Impossible d'accéder à mon lan via le VPN (résolu)

[julesboucan]

Bonjour à vous tous,
je suis nouveau à IPCOP, j'ai installé la version 1.4.18 avec les addons Advanced Proxy, Url Filter. Tout marche bien et je suis content pour IPCOP et je suis prêt à l'adopter, pour toutes mes installations. Je profite donc pour féliciter toute l'équipe de IPCOP ainsi que le forum,surtout pour votre dynamisme

Voici mon problème:
Je n'arrive pas à acéder à mon réseau VPN depuis l'extérieure. J'ai configuré Zerina, et aussi l'application Client Openvpn sur Windows XP. J'arrive à me connecter quand je renseigne mon password lorque je suis dans mon LAN.

Par contre quand je sors de mon LAN, je recois cette erreure quand j'essai de me conneter en tilisant ma carte réseau VPN

Code: Tout sélectionner

TCP : connect to 192.168.1.2:1194 failed, will try again in 5 seconds.

Je pense que j'ai un problème de Port forwarding sur mon firewall IPCOP n'est ce pas?

Je voudrai savoir comment donc autoriser le port 1194 sur IPCOP afin qu'il soit accessible de l'extérieure.

Merci d'avance SVP, vous m'auriez beaucoup aidé.

[ccnet]

Par contre quand je sors de mon LAN, je recois cette erreure quand j'essai de me conneter en tilisant ma carte réseau VPN
Code:
TCP : connect to 192.168.1.2:1194 failed, will try again in 5 seconds.

Pardonnez cette première impression, mais vos explications sont un peu confuses et la façon dont vous rédigez n'aide pas. Venons en à votre problème. Ce que je comprend est que vous n'arrivez pas à utiliser le vpn depuis un poste connecté à l'internet.

Je voudrai savoir comment donc autoriser le port 1194 sur IPCOP afin qu'il soit accessible de l'extérieure.

Zerina ne necessite pas de port forwarding et ce n'est pas le problème qui se pose. Cette ligne de log dit que le client n'arrive pas à se connecter à 192.168.1.2:1194 et je pense qu'il y a une incompréhension.

Un vpn comme Zerina est le plus souvent utilisé pour connecter un client nomade, c'est à dire un utilisateur disposant d'une connexion internet. L'adresse ip sur laquelle le client nomade va se connecter via le port udp 1194 est nécessairement une ip public, c'est à dire l'interface red d'ipcop. Il vous faut donc modifier open vpn.conf et en particulier la ligne remote qui doit indiquer l'ip public de la machine qui reçoit les connexions vpn.

[julesboucan]

Bonjour ccnet,
je te remercie bien pour tes remarques, et désolé de n'avoir pas été clair. J'en tiendrai compte désormais. Par rapport à zerina si je comprend bien il n'y a pas de problème, j'ai juste un problème de paramétrage réseau. Je pense que je vais présenter mon réseau afin que vous voyez avec moi ce qu'il a lieu de faire.

J'ai un Lan de 25 pcs

Code: Tout sélectionner

-----Routeur ADSL-----
                                         l  192.168.1.1  l
                                         l-----------------l                   
                                                   l
                                                   l(RED 1ère patte
                                                   l Ip= 192.168.1.2
                                    -------IPOCOP-------     
                                        l    VPN           l
                                        l---------------- l   
                                              l  IP=192.168.0.3
                                              l (Green 2ème patte)
                               --------------------- ---- -----                                                   
                                  l   Lan Zone Verte         l                                                     
                                  l Gateway =192.168.0.3l
                               -------------------------------- 
                                              l                             

Voici donc un résumé de mon réseau. Pour le moment nous n'avions pas configuré le routeur avec une IP fixe, mais nous comptions faire la demande pour demain auprès de notre FAI. Mais la question est combien d'adresses IP nous faut-il surtout qu'on veut faire du VPN.

A ma compréhension il nous faudra deux IP publiques. Une Ip pour le routeur et une seconde pour IPCOP. Ensuite il faudra donc configurer la patte d'IPCOP qui est liée au routeur avec une adresse IP publique et ouvrire openvpn.conf en indiquant comme vous l'aviez dit ,l'adresse ip publique de mon IP au niveau de la ligne remote.

Merci pour suite d'avance.

[ccnet]

Effectivement il y d'abord un problème réseau. Ce qui ne garantie pas qu'il n'y en pas d'autres mais à ce stade il n'est pas possible d'en juger.

Je suggère plusieurs choses pour un plan d'action.

1. Si vous le pouvez faites porter l'ip fixe publique sur RED. Vous éviterez des soucis possibles avec un nat supplémentaire.
2. Une ip publique unique peut suffire sous réserve d'autres informations. Si ce n'est pas le cas sachez qu'ipcop n'est pas conçu pour la gestion d'ip publiques multiples. Du moins de façon trop partielle. Nous y reviendrons si besoin.

3. En attendant, et pour tester uniquement, vous pouvez mettre dans openvpn.conf l'ip publique du routeur ads. Vous verrez si Zerina est fonctionnel. Il faudrat quand même regarder ce que fait le routeur adsl avec le trafic udp vers le port 1194.

En interne, avez vous des serveurs qui doivent être accédés depuis internet (messagerie, web, ftp, ...) ?

[julesboucan]

Désolé pour la présentation mais en terme clair je voudrai juste dire que j'ai un routeur ADSL qui a une adresse IP privée actuellement. IPcop a une carte réseau liée vers ce routeur avec Ip 192.168.1.2, la seconde carte de Ipcop a pour ip 192.168.0.3,elle liée au Switch central, l'ip 192.168.0.3 est donc passerelle pour mon LAN.

Je voudrai savoir combien d'Ip publiques me faudrai t-il acheter chez mon FAI avec que mon réseau fasse du VPN avec IPcop.

Merci pour suite SVP.

[jdh]

Examinons les différents cas pour le côté Red

* modem ADSL/SDSL usb : (non professionnel)
-> à changer pour un modèle ethernet

* modem ADSL/SDSL ethernet :
-> utilisation d'un câble croisé (quelquefois inutile car un port est peut-être auto-MDI)
-> utilisation du protocole idoine sur IPCOP selon le fournisseur : le plus souvent PPPOE

* Box en mode bridge : équivalent à un modem ethernet : p.e. Freebox

* routeur ethernet ou Box en mode routeur :
-> utilisation d'un câble croisé (quelquefois inutile car un port est peut-être auto-MDI)
soit le réseau interne est privé :
-> une seule adresse ip publique au niveau du routeur
-> le routeur utilise souvent PPPOA
-> l'IPCOP est en adressage fixe (avec le routeur en passerelle)
-> le DNS est soit ceux du FAI soit le routeur lui-même (cas des Box le plus souvent)
-> les renvois de ports doivent être configurés ET sur le routeur ET sur l'IPCOP
-> quelquefois mode DMZ du routeur : renvoi total vers l'IPCOP
soit le réseau interne est public :
-> le routeur possède une adresse ip côté interne
-> le réseau interne est souvent /29 (4 adresses soit 1 dispo), quelques fois /28 (8 adresses soit 5 dispo)
-> l'IPCOP est en adressage fixe public (avec le routeur en passerelle)
-> le DNS est ceux du FAI


Un FAI peut fournir plusieurs adresses ip mais c'est souvent inutile : la même adresse peut servir pour plusieurs protocoles et renvoyer sur plusieurs serveurs selon le protocole : p.e. un serveur web, un serveur VPN, un serveur mail, ...

Une adresse fixe n'est pas forcément nécessaire sauf pour recevoir soi-même les mails de son domaine : je DECONSEILLE pour de petites sociétés (<30 boites). Une adresse dynamique apporte plus de sécurité !



Pour un VPN, le PC sur Internet ne peut communiquer qu'avec l'adresse ip publique ... attribuée au routeur. Il faut donc faire, au niveau du routeur, un renvoi de port vers l'IPCOP.

[julesboucan]

Effectivement il y d'abord un problème réseau. Ce qui ne garantie pas qu'il n'y en pas d'autres mais à ce stade il n'est pas possible d'en juger.

Je suggère plusieurs choses pour un plan d'action.

1. Si vous le pouvez faites porter l'ip fixe publique sur RED. Vous éviterez des soucis possibles avec un nat supplémentaire.
2. Une ip publique unique peut suffire sous réserve d'autres informations. Si ce n'est pas le cas sachez qu'ipcop n'est pas conçu pour la gestion d'ip publiques multiples. Du moins de façon trop partielle. Nous y reviendrons si besoin.

3. En attendant, et pour tester uniquement, vous pouvez mettre dans openvpn.conf l'ip publique du routeur ads. Vous verrez si Zerina est fonctionnel. Il faudrat quand même regarder ce que fait le routeur adsl avec le trafic udp vers le port 1194.

En interne, avez vous des serveurs qui doivent être accédés depuis internet (messagerie, web, ftp, ...) ?

1- Ok nous sommes partant pour porter l'ip publique sur le RED.
2- Je parlais de 2 IP publiques, puisque notre routeur actuellement n'est pas configuré avec une Ip publique fixe, elle est sous dhcp,donc son ip publique peut varier. A moins que ca ne soit pas nécessaire de configurer le routeur avec une ip publique d'abord. Je dis ca surtout pour assurer que la patte liée au routeur soit configuré dans la même plage d'adresse Ip publique que le routeur à ma compréhension. Notifiez-moi SVP si ce n'est pas nécessaire de configurer le routeur avec une IP publique, ca nous ferait d'économie,surtout qu'en général mon FAI ne vent pas plus d'une adresse Ip publique,je veux dire soit c'est 1 ou 4, pas de 2. Donc si c'est 1 ca serait superbe.

3-Pour tester vous me proposer de prendre l'ip publique que j'obtiens en faisant www.monip.org et de l'ajouter dans openvpn.conf.

Oui j'ai des serveurs internes qui devraient être accesible depuis le net, ftp sous linux, et OWA(Outlook Web Access pour la messagerie).

[ccnet]

3-Pour tester vous me proposer de prendre l'ip publique que j'obtiens en faisant www.monip.org et de l'ajouter dans openvpn.conf.

Oui pour tester rapidement et confirmer le bon fonctionement de Zerina.

Oui j'ai des serveurs internes qui devraient être accesible depuis le net, ftp sous linux, et OWA(Outlook Web Access pour la messagerie).

Il va impérativement falloir installer une dmz avec une interface Orange pour y mettre ces serveurs.

Entre mes réponses et celle de jdh je crois que vous avez tout pour conduire vos tests et valider une architecture.

A priori une ip publique devrait suffire. Maintenant si vous prévoyez à moyen terme une croissance de l'entreprise impliquant un accroissement des besoins informatiques il peut être intéressant d'avoir d'autres ip dans sa besace.

[julesboucan]

Rebonjour, je suis très content d'être memebre de ce forum, il est vraiment robuste comme on me l'a recommandé.
Si je vous ai plus donner suite,c'est tout simplement parce que j'étais levé pour une intervention. Je rentre ici 2 heures et je ferai le test. Merci pour la compréhension.

En résumé je vais indiquer à openvpn.conf l'adresse ip fixe que j'aurai prelevé grâce à monip.org pour tester le fonctionnement de openvpn.

C'est aussi noté pour la zone Orange,et je vais demander l'acquisition d'une adresse Ip publique, ca devrait fonctionner à priori comme vous le dites avec mes serveurs de la zone orange.

Je vous tiens au courant dans un instant.

Merci

[jdh]

Je réécris parce que je n'ai pas l'impression d'être compris.

Pour de petites structures (c'est le cas), il n'est pas utile d'avoir une adresse ip fixe ! Un nom de domaine dynamique sera suffisant.

Il est encore moins utile d'avoir plusieurs adresses ip publiques. Ici cela serait un total gaspillage !

[julesboucan]

Bonsoir,il ya du changement,
j'ai l'impression que le fichier openvpn situé dans /usr/bin/openvpn est corrompu.
Quand je l'ouvre avec WinSCP j'obtiens ceci ELF


. J'ai essayé de faire un cat /usr/bin/openvpn et ca affiche une ligne déroulante contenant PUTTY écris partout et je suis obligé de faire un Ctrl+C pour arrêter.
Qu'est ce qui ne va pas à mon niveau,jamais rencontré un porblème pareil.
Autre chose j'ai essayé de me connecter de nouveau en interne depuis XP,et là je recois le Bug d'hier que mon collaborateur recevais en externe pour test. Je parle de

Code: Tout sélectionner

Wed Aug 13 17:40:50 2008 TCP: connect to 192.168.1.2:1194 failed, will try again in 5 seconds

C'est vrai que je n'ai pas pu modifier le contenu de openvpn avec ce qui m'est arrivé,mais est-ce normal que je ne puisse accéder à mon VPN ne marche plus en interne aussi.

Que dois-je faire SVP?

Merci pour suite.

[julesboucan]

Je réécris parce que je n'ai pas l'impression d'être compris.

Pour de petites structures (c'est le cas), il n'est pas utile d'avoir une adresse ip fixe ! Un nom de domaine dynamique sera suffisant.

Il est encore moins utile d'avoir plusieurs adresses ip publiques. Ici cela serait un total gaspillage !

Au fait par rapport à l'adresse IP, mon Directeur a engagé l'achat d'une adresse Ip malgré que je l'ai expliqué comme t'as dit, mais il dit que lui tenait à acheter cette adresse Ip publique pour 2 raisons:
1-envoi des mails avec son serveur Exchange et faire de l'OWA.
2-Eviter que son serveur de messagerie Exchange soit blacklisté.

Tant mieux l'essentiel est qu'avec une adresse Ip publique qu'on puisse être capable de faire le VPN pour l'instant.

[ccnet]

1-envoi des mails avec son serveur Exchange et faire de l'OWA.

Je sujet est maitrisé ? parce qu'il ne suffit pas de mettre l'ip sur la pate RED et de forwarder le port 25. Puisque justement il est question de blacklist, il va vous falloir être très précis sur la gestion dns. Sans compter en interne des dispositions anti spam suffisantes .... Gare au backscatter si vous le voulez pas voir votre serveur Exchange passer ces jours et ses nuits à renvoyer (No such user), à des expéditeurs innocents, des mails qu'ils n'ont pas émis.

[jdh]

Il faut regarder le fichier de conf d'OpenVPN (souvent dans /etc/openvpn/) et non la commande (/usr/bin contient des ... binaires !).

Le VPN est conçu pour être accédé par l'extérieur : il ne sert à presque rien de le tester avec une machine en interne.



Quel est l'intérêt de posséder une adresse ip fixe ?

Avantages :
- on peut définir le MX de son domaine en le faisant pointer vers cette adresse ip fixe pour recevoir directement ses mails.
- on peut définir un A du genre webmail.domaine.com pour accéder au webmail interne.

Inconvénients :
- il faut assurer une dispo 24h/24h de cette ligne (et avec une bande passante adaptée).
- il faut un firewall et un management de celui-ci de type professionnel.
- il faut s'assurer qu'il n'y ait pas d'openrelay.
- l'adresse ip est connue et associée à l'entreprise : elle peut-être ciblée.
- il faudrait, selon la norme, faire un reverse-dns de l'adresse ip vers le MX : pas simple !

Fausse idée :
- je ne serais pas blacklisté : non, même les serveurs de Wanadoo sont blacklistés ! De toute façon, le mail est à envoyer au smtp de son fai.
- c'est plus simple qu'une adresse dynamique : non, mais cela exige plus de sécurité et de compétence (interne).
- on est plus indépendant : non, il y a toujours besoin de son FAI pour être MX de niveau 2.


Pour de petites structures (et pour un seul site), cela n'a vraiment aucun intérêt AMHA. (En tarif pro, une ADSL chez Orange vaut ~45€/mois, avec une 1 adresse ip fixe, cela fait ~60€/mois !)

J'ajouterais même que de mon point de vue, la balance penche plutôt pour une adresse ip dynamique en raison de l'effort nécessaire pour bien gérer une adresse ip fixe. Exemple d'avantage : pour accéder à un webmail interne, utiliser un nom dynamique "générique" évite d'être reconnu.

Et puis, tant qu'à faire du VPN, autant ne pas faire de webmail ...

[julesboucan]

1-envoi des mails avec son serveur Exchange et faire de l'OWA.

Je sujet est maitrisé ? parce qu'il ne suffit pas de mettre l'ip sur la pate RED et de forwarder le port 25. Puisque justement il est question de blacklist, il va vous falloir être très précis sur la gestion dns. Sans compter en interne des dispositions anti spam suffisantes .... Gare au backscatter si vous le voulez pas voir votre serveur Exchange passer ces jours et ses nuits à renvoyer (No such user), à des expéditeurs innocents, des mails qu'ils n'ont pas émis.

Ok,merci pour ta confirmation, par rapport aux antispam, je suis entrain de me pencher vers l'addon Copfilter,pour gérer les spams et virus de la zone RED,bref les spams et virus venant du net. Seulement que Copfilter nécessite minimum 256 Mo de RAM et je pense que c'est normal surtout à cause de Clamav,qui est un peu gourmand en ressource. Mais j'ai demandé à mon boss d'acheter une RAM supplémentaire de 128 Mo de RAM,j'espère que IPCOP va le reconnaitre automatiquement au niveau du swap

Ouais tu viens d'attirer mon attention par rapport au fait que les serveurs de mails renvoie des mails au expéditeurs innoncent sans que rien ne soit émis, je vais probablement créer un autre topic pour savoir les mesures à prendre pour mieux sécuriser son serveur de mail malgré que l'on installe Copfilter sur IPCOP.

Mais mon problème persit, je ne vois rien dans /usr/bin/openvpn avec WinScp, il affiche ceci

Code: Tout sélectionner

ELF




je ne sais pas ce que ca veut dire.

Merci pour suite