Réseaux et Télécom » IPCop - OpenVPN
Catégorie:  
   
IPCop - OpenVPN
Publié le 20/12/2007 @ 19:06:34,
Par Jean-Christophe
Suite à un autre topic, j'ai donc donné une chance à IPCop pour faire un proxy/vpn/gateway.
Jusque là, je dois dire que je suis assé bluffé!

C'est bien foutu, c'est assez intuitif pour quelqu'un qui n'y connais pas grand chose et les interfaces fonctionnent bien.

J'ai donc un proxy avec authentification Active Directory (pff, facile :oh: ) et un serveur OpenVPN.

Pour l'OpenVPN, j'ai crée le CA et tout le bazard et ca fonctionne.
Il crée même un zip qu'il n'y a plus qu'à donner à manger à OpenVPN GUI pour se connecter. Bref, c'est bien foutu!

Par contre, j'ai une question.
Une fois que je suis connecté, j'ai visiblement un problème de routage.

Voici la config:
Lan local : 10.0.0.x
Lan distant : 10.1.136.x
Range clients VPN : 192.168.111.x

Le log de connexion OpenVPN:
Thu Dec 20 18:58:29 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu Dec 20 18:58:29 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Dec 20 18:58:33 2007 LZO compression initialized
Thu Dec 20 18:58:33 2007 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Thu Dec 20 18:58:33 2007 Control Channel MTU parms [ L:1442 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Dec 20 18:58:33 2007 Data Channel MTU parms [ L:1442 D:1442 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Dec 20 18:58:33 2007 Local Options hash (VER=V4): 'a6ae7d69'
Thu Dec 20 18:58:33 2007 Expected Remote Options hash (VER=V4): '006a55ce'
Thu Dec 20 18:58:33 2007 UDPv4 link local (bound): [undef]:1194
Thu Dec 20 18:58:33 2007 UDPv4 link remote: 212.166.27.22:1194
Thu Dec 20 18:58:33 2007 TLS: Initial packet from 212.166.27.22:1194, sid=f164e01c f19a8087
Thu Dec 20 18:58:33 2007 VERIFY OK: depth=1, /C=BE/O=*******************/CN=********************_CA/emailAddress=it@********- **
Thu Dec 20 18:58:33 2007 VERIFY OK: nsCertType=SERVER
Thu Dec 20 18:58:33 2007 VERIFY OK: depth=0, /C=BE/O=*******************/CN=vpn.**********.eu
Thu Dec 20 18:58:34 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 20 18:58:34 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 20 18:58:34 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 20 18:58:34 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 20 18:58:34 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Dec 20 18:58:34 2007 [vpn.**********.eu] Peer Connection Initiated with 212.166.27.22:1194
Thu Dec 20 18:58:35 2007 SENT CONTROL [vpn.**********.eu]: 'PUSH_REQUEST' (status=1)
Thu Dec 20 18:58:35 2007 PUSH: Received control message: 'PUSH_REPLY,route 10.1.136.0 255.255.255.0,redirect-gateway def1,dhcp-option DOMAIN mondomaine.local,dhcp-option DNS 10.1.136.5,route 192.168.111.1,ping 10,ping-restart 60,ifconfig 192.168.111.6 192.168.111.5'
Thu Dec 20 18:58:35 2007 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 20 18:58:35 2007 OPTIONS IMPORT: --ifconfig/up options modified
Thu Dec 20 18:58:35 2007 OPTIONS IMPORT: route options modified
Thu Dec 20 18:58:35 2007 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Dec 20 18:58:35 2007 TAP-WIN32 device [Tap-Adapter] opened: \\.\Global\{4BDDF0FE-CFA8-485E-BE29-D2DC9486F253}.tap
Thu Dec 20 18:58:35 2007 TAP-Win32 Driver Version 8.4
Thu Dec 20 18:58:35 2007 TAP-Win32 MTU=1500
Thu Dec 20 18:58:35 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.111.6/255.255.255.252 on interface {4BDDF0FE-CFA8-485E-BE29-D2DC9486F253} [DHCP-serv: 192.168.111.5, lease-time: 31536000]
Thu Dec 20 18:58:35 2007 Successful ARP Flush on interface [262147] {4BDDF0FE-CFA8-485E-BE29-D2DC9486F253}
Thu Dec 20 18:58:35 2007 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Dec 20 18:58:35 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Dec 20 18:58:35 2007 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Dec 20 18:58:35 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Dec 20 18:58:36 2007 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Dec 20 18:58:36 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Dec 20 18:58:37 2007 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Thu Dec 20 18:58:37 2007 route ADD 212.166.27.22 MASK 255.255.255.255 10.0.0.254
Thu Dec 20 18:58:37 2007 Route addition via IPAPI succeeded
Thu Dec 20 18:58:37 2007 route ADD 0.0.0.0 MASK 128.0.0.0 192.168.111.5
Thu Dec 20 18:58:37 2007 Route addition via IPAPI succeeded
Thu Dec 20 18:58:37 2007 route ADD 128.0.0.0 MASK 128.0.0.0 192.168.111.5
Thu Dec 20 18:58:37 2007 Route addition via IPAPI succeeded
Thu Dec 20 18:58:37 2007 route ADD 10.1.136.0 MASK 255.255.255.0 192.168.111.5
Thu Dec 20 18:58:37 2007 Route addition via IPAPI succeeded
Thu Dec 20 18:58:37 2007 route ADD 192.168.111.1 MASK 255.255.255.255 192.168.111.5
Thu Dec 20 18:58:37 2007 Route addition via IPAPI succeeded
Thu Dec 20 18:58:37 2007 Initialization Sequence Completed


IPConfig /all
Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : MonPC
Suffixe DNS principal . . . . . . : mondomaine.local
Type de noud . . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS : mondomaine.local

Carte Ethernet Connexion réseau sans fil:

Suffixe DNS propre à la connexion : chez.moi
Description . . . . . . . . . . . : Intel(R) PRO/Wireless 2200BG Networ
Connection
Adresse physique . . . . . . . . .: 00-12-F0-C8-DF-97
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 10.0.0.11
Masque de sous-réseau . . . . . . : 255.0.0.0
Passerelle par défaut . . . . . . : 10.0.0.254
Serveur DHCP. . . . . . . . . . . : 10.0.0.1
Serveurs DNS . . . . . . . . . . : 10.0.0.1
10.0.0.254
Bail obtenu . . . . . . . . . . . : jeudi 20 décembre 2007 18:50:21
Bail expirant . . . . . . . . . . : vendredi 28 décembre 2007 18:50:21

Carte Ethernet Tap-Adapter:

Suffixe DNS propre à la connexion : mondomaine.local
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Adresse physique . . . . . . . . .: 00-FF-4B-DD-F0-FE
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 192.168.111.6
Masque de sous-réseau . . . . . . : 255.255.255.252
Passerelle par défaut . . . . . . : 192.168.111.5
Serveur DHCP. . . . . . . . . . . : 192.168.111.5
Serveurs DNS . . . . . . . . . . : 10.1.136.5
Bail obtenu . . . . . . . . . . . : jeudi 20 décembre 2007 18:58:36
Bail expirant . . . . . . . . . . : vendredi 19 décembre 2008 18:58:36


Route Print
===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x2 ...00 12 f0 c8 df 97 ...... Intel(R) PRO/Wireless 2200BG Network Connection
- Miniport d'ordonnancement de paquets
0x40003 ...00 ff 4b dd f0 fe ...... TAP-Win32 Adapter V8 - Miniport d'ordonnance
ment de paquets
===========================================================================
===========================================================================
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 10.0.0.254 10.0.0.11 25
0.0.0.0 128.0.0.0 192.168.111.5 192.168.111.6 1
10.0.0.0 255.0.0.0 10.0.0.11 10.0.0.11 25
10.0.0.11 255.255.255.255 127.0.0.1 127.0.0.1 25
10.1.136.0 255.255.255.0 192.168.111.5 192.168.111.6 1
10.255.255.255 255.255.255.255 10.0.0.11 10.0.0.11 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 192.168.111.5 192.168.111.6 1
192.168.111.1 255.255.255.255 192.168.111.5 192.168.111.6 1
192.168.111.4 255.255.255.252 192.168.111.6 192.168.111.6 30
192.168.111.6 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.111.255 255.255.255.255 192.168.111.6 192.168.111.6 30
212.166.27.22 255.255.255.255 10.0.0.254 10.0.0.11 1
224.0.0.0 240.0.0.0 10.0.0.11 10.0.0.11 25
224.0.0.0 240.0.0.0 192.168.111.6 192.168.111.6 30
255.255.255.255 255.255.255.255 10.0.0.11 10.0.0.11 1
255.255.255.255 255.255.255.255 192.168.111.6 192.168.111.6 1
Passerelle par défaut : 192.168.111.5
===========================================================================
Itinéraires persistants : Aucun


TraceRt 10.1.136.1
Détermination de l'itinéraire vers 10.1.136.1 avec un maximum de 30 sauts.

1 53 ms 29 ms 29 ms 192.168.111.1
2 * * * Délai d'attente de la demande dépassé.
3 * * * Délai d'attente de la demande dépassé.
4 * * * Délai d'attente de la demande dépassé.
5 ^C


Si vous avez une idée ou une piste, je suis preneur!

Merci
   
IPCop - OpenVPN
Publié le 20/12/2007 @ 19:13:29,
Par kortenberg
les machine sur ton lan distant, ils connaissent la route vers ton vpn?
   
IPCop - OpenVPN
Publié le 20/12/2007 @ 19:27:55,
Par Jean-Christophe
ah tien non :smile:
Comment je peux m'en sortir?
C'est un Lan avec une connexion vers le corporate via une boite rouge dont je ne sais rien.
C'est la boite en question qui sert de passerelle par défaut.
L'accès au net se fait via un proxy.

Dernière édition: 20/12/2007 @ 19:29:24
   
IPCop - OpenVPN
Publié le 20/12/2007 @ 19:43:00,
Par Keeper
pour que ça fonctionne tip top

tu met IPCop en default GW sur les ordis de ton LAN et puis tu met ta boîte rouge comme default gateway de ton ipcop
   
IPCop - OpenVPN
Publié le 20/12/2007 @ 19:44:57,
Par kortenberg
comme solution, je vois:
- faire du nat sur les les paquets venant de ton vpn vers ton lan distant.
- donner des ip du lan distant dans ton vpn
- faire un vpn en mode bridge
   
IPCop - OpenVPN
Publié le 20/12/2007 @ 21:42:51,
Par philfr
Une fois que je suis connecté, j'ai visiblement un problème de routage.

Voici la config:
Lan local : 10.0.0.x
Lan distant : 10.1.136.x
Range clients VPN : 192.168.111.x


Sans trop approfondir, je vois surtout que tu as les deux réseaux 10.0.0.x et 10.1.136.x.
Cela suppose que leur netmask soit 255.255.255.0
Or, si non spécifié, une adresse commençant par 10 est par défaut de classe A soit un netmask 255.0.0.0, et c'est ce que j'ai l'impression de trouver dans tes ipconfig et al.
Et dans ce cas, les deux réseaux n'en sont qu'un et le routage ne peut fonctionner correctement.

Et le même problème se pose à distance: il faut que de part et d'autre de ta connexion, les réseaux soient spécifiés de la même façon, y compris le netmask.

Mes 2¢

Dernière édition: 20/12/2007 @ 21:43:08
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 08:42:34,
Par Jean-Christophe
Keeper > Oui, ce serait l'idéal. Mais pour le moment, je n'ai pas le temps de modifier la config sur toutes les machines. Le Lease DHCP est assez long :ohwell:

Kortenberg >
- Je ne sais pas comment je peux faire ca avec IPCop
- idem...
- Ca, par contre, je sais que ce n'est pas possible par défaut avec le module Openvpn pour IPCop.

Philfr > J'ai le même problème quand je suis dans un autre lan privé en 192.168.1.*
Et puis le premier hop est bien ma passerelle PVN. C'est la suite qui ne passe pas bien.

Merci pour vos réponses :smile:
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 09:03:53,
Par rfr
Tu peux nous faire un petit dessin du réseau avec les routers et tout ça?

Faut savoir aussi que parfois, OpenVPN ajoute des routes (ou ooublie d'en ajouter) de manière pas très heureuse.

Mais je plussoie philfr, ta route vers 10.0.0.0 à un netmask foireux. Mais normalement, vu que l'autre route est correcte, ça ne devrait pas poser de problèmes.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 09:54:34,
Par Jean-Christophe
Alors...

Quelqu'un a un petit utilitaire pour faire un joli dessin de réseau?

Sinon

Dans mon réseau, il y a un défault gateway avec une route vers le réseau du corporate.
Un proxy avec un accès direct à internet et une ip publique (on en a 5 en tout)


-------------------------------------LAN---------------------
| | | | |
Default GW Proxy Guest_Wifi PC1 PC2 PC3 ...
| | |
--------- WIN --------

Le Default GW ne permet pas de passer vers internet mais uniquement vers le reste du réseau (Californie, Japon, ...)
Le proxy à une IP publique

J'espère que c'est plus clair :ohwell:
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 10:43:41,
Par rfr
Donc c'est ton proxy qui tourne sous IPCOP.

PCn à une adresse 10.0.0.x/24
VPNn à une adress 10.1.136.x/24

Vu que les PCn ont un default gateway que tu ne maîtrises pas, je ne vois pas comment tu pourrais résoudre le routage sans modifier, soit les PCn, soit le default gw.

Une solution pourrait être de natter les adresses 10.1.136.x sur le proxy mais ça peut te poser des problèmes ...

Donc soit, il faut que tu changes la topologie, pour que ton Proxy reprenne le boulot du Default GW en interne, soit que tu ai accès au Default GW pour y ajouter les bonnes routes et les bonnes passerelles.

En l'état, je ne vois pas ce que tu pourrais faire :sad:
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 10:49:17,
Par Jean-Christophe
C'est presque ca...
PCn sont en 10.1.136.*
Les adresses distribuées par OpenVPN sont en 192.168.111.*
L'adresse LAN du proxy est 10.1.136.253
Les 10.0.0.* que tu as vu sont les adresses de mon lan à la maison que j'ai utilisé pour faire le test de connexion hier.
J'ai le même problème quand je suis chez mon voisin en 192.168.1.*
En effet, c'est assez clair maintenant que c'est le PC du Lan qui ne connaissent pas la route vers les clients VPN.

Pourquoi le nattage pourrait-il me poser des soucis?
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 10:53:50,
Par kortenberg
un nat dans un lan, ça veut dire pas de partage windows (entre autre)
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 10:56:11,
Par Jean-Christophe
si j'y accède via \\10.1.136.* non plus?
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 10:58:54,
Par Jean-Christophe
J'avance...
J'ai ajouté une ligne à la config du DHCP pour lui dire
033 - Static Route Option - Standard - 192.168.11.6, 10.1.136.253

Et ca fonctionne dans les deux sens MAIS:
- Je n'ai pas trouvé comment lui dire de faire ca sur un subnet et pas seulement sur une IP
- Ca ne fonctionne qu'avec les machines en DHCP (mais je peux rajouter les routes sur les machines en IP fixes).

xxx
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 11:09:50,
Par kortenberg
si j'y accède via \\10.1.136.* non plus?
Normalement, ça marche. J'ai l'habitude d'avoir des nuls en face de moi qui veulent pouvoir parcourir leur réseau.
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 11:10:41,
Par Jean-Christophe
Normalement, ça marche. J'ai l'habitude d'avoir des nuls en face de moi qui veulent pouvoir parcourir leur réseau.


Ah, oui, ok :smile:

Pas de soucis alors :smile:
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 11:31:32,
Par Jean-Christophe
Si il y a une bonne ame qui sait me dire comment faire le NAT en question, je lui en serait très reconnaissant :smile:

Merci
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 12:33:45,
Par rfr
avec ipcop je sais pas mais avec iptables ça devrait aller :wink:

Quel trafic natter? le 192.168.111?

Alors: iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -j SNAT --to <ip du proxy>

Dernière édition: 21/12/2007 @ 12:34:15
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
   
IPCop - OpenVPN
Publié le 21/12/2007 @ 19:38:14,
Par Jean-Christophe
bon...
IPCop utilise iptables, ca devrait donc aller. :smile:
Je vais m'assurer que j'ai une autre porte d'entrée au cas où ca foirerait, bien que j'ai une très grande confiance en rfr :oh:
   
IPCop - OpenVPN
Publié le 28/12/2007 @ 14:02:40,
Par Jean-Christophe
Alors, ca marche, mais ca ne marche pas :sad:
Ipcop utilise iptables et j'ai un accès ssh dessus, donc pas de soucis pour lui faire manger la ligne de rfr.
Par contre, je ne vois pas de différence.
et je ne sais pas comment voir si ce que je lui ai demandé à été pris en compte.
Répondre - Catégorie:  
Informaticien.be - © 2002-2022 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?