VPN routeurs Zyxel et Ipcop

[Kef]

Bnojour

Problème pour marier Ipcop avec un VPN entre deux modems-routeurs VPN Zyxel (P661H)
Voici le schéma :

[Rés. local]----Green[Ipcop]Red----[Zyxel]----ADSL---/Internet/----ADSL----[Zyxel]----[Rés. distant]

Le réseau local est en 192.168.1.x donc le Green Ipcop aussi
Le RED Ipcop est en 10.0.0.1, le Zyxel local en 10.0.0.138
Les 2 lignes ADSL sont en IP fixes
le Réseau distant est en 192.168.3.x donc le Zyxel distant aussi.

J'arrive bien à monter un tunnel VPN lan to lan entre les 2 Zyxel, mais rien ne passe dedans !

Si depuis mon poste sur le réseau local je fais un tracert vers l'IP d'une machine sur le réseau distant, j'ai une réponse le l'IP green Ipcop,
de l'IP lan du Zyxel local,
du premier routeur trouvé sur Internet,
puis au deuxième routeur : Impossible de joindre le réseau de destination.

Si je fais un tracert en sens inverse distant vers local,
j'ai une réponse de l'IP lan du Zyxel distant,
puis : Délai d'attente de la demande dépassé, etc etc..

J'ai essayé de tortiller la config du VPN dans tous les sens, toujours pareil. Le Tunel monte, mais "bouché" !

Pb au niveau de l'Ipcop ? Quelqu'un aurait une piste ?
Merci.

[DWAM2]

Salut

comment utilises-tu le ZyXel derrière IPCop ? en bridge ? (a priori non)

Où gères-tu la config de ton VPN ? dans IPCop ou dans le ZyXel ?

Si tu gères ton VPN directement dans les ZyXel, alors ce forum n'est pas le bon endroit pour poser tes questions... IPCop n'étant pas réellement concerné... En tout cas, ton VPN doit marcher avec ou sans IPCop... As-tu fait les transferts de ports ? As-tu configuré tes routes ? As-tu essayé sans passer par IPCop ?

Si tu as bridgé ton ZyXel derrière IPCop, alors cherche un peu sur le Forum, j'ai déjà publié un HOWTO pour les VPN entre IPCop et les ZyXel Prestige...

Bref, dans un cas comme dans l'autre, il manque des infos précises...

Guillaume

[Kef]

Salut guillaume, merci pour ta réponse.

Non, le Zyxel n'est pas bridgé.
Et oui, la config du VPN est gérée directement via les Zyxel.

Si j'ai posté ici, c'est que je pensais que vu que le VPN doit "traverser" l'Ipcop (c.a.d. entre un réseau distant via Wan et un réseau local sur la patte green de l'Ipcop), celui-ci aurait certainement un impact à un moment ou à un autre.

D'ailleurs après 30 € de hotline payante (merci Zyxel), c'est ce qu'on m'a dit : "c'est la faute à votre Ipcop !" Mouais..

Du coup, je viens de mettre un PC directement au fût de chaque Zyxel, donc Ipcop hors de cause, et toujours impossible de faire fonctionner correctement le VPN entre ces 2 PC, entre autres anomalies. L'un des 2 Zyxel a donc bel et bien des problèmes d'après moi.

Une fois ce problème réglé, je ne suis pas très sûr de moi au niveau Ipcop, une fois qu'il sera remis dans le circuit, justement au niveau routes et transfert de ports, pour permettre un usage lan to lan du VPN.
Je reviendrai donc probablement demande un coup main ici en temps voulu si nécessaire.

[DWAM2]

Non, le Zyxel n'est pas bridgé.

tu devrais... au moins pour essayer... et mon HOWTO te permettra de monter le VPN entre IPCop et l'autre ZyXel

Sinon les ZyXel sont parfois capricieux : j'ai souvent eu besoin de recréer complètement à l'identique les configs VPN...

Guillaume

[Kef]

tu devrais... au moins pour essayer... et mon HOWTO te permettra de monter le VPN entre IPCop et l'autre ZyXel

Dans ma config actuelle, j'ai déjà un VPN via Zerina sur l'Ipcop et le client OpenVPN sur 2 machines à l'autre bout, vu que pour le moment ces 2 machines sont sur une Livebox.
C'est précisement de cette config avec OpenVPN que je veux me débarasser, car peu fiable : les clients distants Openvpn se cassent la gl aleatoirement une fois que les utilisateurs ont fermé leur session Win, et il faut rebooter les machines pour que le tunel soit rétabli.

