J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du
réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement
pour les connexions VPN des postes nomades (routeur B).
J'utilise actuellement Ipcop comme firewall sur chacune des connexions (il
utilise openswan pour la partie VPN, il me semble).
La connexion VPN se déroule sans pb sous le second routeur mais je ne peux
pinger que le routeur lui-même avec l'adresse locale. Les autres machines ne
répondent pas (timeout).
Après divers essais, je me suis rendu compte que seules les machines ayant
le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai
qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic
Internet autre que VPN sur le routeur B.
Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de
routage, de config des clients (les postes clients du réseau local sont sous
windaube) ou de filtrage d'iptables...
Merci d'avance pour vos lumières
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Lalitte
"xbs" wrote in message news:425be1e6$0$3106$
J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement pour les connexions VPN des postes nomades (routeur B). Après divers essais, je me suis rendu compte que seules les machines ayant le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic Internet autre que VPN sur le routeur B. Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de routage, de config des clients (les postes clients du réseau local sont sous windaube) ou de filtrage d'iptables...
C'est un problème épineux :-) A mon avis, le problème vient du routage des clients qui sortent effectivement par l'accès A. Déjà, il faut voir si tes clients VPN sont natés vers le réseau internne. Cela ne semble pas être le cas pour l'instant, et je ne vois pas comment tu vas passer outre.
Le mieux est donc de nater tes clients externes avec une adresse du réseau interne (le réseau sur lequel ils arrivent) et ensuite, tout marchera comme sur des roulettes sans faire quoi que ce soit d'autre (l'ipcop devra faire proxy-arp, mais ça normalement, c'est géré de façon transparente)
Ainsi, quand tes clients répondront aux nomades, ils leurs répondront sur une adresse interne qu'ils savent router, et les paquets reviendront bien.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"xbs" <Gede@spamkilla.org> wrote in message
news:425be1e6$0$3106$8fcfb975@news.wanadoo.fr
J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du
réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement
pour les connexions VPN des postes nomades (routeur B).
Après divers essais, je me suis rendu compte que seules les machines ayant
le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai
qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic
Internet autre que VPN sur le routeur B.
Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de
routage, de config des clients (les postes clients du réseau local sont sous
windaube) ou de filtrage d'iptables...
C'est un problème épineux :-)
A mon avis, le problème vient du routage des clients qui sortent
effectivement par l'accès A.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau
internne.
Cela ne semble pas être le cas pour l'instant, et je ne vois pas comment
tu vas passer outre.
Le mieux est donc de nater tes clients externes avec une adresse du
réseau interne (le réseau sur lequel ils arrivent) et ensuite, tout
marchera comme sur des roulettes sans faire quoi que ce soit d'autre
(l'ipcop devra faire proxy-arp, mais ça normalement, c'est géré de
façon transparente)
Ainsi, quand tes clients répondront aux nomades, ils leurs répondront
sur une adresse interne qu'ils savent router, et les paquets
reviendront bien.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement pour les connexions VPN des postes nomades (routeur B). Après divers essais, je me suis rendu compte que seules les machines ayant le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic Internet autre que VPN sur le routeur B. Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de routage, de config des clients (les postes clients du réseau local sont sous windaube) ou de filtrage d'iptables...
C'est un problème épineux :-) A mon avis, le problème vient du routage des clients qui sortent effectivement par l'accès A. Déjà, il faut voir si tes clients VPN sont natés vers le réseau internne. Cela ne semble pas être le cas pour l'instant, et je ne vois pas comment tu vas passer outre.
Le mieux est donc de nater tes clients externes avec une adresse du réseau interne (le réseau sur lequel ils arrivent) et ensuite, tout marchera comme sur des roulettes sans faire quoi que ce soit d'autre (l'ipcop devra faire proxy-arp, mais ça normalement, c'est géré de façon transparente)
Ainsi, quand tes clients répondront aux nomades, ils leurs répondront sur une adresse interne qu'ils savent router, et les paquets reviendront bien.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Pascal
"xbs" wrote in message news:425be1e6$0$3106$
J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement pour les connexions VPN des postes nomades (routeur B).
Question : les clients VPN sont-ils vus sur le réseau local avec leur adresse IP publique ou bien avec une adresse privée attribuée par le routeur B ?
Après divers essais, je me suis rendu compte que seules les machines ayant le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic Internet autre que VPN sur le routeur B. Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de routage, de config des clients (les postes clients du réseau local sont sous windaube) ou de filtrage d'iptables...
A mon avis, le problème vient du routage des clients qui sortent effectivement par l'accès A.
Mon avis aussi. Il me semble que ce n'est pas si simple de faire cohabiter plusieurs routeurs sur un même sous-réseau. Soit il faut configurer toutes les stations avec des routes statiques spécifiques, soit il faut mettre en place un protocole de routage pour annoncer qui route quoi.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau internne. [...]
Le mieux est donc de nater tes clients externes avec une adresse du réseau interne
Bah, tu ne ferais pas une fixation sur le NAT ? :-p Je trouve dommage de faire du NAT quand on n'y est pas obligé, c'est déjà assez gonflant de devoir le faire quand on n'a pas le choix.
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
"xbs" <Gede@spamkilla.org> wrote in message
news:425be1e6$0$3106$8fcfb975@news.wanadoo.fr
J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du
réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement
pour les connexions VPN des postes nomades (routeur B).
Question : les clients VPN sont-ils vus sur le réseau local avec leur
adresse IP publique ou bien avec une adresse privée attribuée par le
routeur B ?
Après divers essais, je me suis rendu compte que seules les machines ayant
le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai
qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic
Internet autre que VPN sur le routeur B.
Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de
routage, de config des clients (les postes clients du réseau local sont sous
windaube) ou de filtrage d'iptables...
A mon avis, le problème vient du routage des clients qui sortent
effectivement par l'accès A.
Mon avis aussi. Il me semble que ce n'est pas si simple de faire
cohabiter plusieurs routeurs sur un même sous-réseau. Soit il faut
configurer toutes les stations avec des routes statiques spécifiques,
soit il faut mettre en place un protocole de routage pour annoncer qui
route quoi.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau
internne.
[...]
Le mieux est donc de nater tes clients externes avec une adresse du
réseau interne
Bah, tu ne ferais pas une fixation sur le NAT ? :-p
Je trouve dommage de faire du NAT quand on n'y est pas obligé, c'est déjà
assez gonflant de devoir le faire quand on n'a pas le choix.
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau
interne ?
J'ai 2 accès ADSL, un utilisé pour les connexions internet par les postes du réseau local (routeur A) et un autre que je souhaiterai utiliser uniquement pour les connexions VPN des postes nomades (routeur B).
Question : les clients VPN sont-ils vus sur le réseau local avec leur adresse IP publique ou bien avec une adresse privée attribuée par le routeur B ?
Après divers essais, je me suis rendu compte que seules les machines ayant le routeur B défini comme passerelle sont "ping-ables". Or, je souhaiterai qu'elles conservent le routeur A comme passerelle afin d'éviter du traffic Internet autre que VPN sur le routeur B. Mes compétences s'arrêtent là et je ne sais pas trop s'il s'agit d'un pb de routage, de config des clients (les postes clients du réseau local sont sous windaube) ou de filtrage d'iptables...
A mon avis, le problème vient du routage des clients qui sortent effectivement par l'accès A.
Mon avis aussi. Il me semble que ce n'est pas si simple de faire cohabiter plusieurs routeurs sur un même sous-réseau. Soit il faut configurer toutes les stations avec des routes statiques spécifiques, soit il faut mettre en place un protocole de routage pour annoncer qui route quoi.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau internne. [...]
Le mieux est donc de nater tes clients externes avec une adresse du réseau interne
Bah, tu ne ferais pas une fixation sur le NAT ? :-p Je trouve dommage de faire du NAT quand on n'y est pas obligé, c'est déjà assez gonflant de devoir le faire quand on n'a pas le choix.
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
Question : les clients VPN sont-ils vus sur le réseau local avec leur adresse IP publique ou bien avec une adresse privée attribuée par le routeur B ?
IP Publique
A mon avis, le problème vient du routage des clients qui sortent effectivement par l'accès A.
Mon avis aussi. Il me semble que ce n'est pas si simple de faire cohabiter plusieurs routeurs sur un même sous-réseau. Soit il faut configurer toutes les stations avec des routes statiques spécifiques, soit il faut mettre en place un protocole de routage pour annoncer qui route quoi.
Mon avis aussi ;-), mais quelles routes définir, sachant que l'IP de mon client VPN n'est pas fixe (poste nomade) par contre celle du mon firewall l'est.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau internne.
Non, car connexion directe par modem à un ISP
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
Déjà essayé, mais apparemment la connexion au VPN IPcop ne fonctionne pas dans ce cas...
Salut,
Question : les clients VPN sont-ils vus sur le réseau local avec leur
adresse IP publique ou bien avec une adresse privée attribuée par le
routeur B ?
IP Publique
A mon avis, le problème vient du routage des clients qui sortent
effectivement par l'accès A.
