PhenIXUS

[BobFlyer]

Contexte :
J'ai installé IPCop à domicile dans le but de mettre en place un VPN facilement. Je suis étudiant (bac +4) en fac d'info et j'ai déjà utiliser le bousin en cours.
IPCop fourni les services principaux suivant : DHCP (vert, bleu, VPN) ; Proxy DNS ; VPN.

Besoin :
J'ai mis un VPN en place mais il m'est impossible de pinguer une machine présente ds le réseau vert depuis mon roadwarrior (et vice-versa).
- J'ai pourtant ouvert le trafic interne entre ces deux réseau (VERT -> VPN ; VPN -> VERT).
- Le client VPN arrive a pinguer l'interface VERTE d'IPCop (192.168.2.1) ainsi que l'interface VPN (192.168.4.1)
- le client du réseau VERT arrive aussi a pinguer ces deux interfaces : VERT (192.168.2.1) et VPN (192.168.4.1)

Schéma :
Internet xx.xx.xx.xx < - > réseau local 192.168.1.0/24 < - > IPCop < - > réseau vert 192.168.2.0/24
IPCop < - > réseau bleu 192.168.3.0/24
IPCop < - > VPN 192.168.4.0/24


Modem/Routeur/Box :
Une box ADSL de Bouygues Telecom.

Firewall/Serveur-passerelle multifonctions :
Aucun mis a part ma BBox et mon IPCop.

Adressages :
Déja mentionné ci dessus. De plus :
- client dans le réseau VERT : 192.168.2.124
- client dans le réseau VPN : 192.168.4.6

Question :
Quel réglage j'ai oublié pour permettre un accès complet des clients VPN au réseau vert ?

Pistes imaginées :
J'en ai aucune idée. Le principe même du VPN est d'établir la connexion entre le roadwarrior et des machines présentes dans un autre réseau.

Recherches :


Logs et tests :
Pour faire mes tests, je place mon roadwarrior dans mon réseau local 192.168.1.0/24 (celui de ma Box).
Dans les options avancés du VPN j'ai coché la case qui correspond pour poussés la route vers le réseau VERT lors de la connexion.

- J'ai essayé de fermer le trafic interne entre les réseaux VPN et VERT. Je voulais voir si les machines présentes dans un réseau arrivaient à pinguer l'interface IPCop de l'autre réseau. Et malheureusement ça fonctionne. C'est a dire que j'ai désactivé l'accès au réseau VERT depuis le réseau VPN et j'arrive toujours a pinguer l'interface IPCop dans le réseau VERT (192.168.2.1 a partir de 192.168.4.6). L'inverse fonctionne aussi (192.168.4.1 a partir de 192.168.2.124).

- Dans l'interface graphique le menu Etat -> connexions me renseigne quelque chose de "suspect" (en fait j'y comprend rien au fonctionnement d'iptable) :
là ou toutes mes connexions sont dans l'état "assured", les connexions qui correspondent au ping n'ont pas d'états. Sauf les connexion qui correspondent au ping qui ne fonctionne pas, elles sont dans l'état "unreplied".
Ces résultat sont obtenu en lançant les commande suivantes :
sur 192.168.4.6 :
ping 192.168.4.1;
ping 192.168.2.1;
ping 192.168.2.124 (unreplied);
sur 192.168.2.124 :
ping 192.168.2.1;
ping 192.168.4.1;
ping 192.168.2.124 (unreplied);



Merci beaucoup a qui m'aidera.

Bien cordialement.

[jdh]

(Bravo pour la présentation ! A continuer)

(Je ne suis pas spécialiste Ipcop.)

Le fait que le client ping Ipcop (VPN ou Vert, c'est égal) est positif.

Ne pas pinguer une machine en Vert est, possiblement, un problème de route :
- le client a-t-il bien reçu la route nécessaire ? ("route print" avant et après, client gui lancé en administrateur, ...)
- vérifier l'accord entre les fichiers de conf OpenVPN client et serveur.

[BobFlyer]

Bonjour jdh et merci pour ta réponse.

Voici le log de la commande "route print" sans connexion VPN :

Code : Tout sélectionner

Destination r‚seau    Masque r‚seau  Adr. passerelle   Adr. interface M‚trique
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.239     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link   169.254.195.106    276
  169.254.195.106  255.255.255.255         On-link   169.254.195.106    276
  169.254.255.255  255.255.255.255         On-link   169.254.195.106    276
     192.168.43.0    255.255.255.0         On-link    192.168.43.239    281
   192.168.43.239  255.255.255.255         On-link    192.168.43.239    281
   192.168.43.255  255.255.255.255         On-link    192.168.43.239    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   169.254.195.106    276
        224.0.0.0        240.0.0.0         On-link    192.168.43.239    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   169.254.195.106    276
  255.255.255.255  255.255.255.255         On-link    192.168.43.239    281

Avec connexion VPN :

Code : Tout sélectionner

Destination r‚seau    Masque r‚seau  Adr. passerelle   Adr. interface M‚trique
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.239     25
          0.0.0.0        128.0.0.0      192.168.4.5      192.168.4.6     30
      IP_serveur_VPN  255.255.255.255     192.168.43.1   192.168.43.239     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0      192.168.4.5      192.168.4.6     30
      169.254.0.0      255.255.0.0         On-link   169.254.195.106    276
  169.254.195.106  255.255.255.255         On-link   169.254.195.106    276
  169.254.255.255  255.255.255.255         On-link   169.254.195.106    276
      192.168.2.0    255.255.255.0      192.168.4.5      192.168.4.6     30
      192.168.3.0    255.255.255.0      192.168.4.5      192.168.4.6     30
      192.168.4.0    255.255.255.0      192.168.4.5      192.168.4.6     30
      192.168.4.4  255.255.255.252         On-link       192.168.4.6    286
      192.168.4.6  255.255.255.255         On-link       192.168.4.6    286
      192.168.4.7  255.255.255.255         On-link       192.168.4.6    286
      192.168.5.0    255.255.255.0      192.168.4.5      192.168.4.6     30
     192.168.43.0    255.255.255.0         On-link    192.168.43.239    281
   192.168.43.239  255.255.255.255         On-link    192.168.43.239    281
   192.168.43.255  255.255.255.255         On-link    192.168.43.239    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   169.254.195.106    276
        224.0.0.0        240.0.0.0         On-link    192.168.43.239    281
        224.0.0.0        240.0.0.0         On-link       192.168.4.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   169.254.195.106    276
  255.255.255.255  255.255.255.255         On-link    192.168.43.239    281
  255.255.255.255  255.255.255.255         On-link       192.168.4.6    286

On constate que la route à bien été poussée.


Je viens de constater que la commande "nslookup" fonctionne correctement :

Code : Tout sélectionner

#nslookup home
DNS request timed out.
    timeout was 2 seconds.
Serveur :   UnKnown
Address:  192.168.4.1

Nom :    home
Address:  192.168.2.124


Voici le log du serveur VPN lors de la connexion du client "antoine" :

Code : Tout sélectionner

antoine/80.215.64.11:22944 SENT CONTROL [antoine]: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,route 192.168.3.0 255.255.255.0,route 192.168.5.0 255.255.255.0,redirect-gateway def1,dhcp-option DNS 192.168.4.1,dhcp-option DNS 192.168.2.1,route 192.168.4.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.4.6 192.168.4.5' (status=1)

La redirection de la passerelle (redirect-gateway def1) est temporaire. Je l'avais mise dans l'espoir de résoudre le problème.


D'après ces données, aurai tu une piste pour la résolution de mon problème.

Merci

[BobFlyer]

J'ai continué d'analyser avec wireshark et voici mes résultats :

Le réseau VPN étant connecté, je ping mutuellement le client dans le réseau vert et le roadwarrior.
(la première IP est la source, la seconde la destination).
écoute sur le client du réseau vert (192.168.2.124) :
http://www.hostingpics.net/viewer.php?i ... apture.jpg

écoute sur le roadwarrior (192.168.4.6) :
http://www.hostingpics.net/viewer.php?i ... apture.jpg

Je constate donc que les clients reçoivent mutuellement les requêtes ping. Ce que je ne comprend pas en revanche c'est pourquoi je ne les vois pas répondre.

J'ai essayé en pinguant un serveur de google (8.8.8.8) et, pourtant, je vois bien les trames de réponses :
http://www.hostingpics.net/viewer.php?i ... apture.gif





Je vais continuer à chercher..

[BobFlyer]

Bonjour,

la solution consiste à désactiver le pare feu Windows. Basique !

Plus élégant (et sécurisé) j'ai créé une règle (sur chaque client) qui autorise le trafic entrant à partir du réseau voulu.

Bye.