Pb de routage entre 2 passerelles Ipcop

[cousinhub92]

Bonjour à tous,

Je souhaite tester un tunnel VPN entre 2 passerelles Icop. Pour simuler la connexion, j'ai installé un labo de test avec vmware comme ci-dessous :

pc1 ---net1--- Green/Ipcop1/Red -----net3------- Red/Ipcop2/Green ---net2--- pc2

net1 : 192.168.1.0/24
net2 : 192.168.2.0/24
net3 : 192.168.3.0/24 ( réseau privés pour test )
Ipcop1 : Green =192.168.1.254 Red=192.168.3.1
Ipcop2 : Green =192.168.2.254 Red=192.168.3.2
pc1: 192.168.1.10 feather Linux
pc2: 192.168.2.10 feather Linux

Pas de problème pour l'installation des machines sous Vmware, par contre je rencontre un problème de routage bizare :

Du pc1, je peux pinguer l'interface Green de l'Ipcop2 par contre, je ne parviens pas à pinguer le pc2.
Même chose du pc2, ou je parviens à pinguer l'interface Green de l'Ipcop1 et pas le pc1.

J'ai mis les routes suivantes :
Sur l'Ipcop1 : route add -net default gw 192.168.3.2
Sur l'Ipcop2 : route add -net default gw 192.168.3.1
Sur pc1 : la route par défaut est 192.168.1.254
Sur pc2 : la route par défaut est 192.168.2.254

Bien evidemment, je me suis pas lancer dans configuration du VPN ayant rencontré ces problèmes.
Avez-vous une idée sur l'origine de ce problème ?

Par avance merci de votre réponse.

[tomtom]

Bonsoir,


Ce n'est pas un problème !

IPCop est un firwall, il n'est pas censé laisser passer des pings depuis le red vers le green !
De plus, il y a de toutes façon de la translation d'addresse, et donc il faudrait faire un transfert de port (ou de protocole dans ce cas) sur un des IPCops pour que ca fonctionne.

Par contre, avec le VPN ça devrait marcher.


t.

[Franck78]

Salut

J'ai mis les routes suivantes :
Sur l'Ipcop1 : route add -net default gw 192.168.3.2
Sur l'Ipcop2 : route add -net default gw 192.168.3.1

Ce n'est pas la méthode à utiliser. Il y a un programme 'setup' pour installer la conf réseau, les IPS,mask, dns, et aussi la default gw de l'Ipcop...

Tes tables de routages doivent avoir une drole de tête et la moindre des choses eu été d'en publier une puisque tu penses à un problème de ce type non...?



bye.

[cousinhub92]

Bonsoir,


Ce n'est pas un problème !

IPCop est un firwall, il n'est pas censé laisser passer des pings depuis le red vers le green !
De plus, il y a de toutes façon de la translation d'addresse, et donc il faudrait faire un transfert de port (ou de protocole dans ce cas) sur un des IPCops pour que ca fonctionne.

Par contre, avec le VPN ça devrait marcher.


t.

Bonjour,

Merci pour la réponse. Ce qui m'étonne c'est que le ping traverse quand même les 2 passerelles.
pc1 -> ipcop1(red) OK -> ipcop1(green) OK -> ipcop2(red) OK -> ipcop2(green) OK
De plus j'ai essayé avec 2 autres machines autres que Ipcop ( feather avec 2 cartes, fonction routeur activé, ip_forward=1, iptables laissant tout passer ) et je retrouve le même problème.

[cousinhub92]

Salut

J'ai mis les routes suivantes :
Sur l'Ipcop1 : route add -net default gw 192.168.3.2
Sur l'Ipcop2 : route add -net default gw 192.168.3.1

Ce n'est pas la méthode à utiliser. Il y a un programme 'setup' pour installer la conf réseau, les IPS,mask, dns, et aussi la default gw de l'Ipcop...

Tes tables de routages doivent avoir une drole de tête et la moindre des choses eu été d'en publier une puisque tu penses à un problème de ce type non...?



bye.

Bonjour,
Merci pour la réponse.
Pour le routage, il est difficile de faire plus simple, tous les paquets différents du réseau green sont envoyés vers l'autre passerelle et inversement.
La gateway je l'ai renseigné avec le setup.

[tomtom]

Ce qui m'étonne c'est que le ping traverse quand même les 2 passerelles.
pc1 -> ipcop1(red) OK -> ipcop1(green) OK -> ipcop2(red) OK -> ipcop2(green) OK

Jusque là, ça ne traverse pas ) Le routage se fait après coup, quelle que soit l'adresse utilisée, donc dans ce cas tu n'as pas de routage à proprement parler au niveau de IPCop 2. Il répond juste sur une interface avec une adresse d'une autre interface, ce qui ne le dérange pas

De plus j'ai essayé avec 2 autres machines autres que Ipcop ( feather avec 2 cartes, fonction routeur activé, ip_forward=1, iptables laissant tout passer ) et je retrouve le même problème.

Ca c'est un autre problème, il faudrait analyser pourquoi... Peute-tre une translation d'adresse hasardeuse, jene connais pas le fonctionnement de "feather"


t.

[cousinhub92]

Ce qui m'étonne c'est que le ping traverse quand même les 2 passerelles.
pc1 -> ipcop1(red) OK -> ipcop1(green) OK -> ipcop2(red) OK -> ipcop2(green) OK

Jusque là, ça ne traverse pas ) Le routage se fait après coup, quelle que soit l'adresse utilisée, donc dans ce cas tu n'as pas de routage à proprement parler au niveau de IPCop 2. Il répond juste sur une interface avec une adresse d'une autre interface, ce qui ne le dérange pas

De plus j'ai essayé avec 2 autres machines autres que Ipcop ( feather avec 2 cartes, fonction routeur activé, ip_forward=1, iptables laissant tout passer ) et je retrouve le même problème.

Ca c'est un autre problème, il faudrait analyser pourquoi... Peute-tre une translation d'adresse hasardeuse, jene connais pas le fonctionnement de "feather"


t.

Effectivement, c'est bien le firewall d'Ipcop qui bloque. J'ai configuré Iptables pour qu'il laisse tout passer et maintenant cela route bien de la machine pc1 à pc2.
Pour feather ( distrib sur une base de Debian, version light de Knoppix bootable sur clé usb ), je pense que c'est certainement le même problème.
Maintenant, si je configure le VPN en réactivant les regles d'Ipcop, est-ce que la machine pc1 arrivera à communiquer avec pc2 et inversement ?
Par avance, merci de la reponse.

[Franck78]

Salut

J'ai mis les routes suivantes :
Sur l'Ipcop1 : route add -net default gw 192.168.3.2
Sur l'Ipcop2 : route add -net default gw 192.168.3.1

Pour le routage, il est difficile de faire plus simple, tous les paquets différents du réseau green sont envoyés vers l'autre passerelle et inversement.
La gateway je l'ai renseigné avec le setup.

ce n'est pas une réponse cohérente. Ou tu as utilisé le setup, ou tu as 'fais à la main'.

Le vpn entre deux 'interfaces RED' fonctionne.