VPN entrant sur bleu, config IPcop 2 LAN + 2 Wan

[Artefact]

Bonjour à tous,
voici une config un peu exotique en 1.4.15 :

RED : ADSL IP Fixe FT
GREEN : LAN 10.0.0.0/24
ORANGE : LAN 192.168.90.0/24
BLEU : SDSL 193.13X.XXX.XXX/30

Par Red, sort tous le trafic issu de Vert et Orange, c'est la Default GW
Par bleu arrive une liaison SDSL qui doit monter un VPN avec un autre point distant.

Pour résumer, l'ipcop dispose de 2 Wan (Red + Blue), et de 2 Lan (Vert + Orange)

On n'arrive pas a monter un VPN d'un autre IPCOP à cet IPCOP exotique, car visiblement le VPN est encapsulé sur Red et qu'Ipcop ne veut pas entendre parler de Bleu comme Eth de support du VPN.

Voici quelques infos complémentaires :

Code: Tout sélectionner

Heure   Section   
17:46:45   pluto[3624]   "monvpn" #1: initiating Main Mode
17:46:45   pluto[3624]   added connection description "monvpn"
17:46:45   pluto[3624]   | from whack: got --ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1 536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3d es-md5-modp1024
17:46:45   pluto[3624]   | from whack: got --esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
17:46:45   pluto[3624]   loading secrets from "/etc/ipsec.secrets"
17:46:45   pluto[3624]   forgetting secrets
17:46:29   pluto[3624]   packet from 193.13X.xxx.10:500: initial Main Mode message received on 193.13X.XXX.53:500 but no connection has been authorized with policy=PSK
17:46:29   pluto[3624]   packet from 193.13X.xxx.10:500: received Vendor ID payload [Dead Peer Detection]
17:46:29   pluto[3624]   packet from 193.13X.xxx.10:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-00]
17:46:29   pluto[3624]   packet from 193.13X.xxx.10:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02]
17:46:29   pluto[3624]   packet from 193.13X.xxx.10:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]

Enfin, L'ip de l'ipcop distant est autorisé en accès Bleu.

Voilà, si quelqu'un a une idée, elle sera super bien la bienvenue.
Merci.

[ccnet]

Pour résumer, l'ipcop dispose de 2 Wan (Red + Blue),

La première idée que j'ai est que ipcop n'est pas conçu pour fonctionner ainsi.

Ipcop ne veut pas entendre parler de Bleu comme Eth de support du VPN.

Je le crains fort. Dans ipcop nous avons peu de latitude sur le rôle des interfaces. C'est par construction. Il faut soit en accepter les règles, soit si elles ne conviennent pas changer de solution.

Je vois deux solutions à votre besoin (c'est à dire deux wan dont un qui "porte" un vpn) :
Pfsense. Il ne fera pas le café mais il fera ce que vous cherchez à faire parce que les interfaces supplémentaires n'ont pas de rôle prédéfini.

La seconde solution, vite fait parce que je ne suis pas certain, consisterait à utiliser 2 ipcop. Le premier en Red+Green+Orange et le second Red+Green avec le vpn dessus, avec green sur le même réseau que le green du premier ipcop.

Au fait : vpn lequel ?

[Artefact]

Au fait : vpn lequel ?

Le VPN de Base d'IPCOP, en IPSEC, pas de Zerina.

En fait, concernant le rôle d'IPCOP, on a un bon nombre en service, mais celui là est particulier et doit savoir faire ca.

J'ai franchement pas le choix, quitte a me bouffer les modifs des confs IPSEC et d'IPTABLES.
Concernant le routage, il n'y a pas de soucis, j'ai aussi la main sur le routeur qui porte la liaison SDSL, donc j'ai une grande latitude de diagnostique.

Mais comme je ne connais pas toute les entrailles d'IPCOP, je cherche un peu d'aide puisque le routage de bleu fontionne correctement.

[ccnet]

C'est vous le patron. Si c'était moi je n'irai pas dans cette direction parce que l'on s'éloigne trop des spécifications d'ipcop. Ce qui n'implique pas qu'il n'y ait pas d'issue, mais les risques semblent trop grand pour l'installer. Je ne suis pas certain que ce soit "seulement" une question d'iptables. Il y aura des gens plus compétent que moi pour vous dire ce qu'il en est.
En paraphrasant Audiard : "les bénéfices ça se partage mais les enmerdements ça s'additionne"

[Artefact]

Bonjour,

En paraphrasant Audiard : "les bénéfices ça se partage mais les enmerdements ça s'additionne"

Merci CCnet pour cette belle maxime...

