Bonjour,
nous avons un reseau de type :
en schema cela serait
Client VPN :
10.136.20.2/16
128.2.72.1/32
serveur VPN :
10.136.20.1/16
128.2.100.129/16
et on voudrait que les gens du reseau 128.2.72.0/32 puisse communiquer avec ceux de 128.2.0.0/16 du serveur VPN.
Nous pensons que c'est un problème de configuration de iptables pour faire du routage.
nous avons mis a 1 sur /proc/sys/net/ipv4/ip_forward sur le client et serveur.
Nous avons tenter du masquerade mais cela ne change rien, donc si quelqu'un aurait une idee de ce qui manque a faire pour que les LAN des deux aures cartes reseaux communique entre eux cela nous aiderai.
Merci
Forum Linux.général VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux
2
juin
2010
# Routes sur le client ....
Posté par totof2000 . Évalué à 4.
Quel type de VPN utilisez-vous ?
[^] # Re: Routes sur le client ....
Posté par seba74 . Évalué à 1.
# pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 3.
128.2.0.0/16 <--Serveur-->10.136.0.0/16 < -- Client -- > 128.2.72.1/32
il faut simplement donner les bonnes routes
à serveur lui dire que la route vers 128.2.72.1/32 passse par 10.136.20.2 (client)
à client lui dire que la route vers 128.2.0.0/16 passe par 10.136.20.1 (serveur)
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
ou c'est deux batiments separés avec chacun sa connexion internet
et vous allez mettre un VPN entre les deux batiments...
pcq j'ai toujours pas compris l'interet du VPN dans votre cas.
si tu veux empecher l'acces au reseau 128.2.72.*, sauf la machine 1
suffit de 2 regles iptables
monter un VPN par dessus un VPN ne fera que "ralentir" la connexion en encapsulant une connexion dans une autre
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
Ensuite on mettra le parefeu pour n'accepter en tree sur le 10.136 que le VPN et rien d'autres, pour que les personnes sur le 128.2.72.0 puisse acceder au reseau 128.2.0.0 en passant par le VPN.
Pour le moment les vpn communique bien.
mais un des pc en test qui a ip 128.2.72.34 n'arrive pas a acceder a un autre pc 128.2.150.110 (on a bien ajouté la route qui passe par le 128.2.100.129) .
et inversement le pc 128.2.150.110 n'arrive pas pinger le pc 128.2.72.34 .
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
128.2.100.129/16
|
(serveur vpn ?)
|
ReseauA 10.136.20.1/16
|
|
(switch) <--> Routeur VPN <--> société qui prend le relais sur l'info
|
|
reseauB 10.136.20.2/16
|
(client VPN ?)
|
128.2.72.1/32
le routeur fait switch ?
tu parles de 2 reseaux 10.136.X.Y/16 là ou personnellement je n'en vois qu'un seul (/16)
peux-tu faire un shema comme je l'ai fait pour expliquer un peu plus "graphiquement" ton architecture...
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
eth1 128.2.100.129/16
eth0 ReseauA 10.136.20.1/16 (Serveur VPN)
|
|
Routeur VPN Cisco 10.136.*.*/16
|
|
Liaison SDSL
|
|
Routeur VPN Cisco 10.136.*.*/16
|
|
PC Client :
eth0 reseauB 10.136.20.2/16 (Client VPN)
eth1 128.2.72.1/32
vala j'espère que c'est plus clair.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
tu as le meme reseau (10.136.0.0/16) de chaque coté du VPN cisco
de meme tu as le meme reseau 128.2.0.0/16 de chaque coté du VPN openvpn
comment comptes-tu faire ton routage pour differencier le coté 128.2.100.X (c'est un /24) du coté 128.2.72.Y (/24) si tu utilises un /16 (128.2.T.Z) ?
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
et le 128.2.100.129 est du 16 bit, car pour le moment notre reseau est en 128.2.0.0/16 qui sera migrer plus tard en 192.168.0.0/16 ou plusieurs reseau /24 .
On a deja un autre VPN sur un autre site en 128.2.123.0/24 qui passe par internet par contre et se connecte a un serveur openvpn par routage de port et ensuite ce serveur openvpn a ip 128.2.*.*/16 et cela marche.
