VPN sur IP Publique + Translation

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN sur IP Publique + Translation

Messagepar Pipous » 24 Oct 2007 09:37

Bonjour,

Je souhaiterais savoir s'il était possible d'établir un VPN entre un Firewall (non ipcop) et un IPCop basé sur une adresse IP Publique mais les 2 devices communiqueraient via l'adresse IP Publique uniquement qui elle-même serait nattée sur un serveur dans la DMZ ?

Merci d'avance pour votre réponse !
Pipous
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 19 Oct 2007 11:36

Messagepar jdh » 24 Oct 2007 09:45

Ce n'est pas la peine de reposer la même question (incompréhensible d'ailleurs).


Un VPN c'est un tunnel entre 2 extrémités connectées chacune à un réseau.

Les 2 extrémités se voient grâce à leur ip publiques (éventuellement dynamiques).
Les machines de l'un ou l'autre réseau communiquent avec leur ip respectives ET NON UNE IP PUBLIQUE.

Maintenant tu fais ce que tu veux pour accepter cela ou pas. Mais c'est comme ça que cela fonctionne.


Enfin si une des extrémités est au delà d'un firewall, cela n'est pas idéal parce qu'IPSEC n'aime (n'aimait) pas le NAT.


Par ailleurs le "réseau" d'un côté peut tout à fait être limitée à une machine (utiliser un masque /32).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Pipous » 24 Oct 2007 10:06

Ok j e m'excuse si je n'ai pas été clair :oops:

Maintenant si je vous montre la configuration suivante, pourriez-vous me dire si selon vous elle fonctionne :

conn VPN #RED
left=90.90.90.90
leftnexthop=%defaultroute
leftsubnet=90.90.90.90/255.255.255.255
right=30.30.30.30
rightsubnet=30.30.30.30/255.255.255.255
rightnexthop=%defaultroute
leftcert=/var/ipcop/certs/hostcert.pem
rightcert=/var/ipcop/certs/VPNcert.pem
ike=3des-md5-modp1024
esp=3des-md5
ikelifetime=2h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
auto=start


Ensuite au niveau left (IPCOP) je met en place des forward sur les ports qui iront sur une machine en interne. Est-ce qu'une telle configuration est possible ?

Le but est que tout la communication entre ces 2 ips passent par un VPN mais dans la mesure ou les 2 réseaux privés ont le même adressage il n'est pas possible de les "Linker" en soit.

Encore navré pour mes pâtés :)
Pipous
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 19 Oct 2007 11:36

Messagepar jdh » 24 Oct 2007 11:13

Je reprends "les 2 réseaux privés ont le même adressage". Si left=right, il n'y a pas de solution (générale) !

Quand on gère plusieurs sites pour la même société, il FAUT que chaque site dispose de son propre adressage. Si un site utilise le même adressage qu'un autre, il faudra bien qu'à un moment l'un ou l'autre change (en général le plus petit). Une astuce : 192.168.(departement).x/24 est simple à comprendre. La difficulté c'est le rachat d'un site déjà bien en place !

J'aime les solutions KISS : Keep It Simple and Stupid. Le vpn est géré au niveau du firewall, les réseaux sont distincts, tout cela c'est simple.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Pipous » 24 Oct 2007 12:09

Bien le problème est que c'est pas la même société et il s'avère justement que le site ait le même range (super). Et du coup il nous faut trouver le moyen de faire communiquer un serveur d'un site avec celui de l'autre, d'ou l'idée de l'IP publique... Tu vois un peu la situation :roll:

Dans ce cas là, ma configuration aurait du sens ?

Merci pour tes réponses
Pipous
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 19 Oct 2007 11:36

Messagepar Pipous » 24 Oct 2007 15:02

JDH (ou même qui que ce soit d'autre),

J'ai maintenant bien saisis le fonctionnement de la chose ! J'ai cependant une toute dernière requête avant que je puisse clore ce topic VPN.

J'essaie de configurer maintenant tout bêtement le VPN mais apparement, lorsqu'il démarre, le port 4500 n'est pas joignable (lorsque je test le telnet par exemple) et j'ai ceci dans les logs :

Oct 24 14:52:07 ipcop ipsec_setup: Stopping Openswan IPsec...
Oct 24 14:52:07 ipcop ipsec_setup: stop ordered, but IPsec does not appear to be running!
Oct 24 14:52:07 ipcop ipsec_setup: doing cleanup anyway...
Oct 24 14:52:07 ipcop ipsec_setup: ipsec: Device or resource busy
Oct 24 14:52:08 ipcop ipsec_setup: ...Openswan IPsec stopped
Oct 24 14:52:08 ipcop pluto[610]: Changing to directory '/etc/ipsec.d/cacerts'
Oct 24 14:52:08 ipcop pluto[610]: Changing to directory '/etc/ipsec.d/crls'
Oct 24 14:52:08 ipcop pluto[610]: adding interface ipsec0/eth2 91.91.91.91
Oct 24 14:52:08 ipcop pluto[610]: adding interface ipsec0/eth2 91.91.91.91:4500
Oct 24 14:52:08 ipcop pluto[610]: loading secrets from "/etc/ipsec.secrets"

Et ça ne va pas plus loin.

Et lorsque j'essaye de le redémarrer j'ai ceci dans les logs :

Oct 24 14:53:46 ipcop ipsec_setup: Stopping Openswan IPsec...
Oct 24 14:53:46 ipcop pluto[31993]: shutting down interface ipsec0/eth2 91.91.91.91
Oct 24 14:53:46 ipcop pluto[31993]: shutting down interface ipsec0/eth2 91.91.91.91
Oct 24 14:53:47 ipcop kernel: IPSEC EVENT: KLIPS device ipsec0 shut down.
Oct 24 14:53:47 ipcop ipsec_setup: ipsec: Device or resource busy
Oct 24 14:53:47 ipcop ipsec_setup: ...Openswan IPsec stopped
...Et ca recommence avec ce qu'on voit plus haut

Une idée ?
Pipous
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 19 Oct 2007 11:36

Messagepar Pipous » 24 Oct 2007 15:10

Il aura fallu 10 minutes pour que le reste des logs s'affichent et que j'ai enfin un message d'erreur :

Oct 24 15:05:18 ipcop ipsec__plutorun: 104 "VPN_CONNECTION" #1: STATE_MAIN_I1: initiate
Oct 24 15:05:18 ipcop ipsec__plutorun: 010 "VPN_CONNECTION" #1: STATE_MAIN_I1: retransmission; will wait 20s for response
Oct 24 15:05:18 ipcop ipsec__plutorun: 010 "VPN_CONNECTION" #1: STATE_MAIN_I1: retransmission; will wait 40s for response
Oct 24 15:05:18 ipcop ipsec__plutorun: 031 "VPN_CONNECTION" #1: max number of retransmissions (20) reached STATE_MAIN_I1. No acceptable response to our first IKE message
Oct 24 15:05:18 ipcop ipsec__plutorun: 000 "VPN_CONNECTION" #1: starting keying attempt 2 of an unlimited number, but releasing whack
Oct 24 15:05:18 ipcop ipsec__plutorun: ...could not start conn "VPN_CONNECTION"

Cela veut dire que le site distant n'a pas répondu ou cela est dû à autre chose ?

Merci de m'aguiller
Pipous
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 19 Oct 2007 11:36


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité