Prob connection 2 LAN par VPN ipsec
Dams
-
kelux Messages postés 3074 Date d'inscription Statut Contributeur Dernière intervention -
kelux Messages postés 3074 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour @ tous,
Voilà mon souci, je veux relier 2 LAN (192.168.1.0/24-192.168.2.0/24) par un VPN IPsec. Pour cela j'ai monté 2 passerelles sous mandrake 10.1 :
VPNSRVA (passerelle 1)
eth0=192.168.1.1/24
eth1=200.200.200.1/24
contenu du setkey.conf :
#!/usr/sbin/setkey -f
### CONFIGURATION des SA
# Effacement des associations de sécurités existantes (SA)
flush;
# Le cryptage ESP utilise des clés de 192 bits (168 + 24 pour la parité)
# L'authentification utilise des clés de 128 bits
# Sens VPNSRVA - VPNSRVB
add 200.200.200.1 200.200.200.2 esp 0x201 -m tunnel
-E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831
-A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf2e6;
# Sens VPNSRVB - VPNSRVA
add 200.200.200.2 200.200.200.1 esp 0x301 -m tunnel
-E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
-A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b;
### CONFIGURATION des SPD
# Effacement des politiques de sécurité (SPD)
spdflush;
## Politiques de sécurités
# Le traffic sortant du réseau 192.168.1.0 vers le réseau 192.168.2.0 nécessite IPsec
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/200.200.200.1-200.200.200.2/require;
# Le traffic arrivant du réseau 192.168.2.0 vers le réseau 192.168.1.0 nécessite IPsec
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/200.200.200.2-200.200.200.1/require;
VPNSRVB (passerelle 2)
eth0=192.168.2.1/24
eth1=200.200.200.2/24
contenu du setkey.conf :
#!/usr/sbin/setkey -f
### CONFIGURATION des SA
# Effacement des associations de sécurités existantes (SA)
flush;
# Le cryptage ESP utilise des clés de 192 bits (168 + 24 pour la parité)
# L'authentification utilise des clés de 128 bits
# Sens VPNSRVA - VPNSRVB
add 200.200.200.1 200.200.200.2 esp 0x201 -m tunnel
-E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831
-A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf2e6;
# Sens VPNSRVB - VPNSRVA
add 200.200.200.2 200.200.200.1 esp 0x301 -m tunnel
-E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
-A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b;
### CONFIGURATION des SPD
# Effacement des politiques de sécurité (SPD)
spdflush;
## Politiques de sécurités
# Le traffic sortant du réseau 192.168.2.0 vers le réseau 192.168.1.0 nécessite IPsec
spdadd 192.168.2.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/200.200.200.1-200.200.200.2/require;
# Le traffic arrivant du réseau 192.168.1.0 vers le réseau 192.168.2.0 nécessite IPsec
spdadd 192.168.1.0/24 192.168.2.0/24 any -P in ipsec
esp/tunnel/200.200.200.2-200.200.200.1/require;
Pour mes tests, j'ai connecté 1 client de chaque côté relié aux "eth0" des passerelles :
client 1 (sur VPNSRVA):
@IP 192.168.1.2/24
GW 192.168.1.1
client 2 (sur VPNSRVB):
@IP 192.168.2.2/24
GW 192.168.2.1
ET VOILA MON PROBLEME :
les 2 clients ne se ping pas!!
pourtant...
client 1
ping 192.168.1.1 OK
ping 200.200.200.1 OK
ping 200.200.200.2 perte 100%
ping 192.168.2.1 perte 100%
ping 192.168.2.2 perte 100%
client 2
ping 192.168.2.1 OK
ping 200.200.200.2 OK
ping 200.200.200.1 perte 100%
ping 192.168.1.1 perte 100%
ping 192.168.1.2 perte 100%
VPNSRVA
ping 192.168.1.2 OK
ping 200.200.200.2 OK
ping 192.168.2.1 OK
ping 192.168.2.2 blocage (pas de réponse)
VPNSRVB
ping 192.168.2.2 OK
ping 200.200.200.1 OK
ping 192.168.1.1 OK
ping 192.168.1.2 blocage (pas de réponse)
PLEASE HELP....!
et merci à tout les courageux qui auront lu mon message de bout en bout ;)
Voilà mon souci, je veux relier 2 LAN (192.168.1.0/24-192.168.2.0/24) par un VPN IPsec. Pour cela j'ai monté 2 passerelles sous mandrake 10.1 :
VPNSRVA (passerelle 1)
eth0=192.168.1.1/24
eth1=200.200.200.1/24
contenu du setkey.conf :
#!/usr/sbin/setkey -f
### CONFIGURATION des SA
# Effacement des associations de sécurités existantes (SA)
flush;
# Le cryptage ESP utilise des clés de 192 bits (168 + 24 pour la parité)
# L'authentification utilise des clés de 128 bits
# Sens VPNSRVA - VPNSRVB
add 200.200.200.1 200.200.200.2 esp 0x201 -m tunnel
-E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831
-A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf2e6;
# Sens VPNSRVB - VPNSRVA
add 200.200.200.2 200.200.200.1 esp 0x301 -m tunnel
-E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
-A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b;
### CONFIGURATION des SPD
# Effacement des politiques de sécurité (SPD)
spdflush;
## Politiques de sécurités
# Le traffic sortant du réseau 192.168.1.0 vers le réseau 192.168.2.0 nécessite IPsec
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/200.200.200.1-200.200.200.2/require;
# Le traffic arrivant du réseau 192.168.2.0 vers le réseau 192.168.1.0 nécessite IPsec
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/200.200.200.2-200.200.200.1/require;
VPNSRVB (passerelle 2)
eth0=192.168.2.1/24
eth1=200.200.200.2/24
contenu du setkey.conf :
#!/usr/sbin/setkey -f
### CONFIGURATION des SA
# Effacement des associations de sécurités existantes (SA)
flush;
# Le cryptage ESP utilise des clés de 192 bits (168 + 24 pour la parité)
# L'authentification utilise des clés de 128 bits
# Sens VPNSRVA - VPNSRVB
add 200.200.200.1 200.200.200.2 esp 0x201 -m tunnel
-E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831
-A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf2e6;
# Sens VPNSRVB - VPNSRVA
add 200.200.200.2 200.200.200.1 esp 0x301 -m tunnel
-E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
-A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b;
### CONFIGURATION des SPD
# Effacement des politiques de sécurité (SPD)
spdflush;
## Politiques de sécurités
# Le traffic sortant du réseau 192.168.2.0 vers le réseau 192.168.1.0 nécessite IPsec
spdadd 192.168.2.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/200.200.200.1-200.200.200.2/require;
# Le traffic arrivant du réseau 192.168.1.0 vers le réseau 192.168.2.0 nécessite IPsec
spdadd 192.168.1.0/24 192.168.2.0/24 any -P in ipsec
esp/tunnel/200.200.200.2-200.200.200.1/require;
Pour mes tests, j'ai connecté 1 client de chaque côté relié aux "eth0" des passerelles :
client 1 (sur VPNSRVA):
@IP 192.168.1.2/24
GW 192.168.1.1
client 2 (sur VPNSRVB):
@IP 192.168.2.2/24
GW 192.168.2.1
ET VOILA MON PROBLEME :
les 2 clients ne se ping pas!!
pourtant...
client 1
ping 192.168.1.1 OK
ping 200.200.200.1 OK
ping 200.200.200.2 perte 100%
ping 192.168.2.1 perte 100%
ping 192.168.2.2 perte 100%
client 2
ping 192.168.2.1 OK
ping 200.200.200.2 OK
ping 200.200.200.1 perte 100%
ping 192.168.1.1 perte 100%
ping 192.168.1.2 perte 100%
VPNSRVA
ping 192.168.1.2 OK
ping 200.200.200.2 OK
ping 192.168.2.1 OK
ping 192.168.2.2 blocage (pas de réponse)
VPNSRVB
ping 192.168.2.2 OK
ping 200.200.200.1 OK
ping 192.168.1.1 OK
ping 192.168.1.2 blocage (pas de réponse)
PLEASE HELP....!
et merci à tout les courageux qui auront lu mon message de bout en bout ;)
A voir également:
- Prob connection 2 LAN par VPN ipsec
- Supercopier 2 - Télécharger - Gestion de fichiers
- Gmail connection - Guide
- Vpn comment ça marche - Guide
- Vpn gratuit - Accueil - Guide VPN
- 2 ecran pc - Guide
12 réponses
Pas de réponse :((
A défaut de me donner LA soluc, quelqu'un pourait il me mettre sur une piste SVP...
Le cryptage ESP est bien effectif entre mes 2 passerelles (j'ai vérifié avec ethereal) mais je n'arrive toujours pas à faire comuniquer mes 2 LAN (enfin mes 2 clients dans mon test).
Si ce n'est pas clair, je vous donnerais des précisions avec plaisir. Mais je débute sous linux et çà va faire 3 semaines que je suis sur se problème et il ne m'en reste que 3 autres pour finir (je suis en stage)
Merci d'avance
A défaut de me donner LA soluc, quelqu'un pourait il me mettre sur une piste SVP...
Le cryptage ESP est bien effectif entre mes 2 passerelles (j'ai vérifié avec ethereal) mais je n'arrive toujours pas à faire comuniquer mes 2 LAN (enfin mes 2 clients dans mon test).
Si ce n'est pas clair, je vous donnerais des précisions avec plaisir. Mais je débute sous linux et çà va faire 3 semaines que je suis sur se problème et il ne m'en reste que 3 autres pour finir (je suis en stage)
Merci d'avance
Salut :)
Tu devrais avoir des interfaces ipsecX créées avec le tunnel ... que donne ifconfig ?? (sans les IP)
En fait tu arrives à voir l'interface LAN du routeur, ce qui est normal tu es dans le routeur quand tu sors du tunnel.
Je pense que c'est un problème de filtrage entre l'interface ipsec et l'interface du lan ...
Je fais en fait une comparaison à serveur PPTP, la création du tunnel s'établit , par contre aucun moyen de communiquer avec les machines clientes dans le LAN... il a suffit d'autoriser le traffic entre l'interface ppp (le tunnel) et celle du lan ...
Quelle est ta solution de filtrage actuelle ?? Qu'as tu fait pour l'instant concernant le filtrage ?
Tu devrais avoir des interfaces ipsecX créées avec le tunnel ... que donne ifconfig ?? (sans les IP)
En fait tu arrives à voir l'interface LAN du routeur, ce qui est normal tu es dans le routeur quand tu sors du tunnel.
Je pense que c'est un problème de filtrage entre l'interface ipsec et l'interface du lan ...
Je fais en fait une comparaison à serveur PPTP, la création du tunnel s'établit , par contre aucun moyen de communiquer avec les machines clientes dans le LAN... il a suffit d'autoriser le traffic entre l'interface ppp (le tunnel) et celle du lan ...
Quelle est ta solution de filtrage actuelle ?? Qu'as tu fait pour l'instant concernant le filtrage ?
Salut Kelux,
Tout d'abord merci de me répondre..
J'ai vérifié (ifconfig -a), aucune interfaces n'a été crée je n'ai que "eth0" "eth1" et "lo". Mais d'après se que j'ai compris, l'implémentation d'ipsec dans le noyau 2.6 ne fonctionne pas comme freeswan (par exemple), cad qu'il ne s'appuie pas sur l'interface "gif0". Sinon concernant le filtrage je n'est absolument rien fait :(
Mais se qui m'étonne c'est que j'arrive pourtant à relier 2 machines par mon VPN IPsec mais pas 2 réseaux?!?
Tout d'abord merci de me répondre..
J'ai vérifié (ifconfig -a), aucune interfaces n'a été crée je n'ai que "eth0" "eth1" et "lo". Mais d'après se que j'ai compris, l'implémentation d'ipsec dans le noyau 2.6 ne fonctionne pas comme freeswan (par exemple), cad qu'il ne s'appuie pas sur l'interface "gif0". Sinon concernant le filtrage je n'est absolument rien fait :(
Mais se qui m'étonne c'est que j'arrive pourtant à relier 2 machines par mon VPN IPsec mais pas 2 réseaux?!?
Petite info supplémentaire, voilà sur quoi je me suis basé principalement :
http://www.ipsec-howto.org/x247.html
J'ai pris comme "modèle" le tunnel mode
http://www.ipsec-howto.org/x247.html
J'ai pris comme "modèle" le tunnel mode
Re :)
Arf plus dur :)
Je n'ai jamais eu l'occasion de bosser juste avec IPsec ds le kernel ... par contre openswan (freeswan est abandonné .. enfin bon) utilise bien l'implémentation d'ipsec dans le kernel ...
Donc mes propositions de solutions seront limitées ...
As tu regardé les tables de routage à tout hasard ?? ... car les passerelles savent "par ou passer" pour pinger les adresses locales (paramétré lors de la création du tunnel) :
VPNSRVA
ping 192.168.1.2 OK
ping 200.200.200.2 OK
ping 192.168.2.1 OK
ping 192.168.2.2 blocage (pas de réponse)
VPNSRVB
ping 192.168.2.2 OK
ping 200.200.200.1 OK
ping 192.168.1.1 OK
ping 192.168.1.2 blocage (pas de réponse)
Arf plus dur :)
Je n'ai jamais eu l'occasion de bosser juste avec IPsec ds le kernel ... par contre openswan (freeswan est abandonné .. enfin bon) utilise bien l'implémentation d'ipsec dans le kernel ...
Donc mes propositions de solutions seront limitées ...
As tu regardé les tables de routage à tout hasard ?? ... car les passerelles savent "par ou passer" pour pinger les adresses locales (paramétré lors de la création du tunnel) :
VPNSRVA
ping 192.168.1.2 OK
ping 200.200.200.2 OK
ping 192.168.2.1 OK
ping 192.168.2.2 blocage (pas de réponse)
VPNSRVB
ping 192.168.2.2 OK
ping 200.200.200.1 OK
ping 192.168.1.1 OK
ping 192.168.1.2 blocage (pas de réponse)
voilà mes "route -v"
VPNSRVA :
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
default * 0.0.0.0 eth0
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
default * 0.0.0.0 eth0
Penses-tu qu'il manque une/des route(s)??..
VPNSRVA :
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
default * 0.0.0.0 eth0
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
default * 0.0.0.0 eth0
Penses-tu qu'il manque une/des route(s)??..
Re :)
Ce qui me parait bizarre c'est ca :
default * 0.0.0.0 eth0
Je mettrai plutot pour la passerelle par défaut eth1 ... en effet ce qui n'est pas connu par la table de routage est renvoyé sur le LAN "source" si eth0 est la route par défaut ...
VPNSRVA :
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
192.168.2.0 200.200.200.2 255.255.255.0 eth1
default * 0.0.0.0 eth1
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
192.168.1.0 200.200.200.1 255.255.255.0 eth1
default * 0.0.0.0 eth1
Je trouve ca plus propre ...
Sinon j'ai un autre doute ... à propos du NAT , qu'as tu mis en place ?
Ce qui me parait bizarre c'est ca :
default * 0.0.0.0 eth0
Je mettrai plutot pour la passerelle par défaut eth1 ... en effet ce qui n'est pas connu par la table de routage est renvoyé sur le LAN "source" si eth0 est la route par défaut ...
VPNSRVA :
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
192.168.2.0 200.200.200.2 255.255.255.0 eth1
default * 0.0.0.0 eth1
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
192.168.1.0 200.200.200.1 255.255.255.0 eth1
default * 0.0.0.0 eth1
Je trouve ca plus propre ...
Sinon j'ai un autre doute ... à propos du NAT , qu'as tu mis en place ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Et soudain une idée me vint :))
Sans Ipsec arrives tu à communiquer entre clients du LAN ??
Si ce n'est pas le cas le problème de routage en est la cause :)
Sans Ipsec arrives tu à communiquer entre clients du LAN ??
Si ce n'est pas le cas le problème de routage en est la cause :)
Aie Aie Aie :((
C'est encore pire ;)
les clients ne ping plus leur passerelle!
et il n'y a plus de cryptage ESP quand les passerelles communique!!
Sinon je n'est parametré aucun NAT
C'est encore pire ;)
les clients ne ping plus leur passerelle!
et il n'y a plus de cryptage ESP quand les passerelles communique!!
Sinon je n'est parametré aucun NAT
Apparement, si je mets en place un routage différent de l'original (par exemple celui que tu m'as proposé), mes SPD ne s'applique plus!!
les clients ne ping plus leur passerelle!
Ca c'est très étonnant ...
As tu essayé SANS IPSEC de communiquer entre les deux réseaux ??
Car au départ je doute que cela fonctionnait à cause des tables de routage fournies au départ ...
Essaye sans ipsec et configure tes deux réseaux (je dirai meme 3 :) pour qu'ils communiquent parfaitement...
Rassure toi , le problème de VPN est souvent lié au problème de routage :)
On va y arriver :Þ
Ca c'est très étonnant ...
As tu essayé SANS IPSEC de communiquer entre les deux réseaux ??
Car au départ je doute que cela fonctionnait à cause des tables de routage fournies au départ ...
Essaye sans ipsec et configure tes deux réseaux (je dirai meme 3 :) pour qu'ils communiquent parfaitement...
Rassure toi , le problème de VPN est souvent lié au problème de routage :)
On va y arriver :Þ
désolé mais je ne vois pas trop comment faire :(
(je te rappel que je suis un nOob en linux et encore + en VPN)
Comment tu me conseil de m'y prendre pour tester çà?
supprimer mes SPD? mon setkey.conf?
merci d'avance de prendre pitié d'un débutant avide de connaissance ;)
(je te rappel que je suis un nOob en linux et encore + en VPN)
Comment tu me conseil de m'y prendre pour tester çà?
supprimer mes SPD? mon setkey.conf?
merci d'avance de prendre pitié d'un débutant avide de connaissance ;)
Re :)
Donc voici en résumé si j'ai bien compris :
http://www.trax.fr.st/VPN.jpg
Ca correspond à ton installation ?
Voici ce que je propose (d'autres CCMiens peuvent participer pour confirmer ou infirmer mes dires ... :)
VPNSRVA:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
default 200.200.200.2 0.0.0.0 eth1
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
default 200.200.200.1 0.0.0.0 eth1
On va essayer de cette manière , car tout ce qui n'est pas connu sera envoyé à l'autre routeur et vice versa pour chacun des routeurs ...
Tu aurais déja du auparavant essayer de tester ta configuration sans IPSEC ...
je te rappel que je suis un nOob en linux et encore + en VPN
--> je ne t'en voudrais pas :)
merci d'avance de prendre pitié d'un débutant avide de connaissance ;)
--> Il n'est pas question de pitié :) , l'envie d'apprendre est une qualité à mon avis ;)
Bref ...
supprimer mes SPD? mon setkey.conf?
Je ne te conseille pas de tout dégager ... à moins que tu ne saches le refaire rapidement ... je te propose de flusher simplement la politique IPsec (flush et spdflush) sur les deux machines , non ??
Une fois tout ca vidé , teste ta connexion entre les deux réseaux ... apres tu pourras partir sur de bonnes bases.
Donc voici en résumé si j'ai bien compris :
http://www.trax.fr.st/VPN.jpg
Ca correspond à ton installation ?
Voici ce que je propose (d'autres CCMiens peuvent participer pour confirmer ou infirmer mes dires ... :)
VPNSRVA:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
default 200.200.200.2 0.0.0.0 eth1
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
default 200.200.200.1 0.0.0.0 eth1
On va essayer de cette manière , car tout ce qui n'est pas connu sera envoyé à l'autre routeur et vice versa pour chacun des routeurs ...
Tu aurais déja du auparavant essayer de tester ta configuration sans IPSEC ...
je te rappel que je suis un nOob en linux et encore + en VPN
--> je ne t'en voudrais pas :)
merci d'avance de prendre pitié d'un débutant avide de connaissance ;)
--> Il n'est pas question de pitié :) , l'envie d'apprendre est une qualité à mon avis ;)
Bref ...
supprimer mes SPD? mon setkey.conf?
Je ne te conseille pas de tout dégager ... à moins que tu ne saches le refaire rapidement ... je te propose de flusher simplement la politique IPsec (flush et spdflush) sur les deux machines , non ??
Une fois tout ca vidé , teste ta connexion entre les deux réseaux ... apres tu pourras partir sur de bonnes bases.
Alors résultat des courses :
j'ai refais mes tables de routages
j'ai tout flushé
et mes problème de ping sont les mêmes qu'au départ!
je me suis aussi aperçu que :
ping -I eth0 192.168.1.1 192.168.2.1 (à partir de VPNSRVA)
ne répond pas..!
et :
ping 192.168.2.2 (à partir de VPNSRVA)
l'envoi est effectif (de 200.200.200.1) mais pas de retour (verifié avec ethereal)
c'est grave docteur? ;)
conclusion : le problème viendrai bel et bien de la conf du VPN et non pas d'un mauvais parametrage d'IPsec.
PS : merci de ton explication clair et de ton beau croquis (qui est parfaitement juste au passage)
j'ai refais mes tables de routages
j'ai tout flushé
et mes problème de ping sont les mêmes qu'au départ!
je me suis aussi aperçu que :
ping -I eth0 192.168.1.1 192.168.2.1 (à partir de VPNSRVA)
ne répond pas..!
et :
ping 192.168.2.2 (à partir de VPNSRVA)
l'envoi est effectif (de 200.200.200.1) mais pas de retour (verifié avec ethereal)
c'est grave docteur? ;)
conclusion : le problème viendrai bel et bien de la conf du VPN et non pas d'un mauvais parametrage d'IPsec.
PS : merci de ton explication clair et de ton beau croquis (qui est parfaitement juste au passage)
Re :)
Effectivement , je pense que la config est mauvaise au niveau du routage et non au niveau de la mise en place d'IPsec (qui au passage a l'air correcte)
Je suis attendu a 16h50 , je te propose que l'on essaie de résoudre ce petit problème ce soir apres 20h00 ou 21h00.
En attendant, il faudrait essayer de reprendre mon premier exemple de routage (qui me parait correct) :
VPNSRVA :
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
192.168.2.0 200.200.200.2 255.255.255.0 eth1
default * 0.0.0.0 eth1
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
192.168.1.0 200.200.200.1 255.255.255.0 eth1
default * 0.0.0.0 eth1
On essaiera +tard avec du NAT ...
Si tes 2 réseaux communiquent convenablement tu peux remettre en place la stratégie ipsec...
A ce soir.
@+
Effectivement , je pense que la config est mauvaise au niveau du routage et non au niveau de la mise en place d'IPsec (qui au passage a l'air correcte)
Je suis attendu a 16h50 , je te propose que l'on essaie de résoudre ce petit problème ce soir apres 20h00 ou 21h00.
En attendant, il faudrait essayer de reprendre mon premier exemple de routage (qui me parait correct) :
VPNSRVA :
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.1.0 * 255.255.255.0 eth0
192.168.2.0 200.200.200.2 255.255.255.0 eth1
default * 0.0.0.0 eth1
VPNSRVAB:
destination Passerelle Genmask Iface
200.200.200.0 * 255.255.255.0 eth1
192.168.2.0 * 255.255.255.0 eth0
192.168.1.0 200.200.200.1 255.255.255.0 eth1
default * 0.0.0.0 eth1
On essaiera +tard avec du NAT ...
Si tes 2 réseaux communiquent convenablement tu peux remettre en place la stratégie ipsec...
A ce soir.
@+
EUREKA...!!
"Il suffisait" d'activer le routage sur les routeurs!!! ;)
table de routage VPNSRVA :
destination passerelle genmask
192.168.2.0 200.200.200.2 255.255.255.0
192.168.1.0 * 255.255.255.0
200.200.200.0 * 255.255.255.0
table de routage VPNSRVB :
destination passerelle genmask
192.168.1.0 200.200.200.1 255.255.255.0
192.168.2.0 * 255.255.255.0
200.200.200.0 * 255.255.255.0
ET SURTOUT sur les 2 routeurs :
- Activation du routage
iptables -A FORWARD -j ACCEPT
- Autoriser le noyau à faire le routage
echo 1 > /proc/sys/net/ipv4/ip_forward
et voilà....
dès que mon site est en ligne je mettrai le lien ici pour toute la procédure détaillé
@+
"Il suffisait" d'activer le routage sur les routeurs!!! ;)
table de routage VPNSRVA :
destination passerelle genmask
192.168.2.0 200.200.200.2 255.255.255.0
192.168.1.0 * 255.255.255.0
200.200.200.0 * 255.255.255.0
table de routage VPNSRVB :
destination passerelle genmask
192.168.1.0 200.200.200.1 255.255.255.0
192.168.2.0 * 255.255.255.0
200.200.200.0 * 255.255.255.0
ET SURTOUT sur les 2 routeurs :
- Activation du routage
iptables -A FORWARD -j ACCEPT
- Autoriser le noyau à faire le routage
echo 1 > /proc/sys/net/ipv4/ip_forward
et voilà....
dès que mon site est en ligne je mettrai le lien ici pour toute la procédure détaillé
@+
Salut :)
Je ne me doutais pas que tu aurais oublié cette ligne (qui est tout de meme basique pour un routeur :)
echo 1 > /proc/sys/net/ipv4/ip_forward
Bref il s'agissait d'un problème de routage et non de ton ipsec , qui je le rappelle était nikel.
Les quelques infos que tu m'avais données :
Sinon concernant le filtrage je n'est absolument rien fait :(
Or tu as fait ca : iptables -A FORWARD -j ACCEPT .
Iptables est la commande pour le filrage, logiquement par défaut tout est ouvert au niveau des parfeu, sinon tu n'aurais meme pas pu créer ton tunnel (notamment avec l'esp).
Bref c'est cool que ca fonctionne :)
Faire partager ce que tu as fait est bénéfique pour tout le monde, je serai le premier à lire ta doc :)
Pour déposer une documentation sur CCM c'est ici :
http://www.commentcamarche.net/ccmdoc/ajoutdoc.php3
Tu peux également nous donner un lien...
Bonne journée Dams :)
Je ne me doutais pas que tu aurais oublié cette ligne (qui est tout de meme basique pour un routeur :)
echo 1 > /proc/sys/net/ipv4/ip_forward
Bref il s'agissait d'un problème de routage et non de ton ipsec , qui je le rappelle était nikel.
Les quelques infos que tu m'avais données :
Sinon concernant le filtrage je n'est absolument rien fait :(
Or tu as fait ca : iptables -A FORWARD -j ACCEPT .
Iptables est la commande pour le filrage, logiquement par défaut tout est ouvert au niveau des parfeu, sinon tu n'aurais meme pas pu créer ton tunnel (notamment avec l'esp).
Bref c'est cool que ca fonctionne :)
Faire partager ce que tu as fait est bénéfique pour tout le monde, je serai le premier à lire ta doc :)
Pour déposer une documentation sur CCM c'est ici :
http://www.commentcamarche.net/ccmdoc/ajoutdoc.php3
Tu peux également nous donner un lien...
Bonne journée Dams :)