acces LAN via zerina

par **NAEGELE** » 06 Avr 2010 17:18

Bonjour,
je cherche à accéder à mon LAN depuis l'extérieur via Zerina. Ma config:
Ipcop 1.4.21
zerina 0.95b
adresse carte "verte" (coté LAN): 10.35.1.253
options avancées du serveur OpenVPN : nom du domaine, adresse du serveur DNS et du WINS.

Mon portable : win XP-SP3, pare-feu désactivé, openVPN 2.1.1, openVPN GUI 1.0.3

La connexion se passe très bien. : voyant au vert. Je récupère bien les adresses du DNS et du WINS de mon LAN via openVPN (vérification faite par un ipconfig /all). Je ping très bien la carte "verte" de mon ipcop. Mais c'est tout : je ne peux accéder à aucunes machines de mon LAN; aucun ping ne répond (sauf la carte "verte").

J'ai regardé plusieurs messages sur le sujet et j'ai essayé les solutions proposées : modification du fichier de configuration de mon portable principalement, transfert de port (le 1194). Rien n'y fait. Bref j'en perd mon latin (c'est-à-dire pas grand chose ......).

Si vous avez une solution.....

par **ccnet** » 06 Avr 2010 17:37

Merci de poster vos fichiers de configuration Openvpn serveur et client. Des particularités dans votre architecture ? Êtes vous assuré de vos routes par défaut sur les machines du lan ?

par **NAEGELE** » 06 Avr 2010 18:38

ci-joint le fichier de conf de mon portable

#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote xxxxxxxxxxxxx 1194
pkcs12 DRJSCS.p12
cipher BF-CBC
verb 3
ns-cert-type server
#route-method exe
#route-delay 2

Concernant le LAN, ipcop n'est pas la passerelle par défaut des machines (stations et serveurs).Ipcop gère une DMZ qui héberge un agenda (phprojekt). Les stations récupèrent une route statique vers cet agenda via le DHCP du LAN. Caz marche trés bien. Je voudrais accéder à mon LAN via ipcop pour y gérer mes serveurs. Je ne peux pas passer par la passerelle par défaut.

par **ccnet** » 06 Avr 2010 18:47

Selon toute probabilité il manque une route retour à vos requêtes icmp venant des connexions vpn.

par **jdh** » 06 Avr 2010 19:06

Quand il y a plusieurs routeurs, il est essentiel de disposer des routes au niveau de celui qui est passerelle par défaut.

J'ai du mal à imaginer un ipcop qui ne soit pas passerelle par défaut. Parce que, d'une, Red doit être connecté à Internet, de deux, il y a alors confusion sur le routage. C'est le cas ici.

Il est nécessaire, à minima, d'ajouter une route pour les clients VPN via ipcop.

par **NAEGELE** » 07 Avr 2010 13:19

Bonjour,

pour préciser, les stations ont une passerelle par défaut et le DHCP leur donne une route statique en plus vers la DMZ gérée par ipcop. Ca marche très bien. Red est bien connecté à internet. De mon client VPN j'arrive bien jusqu'à Vert (je prend d'ailleurs la main sur l'ipcop à partir de Vert depuis mon portable connexion VPN). Quelle route dois-je rajouter, et ou : ipcop, client VPN ...?

Merci d'avance

par **jdh** » 07 Avr 2010 13:53

le DHCP leur donne une route statique en plus vers la DMZ

Beh euh cela ne colle pas avec ce que je connais de dhcp : on m'aurait pas tout dit ?

Le principe standard c'est :
- le serveur dhcp fournit une adresse ip, un masque, une passerelle par défaut, un serveur dns, plus quelques données comme un serveur wins, ...,
- la passerelle par défaut doit connaitre la route vers tous les réseaux "internes",
- si besoin, la passerelle indique au pc client la passerelle vers le réseaux interne.

Même si un schéma aurait bien éclairé la situation, on peut déclarer que la DMZ et le réseau VPN sont des réseaux "internes" dont la route doit être connue de la passerelle par défaut.

par **NAEGELE** » 07 Avr 2010 14:13

Merci pour la réponse,

effectivement le DHCP (sous linux) peut renvoyer plusieurs informations optionnelles : route statique, adresse du fichier WPAD (pour gestion du proxy) ....
Donc toutes les stations connaissent la route vers ipcop et l'utilise pour accéder à l'agenda dans la DMZ. Par contre cette route ne pointe que vers l'agenda (orange) et non vers internet (rouge) pour l'accès auquel les stations utilisent la passerelle par défaut.
De mon côté, je n'ai pas accès au paramètrage du routeur par défaut (il est géré par Paris , ... je suis à Rennes).
Mais j'ai toujours pensé que c'était aux stations de connaitre les routes , pas à la passerelle par défaut.
Bref, il y a des trucs qui se passent à l'insu de mon plein gré ....... et je suis toujours coincé.[/img]

par **jdh** » 07 Avr 2010 14:35

Oui, il y a l'option 249 du dhcp qui poussent des routes statiques !
Mais est ce bien standard ? est ce bien utilisé ? et cela fonctionne-t-il avec tous windows, linux ?

Bref, il me parait assez simple de juste préciser les routes au niveau de la passerelle par défaut.
Et cela s'applique instantanément à toutes machines du réseau internes.

Même si la passerelle par défaut un un routeur du fai, il est assez aisé de lui demander d'ajouter les routes nécessaires. Enfin j'ai toujours agi ainsi ... Je ne pense pas qu'il soit le rôle du client de base de connaitre toute les routes.

par **ccnet** » 07 Avr 2010 14:37

Mais j'ai toujours pensé que c'était aux stations de connaitre les routes , pas à la passerelle par défaut.

Revenons sur une notion centrale du routage. Un routeur (ou un dispositif qui doit prendre une décision de routage, ce qui inclue un poste du réseau) ne connait jamais que le saut suivant pour une destination donnée. Internet fonctionne correctement et relativement simplement grâce à cela. Le dispositif ne connait rien au delà du saut suivant.

Si, dans votre situation vous placez une machine sur votre lan avec un utilitaire comme Wireshark vous verrez que, très vraisemblablement, vos requêtes icmp arrivent au destinataire et que celui ne les renvoie pas à une adresse permettant d'acheminer la réponse à l'émetteur.

Le fichier de conf posté ne pose pas de problème. Mais il manque celui du serveur.

Je persiste vous avez un problème de routage retour. En l'état des informations communiquées (surtout celles qui ne le sont pas) il est impossible de vous aider plus avant. Votre passerelle par défaut reçoit probablement les réponses icmp, mais elle ne sait pas les acheminer au saut suivant qui est probablement encore l'interface verte d'ipcop. Le problème est de router le trafic vers le subnet choisi pour le vpn (qui est différent et doit l'être, du réseau green) d'où l'importance du fichier de configuration du serveur.

par **NAEGELE** » 07 Avr 2010 20:50

Je ne dirais qu'un mot : bravo !
Effectivement en mettant le Vert ipcop en passerelle par défaut, je peux "pinguer" et me connecter à mon serveur. Je viens de prendre une grande leçon sur le routage. Merci. Je vais essayer maintenant en modifiant la table de routage du serveur pour remettre le routeur principal en passerelle par défaut et en ajoutant une route statique vers le VPN Zerina (mon portable) via le VERT de l'ipcop. Je vous tiendrais au courant du résultat. Merci encore.

acces LAN via zerina

acces LAN via zerina

Qui est en ligne ?