VPN cisco / openBSD

Le
Christophe Cuq
Bonjour à tous,

Je me trouve confronté à un "petit" problème que je n'arrive pas à
résoudre.

Je dois connecter une machine sous windows (2000 en l'occurrence, mais
le même problème se pose avec un XP ou un 2003) par VPN chez notre
fournisseur.

Actuellement pour des tests d'évolution de notre appli, j'utilise le
client VPN Cisco pour faire la connection et tout se passe le mieux du
monde, sauf qu'une fois le client lancé, la machine ne peut plus faire
autre chose et surtout n'accepte plus de connexions distantes, ce qui
est génant pour un "Serveur" (hébergement d'une application FileMaker
sur serveur FileMaker Advanced).

À terme, la machine de test partira en salle blanche chez notre
hébergeur et nous aurons un routeur VPN Cisco qui s'occupera de tout ça,
mais en attendant, il faut faire fonctionner sans. Et de toute façon,
même dans notre baie, on a un routeur OpenBSD, donc la question se pose
pour pf (l'architecture avec un routeur VPN Cisco fontionne déjà en prod
chez des clients et ça va bien).

Le contexte :

- Une application FMP sur machine Windows qui utilise les services du
point suivant.

- Une application développée par notre fournisseur sous windows et qui a
besoin de se connecter en VPN chez ledit fournisseur.

- Un réseau derrière un routeur OpenBSD/pf sur une connexion adsl.

Mon idée :

Je lance une connection VPN sur le routeur openBSD et je dis à pf que
tout ce qui est à destination de 172.16.X.X (adresse privée à atteindre
chez le fournisseur) doit passer par ladite connexion.

Mais là j'ai 2 questions :

- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)

- Existe-t-il un "client" VPN permettant à OpenBSD de se connecter à un
Cisco, tout en laissant le reste du réseau communiquer ? J'ai vu qu'il
existait "vpnc" sensé faire ça, mais vu la (absence de) doc j'ai du
mal à capter si ça répondrait bien à mon besoin ou pas

- Si les 2 réponses précédentes sont "Oui", comment mettre ça en ½uvre
et dire à pf de rediriger ça ?

Si, la réponse est non, il va falloir que je continue à jouer avec le
client Cisco, et ça me gonfle.

Merci d'avance

--
CHC
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
TeXitoi
Le #897900
Christophe Cuq
- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)


En faisant du nat du windows sur le VPN par l'OpenBSD, ca doit
passer.

- Existe-t-il un "client" VPN permettant à OpenBSD de se connecter à un
Cisco, tout en laissant le reste du réseau communiquer ? J'ai vu qu'il
existait "vpnc" sensé faire ça, mais vu la (absence de) doc j'ai du
mal à capter si ça répondrait bien à mon besoin ou pas...


vpnc est capable de faire ca.

le paquet debian possède des scripts bien puissant pour l'utiliser. Il
doit pas être trop compliqué de lire ces scripts voir de les porter.

L'inconvénient que j'ai avec vpnc (que j'utilise que sous Debian et
pas souvent), c'est que la connection à tendance à couper lorsqu'il
n'y a pas d'activité.

En théorie, tu peux utiliser les outils de vpn d'OpenBSD pour
dialoguer avec le CISCO, mais faut trouver les bons reglages...

- Si les 2 réponses précédentes sont "Oui", comment mettre ça e n ½uvre
et dire à pf de rediriger ça ?


le client vpnc est sensé te faire une interface virtuelle. Donc après,
tu nat tout simplement dessus, tu mets les routes comme il faut, et ca
roule.

Si, la réponse est non, il va falloir que je continue à jouer avec le
client Cisco, et ça me gonfle.


tu dois pouvoir modifier les routes du serveur après le lancement du
client cisco pour mettre tout ca comme tu veux, c'est en théorie
faisable.

--
Guillaume Pinot http://www.irccyn.ec-nantes.fr/~pinot/

``Computers are good at following instructions, but not at reading your
mind.'' -- Donald E. Knuth, the TeXbook

() ASCII ribbon campaign -- Against HTML e-mail
/ http://www.asciiribbon.org -- Against proprietary attachments

Eric Masson
Le #897899
Christophe Cuq
'Lut,

Je lance une connection VPN sur le routeur openBSD et je dis à pf que
tout ce qui est à destination de 172.16.X.X (adresse privée à atteindre
chez le fournisseur) doit passer par ladite connexion.

Mais là j'ai 2 questions :

- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)


Ça doit pouvoir en effet

- Existe-t-il un "client" VPN permettant à OpenBSD de se connecter à un
Cisco, tout en laissant le reste du réseau communiquer ? J'ai vu qu'il
existait "vpnc" sensé faire ça, mais vu la (absence de) doc j'ai du
mal à capter si ça répondrait bien à mon besoin ou pas...


Effectivement, après une rapide recherche, vpnc devrait correspondre au
besoin. Iirc, ce qui empêche l'utilisation d'isakmpd, c'est le fait
qu'il ne supporte pas xauth.

- Si les 2 réponses précédentes sont "Oui", comment mettre ça en ½uvre
et dire à pf de rediriger ça ?


En adaptant les infos sur vpnc du howto suivant, issu de chez H. Feyrer :
http://fbim.fh-regensburg.de/~feyrer/Texts/Own/vpnc-howto.html

Via ifwatchd (je ne sais pas s'il existe en standard sur Open, à
l'époque j'avais du compiler les sources issues d'un Net), tu peux après
cela ajouter un script qui montera les routes nécessaires lors du
passage up de l'interface liée à vpnc (normalement un tun(4))

--
je pense pas que ce soit toi....tu es bien trop vicieux pour agir de
cette façon. Toi ton genre, c'est plus de contacter banque direct en
esperant que je n'auras pas mes cadeaux de parrainages!!!!!
-+- JD in
Francis Gudin
Le #897744
Bonjour,

In fr.comp.os.bsd, you wrote:
- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)


Je crois me souvenir que le client Cisco VPN pour Ouinouin s'amuse à
sucrer toutes les routes pour n'en laisser qu'une, à destination de
l'autre bout du tunnel, le temps de la session. Un genre de mesure de
sécurité à deux balles, peut-être.

- Existe-t-il un "client" VPN permettant à OpenBSD de se connecter à un
Cisco, tout en laissant le reste du réseau communiquer ? J'ai vu qu'il
existait "vpnc" sensé faire ça, mais vu la (absence de) doc j'ai du
mal à capter si ça répondrait bien à mon besoin ou pas...


Sous FreeBSD, en tout cas, je l'ai utilisé relativement souvent dans mon
boulot précédent, lors de mes astreintes. Je ne me souviens pas de
problèmes particuliers.

Hth,

--
Francis

Eric Masson
Le #897743
Francis Gudin
'Lut,

Je crois me souvenir que le client Cisco VPN pour Ouinouin s'amuse à
sucrer toutes les routes pour n'en laisser qu'une, à destination de
l'autre bout du tunnel, le temps de la session. Un genre de mesure de
sécurité à deux balles, peut-être.


J'ai plus l'impression qu'il s'agit d'une mesure administrative, le
client vpn Orange Business fait de même, ainsi que le client Checkpoint
Vpn-1.

C'est clair que c'est plus gonflant qu'autre chose, mais bon...

--
Que 3 lignes pour le Guide du Macounet Pervers? C'est un peu comme les
640ko adressables du DOS, les 1024 secteurs maximum pour booter du BIOS,
et les 15 IRQ du 80x86... C'est peu, pour ne pas dire autre chose.
-+- ED in Guide du Macounet Pervers : Meta, contre ou contre meta ? -+-

Christophe Cuq
Le #897741
TeXitoi
Christophe Cuq
- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)


En faisant du nat du windows sur le VPN par l'OpenBSD, ca doit
passer.


Super.

- Existe-t-il un "client" VPN permettant à OpenBSD de se connecter à un
Cisco, tout en laissant le reste du réseau communiquer ? J'ai vu qu'il
existait "vpnc" sensé faire ça, mais vu la (absence de) doc j'ai du
mal à capter si ça répondrait bien à mon besoin ou pas...


vpnc est capable de faire ca.


Bon, eh bien c'est le principal. Je vais pouvoir m'y plonger ce week-end.

Merci.

--
CHC


Christophe Cuq
Le #897740
Eric Masson
Christophe Cuq
'Lut,


Jour m'sieur Alf.

Effectivement, après une rapide recherche, vpnc devrait correspondre au
besoin. Iirc, ce qui empêche l'utilisation d'isakmpd, c'est le fait
qu'il ne supporte pas xauth.


Et en plus j'ai vu qu'il existait en package pour Open (faut que je
vérifie les version, mais ça doit aller).


- Si les 2 réponses précédentes sont "Oui", comment mettre ça en ½uvre
et dire à pf de rediriger ça ?


En adaptant les infos sur vpnc du howto suivant, issu de chez H. Feyrer :
http://fbim.fh-regensburg.de/~feyrer/Texts/Own/vpnc-howto.html


Ah ben voilà, je n'étais pas arrivé à trouver un truc lisible.

Via ifwatchd (je ne sais pas s'il existe en standard sur Open, à
l'époque j'avais du compiler les sources issues d'un Net), tu peux après
cela ajouter un script qui montera les routes nécessaires lors du
passage up de l'interface liée à vpnc (normalement un tun(4))


Ok, mais ça, ce n'est pas le plus important, je peux faire un route add
à la mano quand j'aurai besoin (c'est une machine de test...)

Bon, eh bien merci à toi aussi.

--
CHC


Christophe Cuq
Le #897739
Francis Gudin
Bonjour,

In fr.comp.os.bsd, you wrote:
- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)


Je crois me souvenir que le client Cisco VPN pour Ouinouin s'amuse à
sucrer toutes les routes pour n'en laisser qu'une, à destination de
l'autre bout du tunnel, le temps de la session. Un genre de mesure de
sécurité à deux balles, peut-être.


C'est exactement ça.

--
CHC


Christophe Cuq
Le #897738
Eric Masson
Francis Gudin
'Lut,

Je crois me souvenir que le client Cisco VPN pour Ouinouin s'amuse à
sucrer toutes les routes pour n'en laisser qu'une, à destination de
l'autre bout du tunnel, le temps de la session. Un genre de mesure de
sécurité à deux balles, peut-être.


J'ai plus l'impression qu'il s'agit d'une mesure administrative, le
client vpn Orange Business fait de même, ainsi que le client Checkpoint
Vpn-1.


Pour le Checkpoint, non, je l'utilise régulièrement pour me connecter
chez un client et il ne m'a jamais cassé les pieds de ce point de vue là.

C'est clair que c'est plus gonflant qu'autre chose, mais bon...


Ah ça...

--
CHC


Eric Masson
Le #897737
Christophe Cuq
'Lut,

Pour le Checkpoint, non, je l'utilise régulièrement pour me connecter
chez un client et il ne m'a jamais cassé les pieds de ce point de vue là.


C'est pour cela que je disais que c'était une mesure administrative ;)
Si les admins de la passerelle sur laquelle tu te connectes sont paranos,
c'est une des mesures activées, j'ai le cas pour la connexion chez un
client dans l'agroalimentaire (Client vpn-1).

Iirc, racoon 0.7 et le client de Matthew Grooms (http://www.shrew.net)
peuvent être paramétrés pour obtenir ce résultat, enfin, Yvan et Manu
devraient pouvoir en dire plus.

Ah ça...


Un parano de base trouvera toujours une justification pour l'activation
du biniou...

--
in fr.bio.canauxioniques:
LC> y a quelqu'un ?
LC> encore un site voué a la destruction!
-+- in : GNU - Le silence des espaces infinis m'effraie -+-

Eric Masson
Le #897736
Christophe Cuq
'Re,

Ok, mais ça, ce n'est pas le plus important, je peux faire un route add
à la mano quand j'aurai besoin (c'est une machine de test...)


Normalement, tu n'auras même pas à te fatiguer, si tu tournes au moins
avec une 3.8, il y a ifstated qui pourra s'en occuper pour toi (la
bidouille consistant à recompiler ifwatchd doit dater d'une
configuration basée sur une 3.5 ou une 3.6, vu que je devais aussi
patcher pour avoir le support pppoe kernel)

Bon, eh bien merci à toi aussi.


Pas de quoi, ça donnera l'occasion de se taper une mousse si on se
croise sur une sortie frm ;)

Éric aka Alf

--
"philippe" PS: et oui , certains n osent pas afficher leur véritable adresse,
et c est dommage...
-+- GNU d'honneur n° 300 Il est des nôôtres, il a fait son gnu... -+-

Publicité
Poster une réponse
Anonyme