Bonjour à tous,
J'utilise IPCOP "non modifié" dans une PME depuis 3 ans environ, et j'en suis très satisfaits.
Cette semaine je me suis penché sur la mise en service d'un VPN Roadwarrior à l'aide de Zerina et OpenVPN qui d'ailleurs fonctionnent très bien.
J'arrive bien à établir une liaison VPN entre le client externe et IPCOP.
J'ai cependant quelques interrogations sur cette architecture. Malgré plusieurs recherches, je n'ai rien trouvé de vraiment explicite, alors si quelqu’un à une idée sur le sujet, je suis preneur.
L'IPCOP que j'utilise possède 3 pates GREEN, RED et ORANGE. Je souhaiterais limiter au maximum les zones accessibles des réseaux GREEN et ORANGE depuis le client externe connecté en VPN Roadwarrior sur IPCOP.
En somme je voudrais que le client externe ne puisse accéder via le VPN, qu'au réseau ORANGE, et si possible qu'à une seule adresse IP en particulier.
Sous l'interface web d'OpenVPN, je ne saisis pas bien la subtilité entre les cases "OPENVPN sur Red" et "OPENVPN sur Orange".
Vu que je souhaite établir un VPN entre le client externe et la DMZ, dois-je entrer l'IP de la patte ORANGE dans le champ "Nom d'hôte ou IP locale du RPV" ?
Merci d'avance, je suis ouvert à tous conseils.
[Résolu] IPCOP 1.4.13 OpenVPN Roadwarrior DMZ Only
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
[Résolu] IPCOP 1.4.13 OpenVPN Roadwarrior DMZ Only
par haDidi » 26 Jan 2007 17:19
Dernière édition par haDidi le 29 Jan 2007 19:24, édité 1 fois au total.
-
haDidi - Matelot
- Messages: 5
- Inscrit le: 24 Nov 2003 01:00
par loberty » 27 Jan 2007 18:55
Bonjour,
OpenVPN sur RED et OpenVPN sur ORANGE, permet de dire à ZERINA d'où il accepte des connexions VPN.
Toi tu veux restreindre l'accès des VPN provenant de X (RED par exemple) de manière à ce qu'il puisse n'accéder qu'à ORANGE.
Il te faut alors faire des régles avec IPTABLES ou BOT pour cela qui interdise tout sauf le réseau ORANGE.
A+
OpenVPN sur RED et OpenVPN sur ORANGE, permet de dire à ZERINA d'où il accepte des connexions VPN.
Toi tu veux restreindre l'accès des VPN provenant de X (RED par exemple) de manière à ce qu'il puisse n'accéder qu'à ORANGE.
Il te faut alors faire des régles avec IPTABLES ou BOT pour cela qui interdise tout sauf le réseau ORANGE.
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par haDidi » 29 Jan 2007 19:23
Salut Loberty.
Merci pour ta réponse rapide. Effectivement, j'ai suivi tes conseils et tout fonctionne comme je le voulais.
Je me suis débrouillé directement avec IPTABLES, BOT ne me tentais pas vraiment.
Pour ceux que ca intéresse, il suffit d'entrer quelques lignes dans le fichier rc.firewall.local ici présent : /etc/rc.d
# On bloque tout le trafic VPN -> GREEN
/sbin/iptables -I FORWARD -i tun0 -o eth0 -j DROP
# On bloque tout le trafic VPN -> ORANGE
/sbin/iptables -I FORWARD -i tun0 -o eth1 -j DROP
#On autorise le trafic VPN -> SERVEUR SPECIFIQUE
/sbin/iptables -I FORWARD -i tun0 -o eth1 -d "Adresse IP du serveur en DMZ" -j ACCEPT
Merci, pour le coup de main, le topic est résolu
Merci pour ta réponse rapide. Effectivement, j'ai suivi tes conseils et tout fonctionne comme je le voulais.
Je me suis débrouillé directement avec IPTABLES, BOT ne me tentais pas vraiment.
Pour ceux que ca intéresse, il suffit d'entrer quelques lignes dans le fichier rc.firewall.local ici présent : /etc/rc.d
# On bloque tout le trafic VPN -> GREEN
/sbin/iptables -I FORWARD -i tun0 -o eth0 -j DROP
# On bloque tout le trafic VPN -> ORANGE
/sbin/iptables -I FORWARD -i tun0 -o eth1 -j DROP
#On autorise le trafic VPN -> SERVEUR SPECIFIQUE
/sbin/iptables -I FORWARD -i tun0 -o eth1 -d "Adresse IP du serveur en DMZ" -j ACCEPT
Merci, pour le coup de main, le topic est résolu
-
haDidi - Matelot
- Messages: 5
- Inscrit le: 24 Nov 2003 01:00
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité