Routage via VPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar calamarz » 25 Sep 2003 15:51

Et opp je relance mon bon vieux sujet !!!! et oui personne n'a pu m'aider <IMG SRC="images/smiles/icon_bawling.gif"> donc voila mon probleme (je vais le simplifier) j'ai deux sites un (A) en 192.168.69.0 et un (B) en 192.168.72.0 relie en VPN via ipcop 1.2 cela tourne nickel (je fais pleins d'économies !!!!) mais le probleme c'est que le serveur de messagerie est sur un autre site (C) 192.168.16.0 et que ce site (C) est relie par un routeur numeris sur le site (A) et je voudrais donc pourvoir a partir du site B acceder a la messagerie !!! <IMG SRC="images/smiles/icon_eek.gif"> et oui alors si quelqu'un a deja fait <IMG SRC="images/smiles/icon_help.gif"> merci <IMG SRC="images/smiles/icon_razz.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar Riric » 25 Sep 2003 19:02

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Et opp je relance mon bon vieux sujet !!!! et oui personne n'a pu m'aider donc voila mon probleme (je vais le simplifier) j'ai deux sites un (A) en 192.168.69.0 et un (B) en 192.168.72.0 relie en VPN via ipcop 1.2 cela tourne nickel (je fais pleins d'économies !!!!) mais le probleme c'est que le serveur de messagerie est sur un autre site (C) 192.168.16.0 et que ce site (C) est relie par un routeur numeris sur le site (A) et je voudrais donc pourvoir a partir du site B acceder a la messagerie !!! et oui alors si quelqu'un a deja fait merci </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Soit tu demandes (ou tu fais si c'est toi l'admin) à ce que l'@ 192.168.72.0 soit connu du routeur et routé. <BR> <BR>Soit, d'aprés ce que je viens de mettre en place - et grace à l'aide de Tomtom - le plus simple est de masquerader l'IP qui sort de ton IPCOP A. <BR>Essaye : iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o eth0 (interface green du ipcop A) -j MASQUERADE <BR> <BR>ceci évite de changer la config du routeur qui est à l'autre bout. <BR>Dans mon cas ça marche bien. <BR> <BR>@+ <BR>
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar calamarz » 25 Sep 2003 23:41

Ouep je vais tester cela demain matin merci <IMG SRC="images/smiles/icon_wink.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar calamarz » 26 Sep 2003 09:52

Le probleme c'est que les paquets destinés au serveur de messagerie ne passe pas par le VPN <IMG SRC="images/smiles/icon_mad.gif"> . <BR> Si tu es sur le site B seul les paquets destinés au site A peuvent passer par le tunnel !!!! comme c'est pour le site C qui est relie par routeur au A, a partir du B je ne peux pas atteindre le C. <BR> <BR> J'ai deja essayer de jouer avec le mask de sous reseau pour que mon tunnel coté B soit en classe B et coté A en C mais cela n'a pas fonctionner merci de votre aide car la je seche et cela fait 1 mois que ca dur <IMG SRC="images/smiles/icon_frown.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar Riric » 29 Sep 2003 11:49

houla, faudrait que tu fasses un schéma, parce que là dur, dur...
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar tomtom » 29 Sep 2003 12:19

Lol il y a deja eu un schéma.... Je reconnais que j'ai un peu abandonné les recherches.... <BR> <BR>Il faudrait effectivement un nouveau schema (peut-etre un visio avec un lien...) et surtout avec toutes les adresses, tous les masques et les endroits où tu peux intervenir.... <BR> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kerozene » 29 Sep 2003 13:37

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Il faudrait effectivement un nouveau schema (peut-etre un visio avec un lien...) </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>hummm, Tomtom, attention aux proposition d'utilisation de logiciel... en libre et sous linux il existe Dia qui marche parait il très bien (jamais testé, moi j'utilise... Visio ! <IMG SRC="images/smiles/icon_wink.gif"> ) <BR> <BR><IMG SRC="images/smiles/icon_biggrin.gif">
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
Avatar de l’utilisateur
kerozene
Amiral
Amiral
 
Messages: 1019
Inscrit le: 25 Déc 2002 01:00
Localisation: LYON

Messagepar tomtom » 29 Sep 2003 14:07

Moi uassi j'utilise Viso (au boulot), et je trouve qu'il marche bien, donc c'est pour ça.... <BR> <BR>Chez moi, je ne dessine pas souvent des plans de réseaux <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar calamarz » 29 Sep 2003 16:07

Merci j'ai fait un plan j'espere que la qualité sera suffisante le voici <BR> <BR><!-- BBCode Start --><IMG SRC="http://www.pitimousse.com/images/projet vpn.gif" BORDER="0"><!-- BBCode End --> <BR> <BR>Alors quelques explications: <BR> <BR>Le cadre rouge represente la zone dans laquelle je peut modifier les configurations <BR>La liaison numeris existe toujours mais je voudrais juste qu'elle soit une solution de secours car le VPN pour l'instant fonctionne tres bien (et plus economique). <BR>Pour le cisco 1700 je dois demander a FT de faire la modif si il y a modifications. <BR> <BR>Donc concretement je voudrais qu'a partir du site B je puisse consulter la messagerie sur le site C en passant par A <BR> <IMG SRC="images/smiles/icon_razz.gif"> et oui pas évident avec Tom Tom on a deja essayer des modifs de masque mais cela n'a pas fonctionner
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar mattman » 29 Sep 2003 17:06

D'après ton schéma, tu es en Global Intranet de France Telecom. <BR>Pour résoudre ton problème, fais passer tes sites par une autre solution que Global Intranet ( C de la m.... **autocensure**) <BR>Un collaborateur avait pris cette solution et des problèmes sans noms avec perte de temps chez le développeur de l'applicatif qui tournait en réseau. <BR>La solution du problème venait de Global Intranet qui fermait les ports n'importe comment, donc tu ne peux pas faire ce que tu veux (d'où deconnections etc...) <BR>A bon entendeur <IMG SRC="images/smiles/icon_smile.gif">
Le seul homme à ne jamais faire d'erreurs est celui qui ne fait rien - Theodore Roosevelt
Avatar de l’utilisateur
mattman
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 158
Inscrit le: 18 Août 2003 00:00
Localisation: Diois - Ouah

Messagepar calamarz » 29 Sep 2003 17:23

Le probleme c'est que le choix du global intranet est impose <IMG SRC="images/smiles/icon_frown.gif"> donc pas le choix jusqu'a maintenant cela fonctionnait pas mal (un peu lent)
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar tomtom » 29 Sep 2003 17:24

OK... <BR> <BR>Je vais te donner une liste de conditions NECESSAIRES pour que ca fonctionne. Elles ne sont sans doute pas suffisantes, on verra plus tard.... <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>- Les stations du lan 192.168.72.0/24 doivent avoir comme route par defaut IPCop B <BR> <BR>- IPCop B doit avoir une route vers l'adresse du serveur de messagerie (192.168.16.4) ou vers le reseau entier de site 3 (192.168.16.0/24) via son interface ppp0 <BR> <BR>- IPCop A doit avoir la route vers le serveur de messagerie ou le reseau complet via le cisco 1700 : 192.168.69.254 <BR> <BR>- Le 1700 doit avoir la route vers le lan 192.168.72.0/24 via ipcop A : 192.168.69.253 <BR> <BR>- Le serveur de messagerie doit avoir la route vers le 192.168.72.0/24 via le 1700 (ca doit etre ok logiquement si ca marche avec le rnis...) <BR> <BR> <BR>Une fois que toutes ces routes seront bien positionnées, il faudra verifier si le VPN accepte en l'etat de laisser passer les paquets pour le serveur de messagerie... Sinon, il faudra modifier obligatoirement le masque.... <BR> <BR>Bon courage, <BR> <BR>Thomas <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar calamarz » 29 Sep 2003 17:59

Merci a toi certaines conditions sont déjà remplies mais je vais verifier <IMG SRC="images/smiles/icon_smile.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar calamarz » 30 Sep 2003 09:40

Bon deja ca bloque c'est vrai j'ai déjà essayé mais cela ne fonctionne pas car deja sur ipcop B je ne peut pas donner une route vers ce réseau: <BR> <BR>route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.72.253 ppp0 <BR>SIOCADDRT: Network is unreachable <BR> <BR>route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.72.253 eth1 <BR>SIOCADDRT: Network is unreachable <BR> <BR>ma carte eth1 est la carte vers le modem ethernet
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar tomtom » 30 Sep 2003 11:44

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-30 09:40, calamarz a écrit: <BR>Bon deja ca bloque c'est vrai j'ai déjà essayé mais cela ne fonctionne pas car deja sur ipcop B je ne peut pas donner une route vers ce réseau: <BR> <BR>route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.72.253 ppp0 <BR>SIOCADDRT: Network is unreachable <BR> <BR>route add -net 192.168.16.0 netmask 255.255.255.0 gw 192.168.72.253 eth1 <BR>SIOCADDRT: Network is unreachable <BR> <BR>ma carte eth1 est la carte vers le modem ethernet <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Moui c'est normal... <BR> <BR>Il ne faut pas mettre de route car elle est dans un reseau distant ! <BR> <BR>Essaye ça : <BR> <BR> <BR>route add -net 192.168.16.0 netmask 255.255.255.0 ipsec0 <BR> <BR>(si ton interface ipsec0 est bien celle du vpn). <BR> <BR> <BR>t. <BR> <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron