PhenIXUS

[gargamel01000]

Contexte :
je viens d'installer un IPCOP 2.0.2 Up to 2.0.6 sur un poste avec WAN (Red) LAN (Green) DMZ (Orange).
L'installation s'est bien déroulée.
Depuis l'IPCOP j'ai bien le Web et l'interface web est bien accessible sur le port 8443.
OPENVPN est configuré et activé pour 2 connexions RoadWarrior. L'ouverture du tunnel à partir d'un client se passe bien (icone openvpn gui au vert)
Le serveur mandataire est activé sur GREEN et OPENVPN en mode transparent

Besoin :
Pouvoir depuis mes client RoadWarrior pinguer et se connecter en RDP sur mes machines du LAN et également pouvoir superviser mon LAN en SNMP.

Schéma :

Code : Tout sélectionner

WAN
            |
       FREEBOX
              |
          IPCOP2
      (DMZ)            (LAN)
       /                         \
Switch(VLAN 100)                Switch(VLAN Défaut)
                |  |                           |  |  |
               Serveurs DMZ                   Postes de  travail


Modem/Routeur/Box :
Freebox en mode bridge RED en DHCP

Firewall/Serveur-passerelle multifonctions :
IPCOP2 V2 update to 206. Proxy sans authentification sur le LAN et OPENVPN sur le port 3128. Logs ON.
LAN IPCOP2 = 192.168.5.0
DMZ IPCOP2 = 192.168.7.0

Autoriser les accès SSH et HTTPS depuis VERT et OPENVPN activé
configuration firewall :
VERT Ouvert REJECT
OpenVPN-RW Ouvert REJECT
ORANGE Fermé REJECT
Rouge Fermé DROP

Adressages :
RED en DHCP
DHCP sur le LAN
LAN IPCOP2 = 192.168.5.0
DMZ IPCOP2 = 192.168.7.0


Question :
Comment configurer le firewwall pour autoriser les client du réseau OPENVPN à pinguer et se connecter en RDP aux poste du LAN(VERT)
et accessoirement comment configurer le firewall pour accéder à l'administration d'ipcop duis RED

Pistes imaginées :
Je suppose qu'il faut configurer des règles au niveau du firewall,

Recherches :
Ce forum de fond en comble, google

Logs et tests :
Les logs sont activés, mais je ne vois pas grand chose, ou je ne regarde pas ou il faul ( ce qui est plus probable).

Je disposai avant d'un IPCOP 1.4.21 sans BlocOutTraffic et je n'avais aucun soucis.
Merci par avance pour votre aide ( enfin j'espère )

Fred

[jdh]

(Bravo pour la présentation du problème).

Je ne suis pas spécialiste d'Ipcop, loin de là. Ma réflexion est donc par analogie.

1er point utile : Ipcop doit accepter sur Red le trafic 1194/udp (port openvpn standard).

2me point : les fichiers de conf côté serveur et côté client doivent correspondre.
Notamment le côté serveur comportera une ligne "push route 192.168.5.0 255.255.255.0" (au minimum).
Sous Seven, il faut lancer OpenVPN Gui en tant qu'administrateur, sinon OpenVPN ne peut ajouter la route reçue !

3ème point : je ne suis pas sûr qu'il y ait des règles de filtrages dans le flux OpenVPN (comme avec pfSense).

[Franck78]

Salut,

Le serveur mandataire est activé sur GREEN et OPENVPN en mode transparent

Je vois pas ce qu'il vient faire dans l'affaire....
Par ailleurs je désactiverais tout ce qui est susceptible de fausser ton raisonnement et est inutile à ton cas !


Comme JDH, pas installé ipcop2; cependant :

OpenVPN-RW Ouvert REJECT
Je suppose qu'il faut configurer des règles au niveau du firewall,
Ce forum de fond en comble, google

il ne parait pas aberrant de fouiller le GUI IPcop en premier à la recherche d'une page de config autorisant du trafic entre une interface vpn et les autres interface
Ainsi, à quoi donc correspond ce REJECT dans ta citation "OpenVPN-RW Ouvert REJECT" ???


Franck

[gargamel01000]

Bonjour et merci pour vos réponses,

Je vois pas ce qu'il vient faire dans l'affaire....
Par ailleurs je désactiverais tout ce qui est susceptible de fausser ton raisonnement et est inutile à ton cas !

Je suis bien d'accord avec vous, mais j'ai voulu vous retranscrire aux mieux la configuration actuelle.

il ne parait pas aberrant de fouiller le GUI IPcop en premier à la recherche d'une page de config autorisant du trafic entre une interface vpn et les autres interface
Ainsi, à quoi donc correspond ce REJECT dans ta citation "OpenVPN-RW Ouvert REJECT" ???

Je peux vous assurer que j'ai fouillé de fond en comble le GUI IPCOP mais sans succès.

Le REJECT se situe dans les paramètres du pare feux et correspond à l'action de refus par défaut.


par ailleur mes tunnels VPN sont bien ouverts et au vert, mais impossible de voir mon réseau local depuis mes postes distants

1er point utile : Ipcop doit accepter sur Red le trafic 1194/udp (port openvpn standard).

Je suppose que c'est le cas sinon mes tunnels ne seraient pas actifs

2me point : les fichiers de conf côté serveur et côté client doivent correspondre.
Notamment le côté serveur comportera une ligne "push route 192.168.5.0 255.255.255.0" (au minimum).

Comment puis je vérifier cela ?

merci pour votre aide

[Franck78]

Et bien tu agis comme si avais un problème de routage réseau classique entre host A et host B

de voir mon réseau local depuis mes postes distants

Mine de rien, avec cette simple phrase tu poses l'étendue du problème dans son entier.

Le fait d'avoir lié correctement deux réseaux ne va pas (pas avec IP, c'est vrai avec ipx) magiquement dire aux hôtes de ces réseaux qu'il existe une route entre ls réseaux....

Et heureusement pour l'admin réseau, sa boite à outils est rempli d'outils.
-route
-ping
-tcpdump
...
Ah, encore un truc, c'est pas parce-que A peut joindre B que B sait joindre A pour les réponses.

[gargamel01000]

Ca y est j'ai trouvé,

Il s'agissait bien d'un problème de routes.
Il suffit d'aller dans les options avancées d'OPENVPN (le serveur OPENVPN doit etre arreter) et de cocher green network dans la section pousser routes.

capture ecran :



j'ai également coché client -To-client qui permet si j'ai bien compris que les clients se causent.

Merci pour votre aide

[jdh]

Je peux supposer, toujours par analogie, que cette case ajoute dans le fichier de config du serveur une ligne telle "push route x.x.x.x 255.255.255.0" qui est rédigé pour que le client ajoute la route (ce qui impose que le gui d'OpenVPN soit exécuté en administrateur sous Windows 7).

L'option "client-to-client" est à éviter ... par sécurité (me semble assez évident).