING NOARP MTU:16260 Metric:1