PhenIXUS

[secure]

Bonjour,
Je dispose à ce jour de deux sites géographiquements différents, A et B.
Ces deux sites disposent d'une connexion Internet SDSL (A=8Mg et B=2Mg). Le site A dispose d'un serveur AD. Les sites sont reliés par un VPN IPSEC configuré sur IPCOP v2.
A ce jour tout fonctionne bien. Les sites A et B utilise leur lien propre pour la connexion Internet.

Je souhaiterai à présent, forcer le site B à passer par le VPN pour toutes demandes (http, smtp, pop...).

Je ne sais par où commencer. Dois-je m'orienter sur la table de routage de l'IPCOP du site B ou existe-t-il un moyen plus simple de réaliser ceci?

Schéma (plus explicite peut-être)

A ce jour

Internet ------------ Site A
|
| (Lien VPN IPSEC)
|
Site B ------------ Internet (http, smtp, pop...)

migrer vers

Internet (http, smtp, pop...) ------------ Site A
|
| (Lien VPN IPSEC)
|
Site B

Ceci me permettrait une meilleure gestion.

[jdh]

(Je ne suis pas spécialiste d'Ipcop.)

(Attention toute manipulation sur les tables de routage peuvent aboutir à une coupure d'accès !)

Il est possible d'imaginer que
- si une route était définie pour Wan A via le routeur B,
- et si la route par défaut d'Ipcop B était Green A.
cela pourrait fonctionner ...
(En effet le VPN Ipsec demande à joindre Wan A et permet d'accéder à Green A).
Sous toutes réserves ...

Attention un tel schéma a probablement un impact sur le trafic http/https et le fonctionnement de proxy.
Je suppose qu'il y a 2 proxy dédié sur une telle infra ...

[secure]

Merci pour cette réponse.

Attention un tel schéma a probablement un impact sur le trafic http/https et le fonctionnement de proxy.
Je suppose qu'il y a 2 proxy dédié sur une telle infra ...

Chacun des sites disposent de son propre proxy.

Le but serait justement que la centralisation des accès puisse me permettre de n'utiliser que le proxy du site A.
Et également pour toutes modifications applicables à l'ensemble du parc (site A et site B), seul une intervention sur l'IPCOP en A serait nécessaire. L'IPCOP sur le site B ne servant que pour la connexion VPN.

[jdh]

J'ai travaillé 5 ans pour une société dans un contexte assez identique :
- 2 sites principaux reliés par un VPN (ipsec) sur 2 SDSL 2M,
- 1 proxy sur chaque site.

J'ai décidé d'éliminer le trafic (asynchrone) du lien VPN en ajoutant une ligne ADSL à chaque proxy.

site <-> fw pfsense <- SDSL -> Internet
site <-> proxy (Debian) <- ADSL -> Internet

En fait, lors de la négo au changement des SDSL, j'ai proposé de garder 30€ de chaque côté pour un ADSL grand public.
Compte tenu de la baisse du coût de chaque ligne, c'est passé tout seul.
Dans la pratique, les proxy faisait proxy pour http/https/ftp+pop (avec analyse antivirale Clamav).
De facto, plus de saturation du lien VPN (de 1 à 2M et moins le trafic http).

[secure]

Est-il donc possible de modifier la route dite "défaut" pour la connexion WAN? Et ce, en stipulant la GATEWAY du lien VPN?

exemple (route -v)

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 lan-1
192.168.30.0 * 255.255.255.0 U 0 0 0 wan-1
default 192.168.30.250 0.0.0.0 --------------------------------------------------> A modifier par la GATEWAY du VPN?

[Franck78]

Le problème qui va survenir si la route par défaut est virtuelle est : mais ou donc passer le trafic réél pour monter le VPN.

Eh oui, le vpn est bel et bien transporté sur un vrai réseau.

Le GUI ne permet pas cette manip.

Donc tout à la main, en précisant bien la route pour l'IP du peer avant la route par défaut.

Il n'y a aucun risque a essayer. Tout sera oublié avecun redémarrage.

[jdh]

@franck78 :

ouf ! tu confirmes mon idée !

Comme c'est une config très peu standard, il est logique que 'setup' ne la gère pas !
Je pensais bien qu'il fallait faire à la main et dans l'ordre que j'indique (en 0/ supprimer la route par défaut via le routeur).