Sinon les ZyXel sont parfois capricieux : j'ai souvent eu besoin de recréer complètement à l'identique les configs VPN...

J'ai essayé ça plusieurs fois, avec de multiples réglages, mais merci qd même.

[DWAM2]

Quand je parle d'établir un VPN entre IPCop et le ZyXel, il s'agit évidemment d'un VPN Net-To-Net de type IPSEC...
Je ne comprends pas pourquoi tu me parles de d'OPenVPN/Zerina... Rien à voir avec le schmilblick...

[Kef]

ce que je suis en train de faire c'est remplacer

un site local avec Ipcop + Zerina et un vieux Speedtouch déplombé en routeur
un site distant avec 2 machines + client Openvpn branchées sur une box

par un Zyxel des deux côtés à la place du Speedtouch et de la box
et un VPN pris en charge directement par les Zyxel.

[DWAM2]

ok... alors : http://www.zyxel.fr/ + hotline...

Amuses-toi bien !

[Kef]

Ca n'est pas immédiatement impliqué à priori dans mes soucis de vpn, mais j'ai oublié de préciser qu'en local, l'Icop reste en place derrière le nouveau Zyxel, puisqu'il ne sert pas uniquement à fournir le service Openvpn aux machines distantes.

Je croise les doigts pour que tout ça tourne bien une fois le vpn Zyxel en place.

[Kef]

Bon, mon probleme de VPN entre les 2 Zyxel est réglé, j'en reviens maintenant à l'Ipcop qui ne se laisse pas faire et bloque le passage de ce VPN.
Rappel de la config :

Site distant, 192.168.3.x
I
Zyxel distant, 192.168.3.1
I
(VPN Zyxel entre subnets 192.168.3.x et 192.168.1.x)
I
Zyxel local, 10.0.0.138
I
REP Ipcop, 10.0.0.1
[IPCOP]
GREEN ipcop, 192.168.1.249
I
Site local, 192.168.1.x

Pour le moment,
- si depuis une machine distante, je pingue le réseau local, la seule IP qui réponde est celle de l'interface Green Ipcop.
- si depuis une machine locale, je pingue une machine distante (une seule pour le moment en test),
pas de réponse.

Je suis "à peu près sûr" (vu mes connaissances) que le VPN Zyxel en lui même n'est pas en cause, car si en local je colle une machine directement derrière le Zyxel en modifiant l'adressage du VPN, elles se pinguent, se voient dans leur voisinage réseau, accèdent à des réperoires partagés sur l'autre, etc..

Malgré qqs recherches, je ne sais pas comment faire au niveau de l'Ipcop pour autoriser les 2 subnets distant et local à communiquer.
il s'agit certainement de modifier le routage - transferts de ports, pour que "certaines choses" puissent rentrer du red vers le green, mais je sèche.

Si qqu'un avait un ou 2 exemples, suivant la config donnée ci-dessus, ça me serait d'un grand secours..
Merci à vous..

[DWAM2]

Et oui ! Pourquoi faire simple quand on peut faire compliqué !

Je le répète : l'idée d'empiler le ZyXel et IPcop n'est PAS une bonne idée... Ces 2 produits sont identiques en terme de fonctionnalités, et les empiler n'amène AUCUN avantage et COMPLIQUE considérablement et inutilement...

Passe ton ZyXel en bridge sur IPCop et fini les soucis... ou alors vire complètement IPCop...

My 2 cents...
Guillaume

PS : sinon pour info, c'était quoi le problème pour le VPN pour les ZyXel ?

[Kef]

Ces 2 produits sont identiques en terme de fonctionnalités, et les empiler n'amène AUCUN avantage et COMPLIQUE considérablement et inutilement...

Je dirais plutôt que le Zyxel aura du mal à faire tout ce que peut faire un Ipcop avec sa modularité et son évolutivité, mais bon..

J'ai peut-être fait un mauvais choix, je ne suis pas un pro, mais si je veux coupler une prise en charge externe du VPN intégrée aux modems (-routeurs), c'est parceque je ne suis pas arrivé à fiabiliser OpenVPN du côté des clients distants, et que je ne veux pas mettre un autre Ipcop du côté distant.

