J'utilise CIPE afin d'établir un tunnel VPN entre mon portable et mon réseau
local comme suit :
J'ai donc configuré sur ma redhat une interface cipcb0 d'adresse IP
10.0.0.1.
Cette machine a par ailleurs une interface NIC eth0 (192.168.1.102) et une
interface NIC eth1(192.168.2.253).
L'adresse IP 192.168.1.102 est la passerelle pour les machines du réseau
local car eth1 est raccordée à un routeur adsl.
C'est en fait un firewall entre le réseau local (côté eth0) et une DMZ (côté
eth1). (J'utilise iptables pour le firewall).
Côté client j'ai un portable sous windows XP.
Il a le client cipe et l'adresse logique 10.0.0.2.
Il utilise une connexion internet vodaphone (par une carte PCMCIA) et
récupère donc une passerelle par défaut 80.125.135.84.
Bien, le tunnel est bien établi :
Je me connecte à internet via la carte VODAPHONE.
Je peux pinguer 10.0.0.2 ce qui est normal et 10.0.0.1 ce qui prouve que le
tunnel marche (ce qu'un tcpdump -i cipcb0 confirme, côté serveur).
Je rajoute les routes :
route add 192.168.1.0 mask 255.255.255.0 10.0.0.1
et
route add 192.168.2.0 mask 255.255.255.0 10.0.0.1
et miracle je peux pinguer tous les postes du réseau et faire du vnc dessus
ou du ftp à ma guise ce qui est déjà très bien.
Ce que je voudrais c'est utiliser la passerelle 192.168.1.102 pour sortir
sur internet. Car par ma carte Vodaphone la plupart des ports sont fermés et
je n'utilise en fait qu'un port ouvert pour le VPN.
Je récupèrerais ainsi tous les ports internet dispo.
J'ai essayé avec par exemple le serveur ftp de microsoft (ftp.microsoft.fr
d'adresse IP 207.46.133.140).
En faisant route add 207.46.133.140 mask 255.255.255.255 192.168.1.102 mais
il me dit que l'index d'interface est erroné ou que la passerelle n'est pas
sur le même réseau que l'interface.
Je pense que ça doit pourtant être possible. Il suffirait en ait de changer
la passerelle par défaut sauf pour le tunnel (donc le traffic 10.0.0.x).
J'ai pensé aussi à faire du DNAT avec iptables sur les interfaces cipcb0 et
eth1
Quelqu'un aurait-il une idée ?
merci
A titre indicatif, voici ma table de routage merci de votre aide
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal
Salut,
[...]
Ce que je voudrais c'est utiliser la passerelle 192.168.1.102 pour sortir sur internet. Car par ma carte Vodaphone la plupart des ports sont fermés et je n'utilise en fait qu'un port ouvert pour le VPN.
J'ai essayé avec par exemple le serveur ftp de microsoft (ftp.microsoft.fr d'adresse IP 207.46.133.140).
En faisant route add 207.46.133.140 mask 255.255.255.255 192.168.1.102 mais il me dit que l'index d'interface est erroné ou que la passerelle n'est pas sur le même réseau que l'interface.
Normal. Il faut utiliser la même adresse de passerelle que pour les routes vers les LAN.
Problème : si tu veux créer une route par défaut (et pas seulement pour quelques destinations) par le tunnel, il va falloir augmenter la métrique de la route par défaut normale pour la rendre moins prioritaire et rajouter une route vers l'adresse publique de ton routeur pour que le tunnel continue à marcher. C'est ce que font les connexions VPN natives de Windows (PPTP ou L2TP).
J'ai pensé aussi à faire du DNAT avec iptables sur les interfaces cipcb0 et eth1
Ça sera probablement nécessaire (SNAT ou MASQUERADE en sortie sur l'interface eth1) si le routeur ne gère pas les adresses du tunnel.
[...]
Compte tenu du sujet : crossposté dans fr.comp.reseaux.ethernet, fr.comp.reseaux.ip
Vérifie tes en-têtes, tu as dû te louper quelque part. :-D
merci de répondre sur fr.comp.reseaux.ip
Fait.
Salut,
[...]
Ce que je voudrais c'est utiliser la passerelle 192.168.1.102 pour sortir
sur internet. Car par ma carte Vodaphone la plupart des ports sont fermés et
je n'utilise en fait qu'un port ouvert pour le VPN.
J'ai essayé avec par exemple le serveur ftp de microsoft (ftp.microsoft.fr
d'adresse IP 207.46.133.140).
En faisant route add 207.46.133.140 mask 255.255.255.255 192.168.1.102 mais
il me dit que l'index d'interface est erroné ou que la passerelle n'est pas
sur le même réseau que l'interface.
Normal. Il faut utiliser la même adresse de passerelle que pour les
routes vers les LAN.
Problème : si tu veux créer une route par défaut (et pas seulement pour
quelques destinations) par le tunnel, il va falloir augmenter la
métrique de la route par défaut normale pour la rendre moins prioritaire
et rajouter une route vers l'adresse publique de ton routeur pour que le
tunnel continue à marcher. C'est ce que font les connexions VPN natives
de Windows (PPTP ou L2TP).
J'ai pensé aussi à faire du DNAT avec iptables sur les interfaces cipcb0 et
eth1
Ça sera probablement nécessaire (SNAT ou MASQUERADE en sortie sur
l'interface eth1) si le routeur ne gère pas les adresses du tunnel.
[...]
Compte tenu du sujet : crossposté dans
fr.comp.reseaux.ethernet, fr.comp.reseaux.ip
Vérifie tes en-têtes, tu as dû te louper quelque part. :-D
Ce que je voudrais c'est utiliser la passerelle 192.168.1.102 pour sortir sur internet. Car par ma carte Vodaphone la plupart des ports sont fermés et je n'utilise en fait qu'un port ouvert pour le VPN.
J'ai essayé avec par exemple le serveur ftp de microsoft (ftp.microsoft.fr d'adresse IP 207.46.133.140).
En faisant route add 207.46.133.140 mask 255.255.255.255 192.168.1.102 mais il me dit que l'index d'interface est erroné ou que la passerelle n'est pas sur le même réseau que l'interface.
Normal. Il faut utiliser la même adresse de passerelle que pour les routes vers les LAN.
Problème : si tu veux créer une route par défaut (et pas seulement pour quelques destinations) par le tunnel, il va falloir augmenter la métrique de la route par défaut normale pour la rendre moins prioritaire et rajouter une route vers l'adresse publique de ton routeur pour que le tunnel continue à marcher. C'est ce que font les connexions VPN natives de Windows (PPTP ou L2TP).
J'ai pensé aussi à faire du DNAT avec iptables sur les interfaces cipcb0 et eth1
Ça sera probablement nécessaire (SNAT ou MASQUERADE en sortie sur l'interface eth1) si le routeur ne gère pas les adresses du tunnel.
[...]
Compte tenu du sujet : crossposté dans fr.comp.reseaux.ethernet, fr.comp.reseaux.ip
Vérifie tes en-têtes, tu as dû te louper quelque part. :-D