Je pensais qu'il faut juste que l'on utilise iptables ou autre pour faire du routage entre les deux cartes sur chaque PC, quelques choses comme ca, car sinon ne voit pas le problème.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
ainsi coté serveur tu te retrouves avec une route
128.2.72.0/32 via 10.0.0.2/24 (IP interne du client VPN openvpn)
coté client
128.2.0.0/16 via 10.0.0.1/24 (IP interne du serveur VPN)
car normalement quand le client openvpn se connecte au serveur, il obtient une IP sur l'interface tun ou tap.
ce sont ces IPs et ces interfaces qu'il faut utiliser pour faire ton routage et te regles iptables
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
mais je pense pas que ca soit un problème de route, manque quelque chose de plus que l'on connait pas je pense.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
reseauA<-- [128.2.72.1/32] client VPN [tun/tap0] -->--~ internet/lan/vpn ~ <- [tun/tap0] serveur VPN [128.2.100.129/16] -> reseauB
il faut donc se concentrer sur les reseaux VPN (sur interface TUN) et sur les reseaux
128.2.72.1/32 et 128.2.100.129/16
A°)
- ta machine 128.2.72.1/32 ne peut communiquer qu'avec elle meme sur cette IP (/32)
les autres machines du reseau 128.2.72.X ne peuvent pas communiquer avec elle.
il lui faudrait la meme IP mais dans le meme masque que les autres machines qui sont sur reseauA
- elle doit aussi etre la passerelle par defaut de reseauA (ou bien la passerelle par defaut de reseauA doit savoir qu'il faut passer par 128.2.72.1 pour atteindre 128.2.0.0/16)
- elle doit avoir le ip_forward pour faire passer les infos de ce reseau vers le reseau TUN (openvpn)
- elle peut/doit faire du NAT sur l'interface TUN pour faire croire que tout vient d'elle (de son IP VPN) et non pas du reseau 128.2.72
- elle peut/doit faire du NAT sur l'interface reseau pour masquer que ca vient du VPN
B°) il faut ajouter les routes dans la config openvpn et pour l'instant vider (ou ouvrir) iptables sur le client et serveur VPN
afin que les deux interfaces reseaux (128.2.72.1/24 et 128.2.100.129/24) exterieures aux tun openvpn) puissent se pinguer
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
la machine 128.2.150.110/16 ping 128.2.100.129/16 .
la machine 128.2.150.110/16 ne ping pas le 128.2.100.129/16
le client vpn 10.136.20.2 ping le serveur vpn 10.136.20.1/16 et le 10.8.4.1/32 (ip du serveur vpn)
le serveur VPN(10.8.4.1) ping le 10.8.4.6 (ip client vpn)
le serveur VPN(128.2.100.129/16) ne ping pas le 128.2.72.1/24 ce qui est normal je pense et comme il ping l'ip client vpn(10.8.4.6)
on nous a dit que normalement il fallait mettre en classe 24. donc on a changé le 128.2.100.129/16 en 128.2.150.129/24 mais cela ne change rien.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
car ce sont alors 2 reseaux differents (donc routable)
elle sort d'ou cette machine 128.2.150.110 ?
elle est sur quel reseau (A ou B)
par rapport à mon shema precedent, je comprend que 10.8.4.1 est l'IP de l'interface TUN du serveur VPN
le client VPN ayant alors 10.8.4.6
tu as donc un reseau
reseauA<-- [128.2.72.1/24] client VPN [10.8.4.6] -->--~ internet/lan/vpn ~ <- [10.8.4.1] serveur VPN [128.2.100.129/24] -> reseauB
la communication passe bien entre les IPs VPN puisque tu nous dis :
le serveur VPN(10.8.4.1) ping le 10.8.4.6 (ip client vpn)
par contre si tu remplaces 128.2.100.129/16 par 128.2.150.129/24
il faut evidemment modifier les routes coté client VPN pour lui dire qu'il faut traverser le VPN pour aller sur 128.2.150.0/24
soit
128.2.150.0/24 via 10.8.4.1
et sur le serveur VPN
128.2.72.0/24 via 10.8.4.6
puis tester que le client VPN puisse pinguer 128.2.150.129
que le serveur VPN puisse pinguer 128.2.72.1
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . Évalué à 1.
Mon Pc 128.2.150.110/16 ping bien le 128.2.150.129/24 et aussi le 10.8.4.1/24 .
Pc test 128.2.72.34/24 --- reseauA<-- [128.2.72.1/24] client VPN [10.8.4.6] -->--~ internet/lan/vpn ~ <- [10.8.4.1] serveur VPN [128.2.150.129/24] -> reseauB --- Mon PC (128.2.150.110/16)
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par NeoX . Évalué à 2.
Il faut voir si le PC test (128.2.72.34) arrive à pinguer 10.8.4.1, 128.2.150.129
ensuite mettre TA machine en /24 car sinon il voit 128.2 comme etant son reseau local, il n'ira pas sur la passerelle pour aller chercher 128.2.72
tester si TA machine pingue 10.8.4.6 et 128.2.72.1
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.