Passe ton ZyXel en bridge sur IPCop et fini les soucis...

J'ai fouillé sur le web et ici, et fini par trouver ton post à ce sujet, et celui sur les modems half-bridge, j'y vois un peu plus clair Comme j'ai un Zyxel de spare, je vais voir comment ça se présente.

Le mode PPPoE passthrough du Zyxel me semble très intéressant comme solution, ainsi le Zyxel devrait rester accessible par son IP lan, et transmettre son IP publique au RED d'Ipcop ?
Edit, correction après tests : non, ce mode ne semble pas équivalent à du half bridge, car le Zyxel ne transmet PAS son IP publique. Dommage..
Il ne me reste donc plus que le mode bridge. Si je parrais rétif c'est que je crains le pire pour l'OpenVPN existant ?

Il faudrait qu'il reste opérationnel jusqu'à ce que je sois sur le site distant pour virer les clients OpenVPN et mettre le Zyxel en place qui prendra le relai.
Hors je ne vais pas pouvoir faire les modif sur les 2 sites en 5 Mn..

PS : sinon pour info, c'était quoi le problème pour le VPN pour les ZyXel ?

On pourrait presque dire que c'est tombé en marche !
J'ai un doute sur le premier P661H, incapable d'autodétecter les paramètres de la ligne ADSL. Obligé de zapper cette étape et rentrer les paramètres à la main. Alors que le second modem n'a posé aucun pb à ce niveau.
Ensuite, il me semble que pour que le VPN fonctionne correctement, il faut que :
- les 2 modems soient en obtention d'IP wan automatique, bien qu'on ait des IP fixes
- ne pas renseigner cette IP dans le champ My IP adress du VPN, la laisser à 0.0.0.0

[DWAM2]

Salut Kef

pour te rassurer, je peux te dire que j'ai 4 VPN IPSec entre mon IPCop et des ZyXel Prestige. Ca marche très bien... D'ailleurs avant IPCop, j'utilisais moi aussi un ZyXel Prestige (que j'ai gardé mais pour des tests)... J'ai aussi des VPN IPSec avec des routeurs NetGear et Netopia et qq clients nomades sous OpenVPN... Ca roule... nickel...

Pour créer ton VPN IPCop/ZyXel :
http://forums.ixus.fr/viewtopic.php?t=38371

ensuite, qq remarques :

- te prends pas la tête avec le mode half-bridge ou les modes exotiques pour l'instant... Fais au plus simple et quand ca marchera, tu pourras t'amuser avec les options... Si t'as un modem simple qui traîne, fais tes tests avec...

- tu peux gérer ton ZyXel distant sans passer par OpenVPN et sans aller sur place (je comprends mieux ton attitude). Le temps de faire la config, active l'administration à distance sur le zyxel sur un port exotique (connu de toi seul). Ainsi tu pourras faire toute la config via ton navigateur, sans bouger ton $%#&!... J'ai des sites VPN à plus de 500 bornes, t'imagine bien que je ne me déplace pas à chaque fois qu'il faut changer un paramêtre !

- si tu as un doute sur un des ZyXel et qu'en plus tu as un "spare" (je comprends "un de plus en réserve"), qu'attends-tu pour le remplacer ? La fin de la garantie ?

Courage (et méthode) !

Guillaume

[Kef]

Le Zyxel est en place sur le site distant, OpenVPN toujours vivant.
J'avance gentiment, yapluka.. franchir le pas, bridger le Zyxel local, et mettre le nouveau VPN en route.
Je donnerai des nouvelles après ça.

Encore une question un peu HS mais liée : pour la prise de contrôle à distance, aurais-tu un outil à me conseiller ? Dans la famille VNC par exemple, ou autre ?

Merci pour ton aide

[DWAM2]

Salut Kef

pour la prise de contrôle à distance

de quoi parles-tu ?
Moi je parle de tes ZyXel que tu peux gérer à distance via leur propre interface web... (par défaut sur le port 80, mais qu'il est conseillé de changer sur un port libre (9724 par exemple) et en restreignant l'accès à ton IP publique de l'autre site seulement)...

Sinon, pour gérer des clients distants sous Windows XP, j'utilise RDP via VPN ou UltraVNC pour les autres OS...