PhenIXUS

[Kane]

Bonjour à tous,

je viens de découvrir cette suite d'Ixus et qu'il y a eu une version 2 d'IPCop (oui oui tout ça d'un coup) : bravo aux 2 équipes !

Le vif du sujet : je dois avoir une lacune quelque part car un doute m'assaille, la question est ptet stupide, n'hésitez pas à me le dire.

Contexte :
Conflit entre Orange (Open Transit ?) et Cogent.
Je joue à certains jeux en ligne et aux heures d'affluence en France, les temps de réponse deviennent ignobles avec même des déconnexions. La solution trouvée par de nombreux joueurs est un VPN (style Battleping) qui leur permet de passer ailleurs que par le lien entre Orange et Cogent (la plupart du temps via Allemagne ou Royaume-Uni).
Mais je n'ai que peu confiance dans ce genre de solution, et je préfère gérer les choses par moi-même.

Besoin :
J'ai à ma disposition un IPCop 1.4.21 (oui je ferais ptet la maj vers la 2 un jour) ainsi qu'un serveur dédié chez OVH (kimsufi) sous Ubuntu.
Je souhaiterais monter un VPN IPSec entre les 2 afin que le serveur dédié me serve de sortie via le réseau OVH (qui n'a surement pas le problème avec Cogent)

Schéma :
IPCop - Internet (VPN IPSec) - Openswan (oui bon c'est simpliste)

Modem/Routeur/Box :
J'ai une Livebox sans IP fixe mais je pense qu'on s'en fout puisque je serais le "client" non ?
Serveur dédié avec IP Fixe ou, au moins, un DNS reconnu (ksxxxxxx.kimsufi.com)

Firewall/Serveur-passerelle multifonctions :
IPCop
Ubuntu sans rien (oui c'est pas bien mais rien d'important sur cette machine)

Adressages :


Question :
La question est : dans le cas d'un VPN entre IPCop et une machine non sécurisée sur le net, le filtrage de l'interface Red est-il valable pour ce qui circule dans ce VPN ?
J'ai cru lire qu'il y aurait une interface ipsec0 (ou un autre nom) créée lors du paramétrage de ce VPN, mais peut-on y appliquer des règles ?

Pistes imaginées :
aucune idée

Recherches :
Google, Ixus et divers Howto, mais rien de très loquace sur le sujet.

Logs et tests :
Pour l'instant, rien n'est encore fait.

Merci d'avance pour vos réponses.

PS : bien content qu'Ixus renaisse ainsi qu'IPCop !

[Franck78]

Hello,

je comprend pas vraiment la question. VPN veut dire virtual PRIVATE network.
A partir du moment ou le tube est établi, il n'y a qu'aux extrémités qu'il peut y a voir contrôle.
Oui la carte réseau virtuelle se nomme ipsec0. Et c'est la qu'il peut y avoir filtrage, bien sur.
IPCop ne filtre rien sur ipsec0, de mémoire.

La difficulté avec IPSEC, c'est le NAT des boxes et en plus une IP dynamique n'arrange rien
Avec ta kimsuffi, tu évites presque la moitié du problème.

bye

[Kane]

Merci pour la réponse, tu as répondu à ma question.

En effet mon problème est de filtrer ce qui va passer par ce tunnel donc soit via l'interface RED sur laquelle ce tunnel s'appuie mais, comme tu dis, l'arrivée du tunnel n'est pas sur RED mais plutôt au milieu, soit sur l'interface virtuelle.
Donc pas d'interface ipsec0 qui apparaitra dans la liste des interfaces "filtrables", snif ça veut dire firewall sur la kimsufi à l'autre bout (en espérant pouvoir filtrer ce qui arrivera de l'interface reliée au net vers l'interface virtuelle du VPN).

Disons qu'au début, je ne pense pas laisser actif 24/24 ce VPN, juste aux heures de surcharge. Donc à un instant t, j'ai une IP Fixe

Je vais devoir monter ce VPN sur un autre machine alors (en DMZ donc).