Voici où j'en suis :
Sur IpcopExotic bleu est dans le subnet suivant 193.1XX.XXX.52/30 (GW 193.1XX.XXX.54), le fichier /var/ipcop/vpn/ipsec.conf à la forme suivante :

Code: Tout sélectionner

# rightnexthop=defaultroute est remplacé par la GW de bleu

config setup
        interfaces="ipsec2=eth2 "
        klipsdebug="none"
        plutodebug="none"
        plutoload=%search
        plutostart=%search
        uniqueids=yes
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!10.0.0.0/255.255.255.0,%v4:!192.168.90.0/255.255.255.0,
%v4:!193.33.223.52/255.255.255.252,%v4:!192.168.1.0/255.255.255.0,%v4:!192.168.1.0/255.255.255.0

conn %default
        keyingtries=0
        disablearrivalcheck=no


conn monvpn #BLUE
        left=193.1XX.XXX.53
        leftsubnet=10.0.0.0/255.255.255.0
        right=193.1XX.XXX.10
        rightsubnet=192.168.1.0/255.255.255.0
        rightnexthop=193.1XX.XXX.54
        leftid="193.1XX.XXX.53@vpn.net"
        rightid="193.1XX.XXX.10@vpn.net"
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,
3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start


Ipsec2 est bien monté dans les interfaces.
Les machines dialoguent bien en UDP sur le port 500 (ce qu'indique un TCPdump) mais les logs d'ipcop sont sans appels :

Code: Tout sélectionner

09:48:18   pluto[9242]   packet from 193.1XX.XXX.10:500: initial Main Mode message received on 193.33.223. 53:500
but no connection has been authorized with policy=PSK
09:48:18   pluto[9242]   packet from 193.1XX.XXX.10:500: received Vendor ID payload [Dead Peer Detection]
09:48:18   pluto[9242]   packet from 193.1XX.XXX.10:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-00]
09:48:18   pluto[9242]   packet from 193.1XX.XXX.10:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-02]
09:48:18   pluto[9242]   packet from 193.1XX.XXX.10:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat- t-ike-03]
09:48:18   pluto[9242]   packet from 193.1XX.XXX.10:500: received Vendor ID payload [RFC 3947]


Si quelqu'un maitrise bien IPSec, suis preneur d'une piste à partager

[Franck78]

Salut,
ca fait longtemps que j'ai pas regardé IPSec sur ipcop. Je ne pense pas que cela vienne du fait que cela passe par bleu. Les extrémités se voient bien à priori.

Ca se passe plutôt dans le 'ipsec.secret' qui n'arrive pas à donner de correspondance à l'IP 193.1XX.XXX.10

explication ici:
http://freespace.virgin.net/christiaan. ... v1.02.html

mais pas forcément solution.

cependant bien vérifier l'utilisation des "ID" sur chaque IPCop.

[Artefact]

Bonjour à tous,

Merci Franck pour l'adresse. En fait, le prob était autour des Left and right Next hop... et sur l'interface qui monte le VPN (Ipcop ne connait que %defaultroute)

Donc maintenant ca marche ! Le soucis c'est qu'il ne faut pas utiliser les mêmes conf qu'IPCOP sinon en cas de modif via l'admin web, ca dézingue tout ! Du coup, y a quelques bricoles à faire pour que la solution soit pérenne.

Je travail à la rédaction d'un tuto pour expliquer cette config 2 WAN avec VPN sur Bleu en entrée. Mais avant de le publier, j'aimerais bien que quelque-uns le relise (Ca c'est fait par ci par là suivant mes moments de dispo et je ne voudrait pas oublier de trucs)

Donc si des bénévoles veulent bien pousser leurs emails en MP, je leur enverrais le docs.

Merci à vous.

[Franck78]

et sur l'interface qui monte le VPN (Ipcop ne connait que %defaultroute)

Pourtant je pensais avoir introduit assez de liberté dans les choix de configuration par le GUI. Tu as vraiment bien regardé chaque listbox/option?


tu peux modifier ton post qui élargit trop l'écran.... (la partie code).


Tu peux m'envoyer ton doc mais aussi le fichier de conf produit par le GUI et montrer clairement ce que tu y changes.

[Artefact]

En fait j'ai fait comme ca avec une nouvelle configuration :
- Montage IPcop <--> Ipcop via red. Validation du fonctionnement.
- Modification de la conf pour trouver les équivalent de %defaultroute (red je présuppose), le VPN remonte avec les bonnes IP.
- Modification de la conf pour que le VPN passe par bleu, notamment en changeant :

> interfaces="%defaultroute " par interfaces=ipsec0=eth2 comme lu ici http://wiki.openswan.org/index.php/Openswan/Interfaces
> les IP et GW left et right
> la suppression du subnet bleu dans la liste des virtual_private

- Le VPN monte sur bleu
Par mesure de précaution, j'avais autorisé via "Accès Bleu" les IP publiques entrantes (IP, GW, etc) et même les IP et GW venant de vert à l'autre bout sans trop savoir si ca n'était pas impactant.

J'ai modifié le message précédent comme demandé dans ton post.

Le test a été réalisé sur l'IPCOP modifié qui va rester en prod et un autre qui sert à autre chose et qui ne sera pas celui là.
Mardi je configure l'IPCOP qui doit partir en prod. Je remonterais donc le VPN en rédigant parallèlement le tuto.

[Franck78]

J'ai modifié le message précédent comme demandé dans ton post.

ca devient tout de suite plus lisible sous firefox !

dans une précedente version du GUI vpn, il fallait cocher 'activer sur VERT/ORANGE/BLEU pour avoir les "interfaces=ethX".
Je pensais avoir resimplifié un peu en déterminant automatiquement le "interfaces=....."

Poste ton doc avec un schema simple mais clair

bye