PhenIXUS

[Joe35]

Bonjour à tous

Pour mon premier post je vais essayer d'être clair

Voici mon problème:

Nous avons actuellement trois sites interconnectés en VPN via ipcop (le site A est le siege) les deux autres sites B et C sont interconnectés dessus, voici le détail:

Site A (Principal): plan ip 192.168.69.0/24
-----> IPCOP 1.4.21 avec IP:192.168.69.254 sans ADDONS

Site B: plan ip 172.20.254.0/24
-----> IPCOP 2.0.3 avec IP:172.20.254.254 sans ADDONS

Site C: plan ip 172.20.253.0/24
-----> IPCOP 2.0.3 avec IP:172.20.253.254 sans ADDONS

Maintenant nous devons ouvrir un accès depuis notre "Site A" via un routeur cisco (@IP: 192.168.69.253) vers un autre réseau en 10.20.20.0/24 t et bien évidemment nous souhaitons ouvrir l'acces aux sites B et C. j'ai réalisé l'essai suivant
en modifiant le tunnel par exemple du "site A -- Site B" :

Ipcop A:
========
@IP Public A
0.0.0.0/0.0.0.0
PSK: ma psk

@IP Public B
172.20.254.0/24
PSK: ma psk

Ipcop B:
========
@IP Public B
172.20.254.0/24
PSK: ma psk

@IP Public A
0.0.0.0/0.0.0.0
PSK: ma psk

Et cela afin de router l'integralité des flux dans le tunnel et donc par consequent le plan IP 10.20.20.0/24 puis en ajoutant une route sur l'IPCOP A pour faire un "route add -net 10.20.20.0/24 gw 192.168.69.253 eth0"

Le tunnel monte bien en statut UP en revanche en revanche je plante complétement la liaison entre A et B. (ping d'un PC A vers B ne fonctionne plus).

Je ne vois pas a quel niveau se trouve mon erreur...

Si vous aviez un debut de piste.

Merci

[Franck78]

Salut,


Je ne comprend pas le problème. On peut le résumer ainsi ?

Sites
A-B
A-C : vpn par ipsec sur ipcop, fonctionnel depuis des années, pas de routage entre B et C

Ajout site D

Et la on ne comprend plus.

-ou est branché ce routeur ? Sur un IPCop il y RED et GREEN a minima. Les indications ne précisent rien !

Pour info, le vpn IPSEC est très pointilleux sur l'utilisation du tube. En particulier, quand il s'agit de routage:
A<->B : ok
A<->B<->C : nok (ce n'est pas un tube A<->C), pas de transit vers/depuis C.

C'est le mode de fonctionnement de IPCop 1.4.21

Pour faire cela, pfsense serait sans doute plus adapté.


Franck

[jibe]

Salut,

Tu as posté avant que je ne publie et rende obligatoire le formulaire et tu as essayé d'être clair et précis : je me garderai bien de toute remarque déplacée !

Ceci n'est donc qu'un conseil et ne constitue pas une obligation (j'écris en noir, je suis donc simple membre ), mais peut-être pourrais-tu t'aider de ce formulaire ou des conseils du wiki pour être mieux compris

[Joe35]

Merci, je vais essayer d'eclaircir mon propos, mais avant pour jibe je n'ai pas les droits pour me rendre sur le "formulaire".

Sur mon site A j'ai donc un ipcop en 1.4.21 avec deux interfaces:
- GREEN: 192.168.69.254
- RED: IP Fixe sur le net en SDSL

Ce reseau A est interconnecté avec
- Reseau B ipcop 2.0.3 avec deux interfaces:
---> GREEN: 172.20.254.254
---> RED: IP fixe en pppoe sur ADSL

- Reseau C ipcop 2.0.3 avec deux interfaces:
---> GREEN: 172.20.253.254
---> RED: IP fixe en pppoe sur ADSL

Sur le réseau A nous avons un nouveau routeur vers le site D:
Routeur cisco avec ip local 192.168.69.253 et plan ip distant (10.20.20.0/24)

Site B --- IPCOP B --- VPN --- IPCOP A ------CISCO A --- Reseau D (10.20.20.0/24)

Donc oui le but est d'atteindre le réseau D depuis le site B ou C en passant par le site A.

Pour vous cela est-il réalisable ? ou dois-je migrer mon route site A ipcop 1.4.21 vers une version 2.0.3 ?

Merci d'avance

[Franck78]

Pour vous cela est-il réalisable ?

Pas vraiment avec des IPCops qui ne permettent pas de toucher à toutes les options d'un service.
1.4.x est notoirement mauvais en routage. Exactement le cas du routeur inconnu de IPCop pour le réseau D.

ou dois-je migrer mon route site A ipcop 1.4.21 vers une version 2.0.3 ?

Si il a évolué sur le point précédent (routes), oui.
Pour ne plus avoir deux versions, oui.
Si tu l'as assez exploré avec sites B et C, oui.

Et enfin, le problème IPSec décrit rentre exactement dans le cas qui ne marche pas avec les réglages par défaut (VIA).
A voir: est-ce que dans IPCop 2, la version IPSec permet le VIA !

[jibe]

Salut,

Bon, je vais voir... Ça me surprend un peu, parce qu'il a été créé comme n'importe quel autre de mes posts auxquels vous avez bien accès ! Je me logue comme simple membre dès que j'ai fini pour voir...

[EDIT] Désolé : mauvais lien... Je n'ai pas fait attention au fait qu'une annonce globale a une adresse par forum... J'ai corrigé mon post, cette nouvelle adresse devrait fonctionner pour tous (lien vers le forum ipcop). [/EDIT]