Mon avis aussi. Il me semble que ce n'est pas si simple de faire
cohabiter plusieurs routeurs sur un même sous-réseau. Soit il faut
configurer toutes les stations avec des routes statiques spécifiques,
soit il faut mettre en place un protocole de routage pour annoncer qui
route quoi.
Mon avis aussi ;-), mais quelles routes définir, sachant que l'IP de mon
client VPN n'est pas fixe (poste nomade) par contre celle du mon firewall
l'est.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau
internne.
Non, car connexion directe par modem à un ISP
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau
interne ?
Déjà essayé, mais apparemment la connexion au VPN IPcop ne fonctionne pas
dans ce cas...
Question : les clients VPN sont-ils vus sur le réseau local avec leur adresse IP publique ou bien avec une adresse privée attribuée par le routeur B ?
IP Publique
A mon avis, le problème vient du routage des clients qui sortent effectivement par l'accès A.
Mon avis aussi. Il me semble que ce n'est pas si simple de faire cohabiter plusieurs routeurs sur un même sous-réseau. Soit il faut configurer toutes les stations avec des routes statiques spécifiques, soit il faut mettre en place un protocole de routage pour annoncer qui route quoi.
Mon avis aussi ;-), mais quelles routes définir, sachant que l'IP de mon client VPN n'est pas fixe (poste nomade) par contre celle du mon firewall l'est.
Déjà, il faut voir si tes clients VPN sont natés vers le réseau internne.
Non, car connexion directe par modem à un ISP
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
Déjà essayé, mais apparemment la connexion au VPN IPcop ne fonctionne pas dans ce cas...
Eric Lalitte
"" wrote in message news:d3hjc4$1gcb$
Bah, tu ne ferais pas une fixation sur le NAT ? :-p
C'est bien possible :-)
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
C'est ce que j'appelais la NAT en fait. Le client a une adresse publique attribuée par son FAI, et il est vu sur le réseau local avec une adresse locale. L'adresse est bien changée quelque part, ou du moins c'est comme cela qu'on le voit (même si c'est simplement de l'encapsulation) Le terme NAT n'était donc pas le plus approprié, mais c'est bien l'idée proposée. A mon avis, ipcop doit gérer ce genre de chose, et cela ne devrait pas avoir d'impact sur le routage.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Pascal@plouf" <pascal@plouf.invalid> wrote in message
news:d3hjc4$1gcb$1@biggoron.nerim.net
Bah, tu ne ferais pas une fixation sur le NAT ? :-p
C'est bien possible :-)
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau
interne ?
C'est ce que j'appelais la NAT en fait. Le client a une adresse publique
attribuée par son FAI, et il est vu sur le réseau local avec une adresse
locale. L'adresse est bien changée quelque part, ou du moins c'est comme
cela qu'on le voit (même si c'est simplement de l'encapsulation)
Le terme NAT n'était donc pas le plus approprié, mais c'est bien l'idée
proposée. A mon avis, ipcop doit gérer ce genre de chose, et cela ne
devrait pas avoir d'impact sur le routage.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Bah, tu ne ferais pas une fixation sur le NAT ? :-p
C'est bien possible :-)
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
C'est ce que j'appelais la NAT en fait. Le client a une adresse publique attribuée par son FAI, et il est vu sur le réseau local avec une adresse locale. L'adresse est bien changée quelque part, ou du moins c'est comme cela qu'on le voit (même si c'est simplement de l'encapsulation) Le terme NAT n'était donc pas le plus approprié, mais c'est bien l'idée proposée. A mon avis, ipcop doit gérer ce genre de chose, et cela ne devrait pas avoir d'impact sur le routage.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Pascal
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
C'est ce que j'appelais la NAT en fait. Le client a une adresse publique attribuée par son FAI, et il est vu sur le réseau local avec une adresse locale.
D'accord, je comprends pourquoi tu parlais de proxy ARP. Mais ce n'est pas de la NAT.
L'adresse est bien changée quelque part, ou du moins c'est comme cela qu'on le voit (même si c'est simplement de l'encapsulation)
En fait c'est tout bête : le montage du VPN crée une interface réseau virtuelle et l'adresse privée est affectée à celle-ci. Quand le client envoie un paquet par le VPN, c'est naturellement l'adresse de l'interface VPN qui est utilisée comme adresse source, comme pour n'importe quel autre type d'interface et de liaison.
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau
interne ?
C'est ce que j'appelais la NAT en fait. Le client a une adresse publique
attribuée par son FAI, et il est vu sur le réseau local avec une adresse
locale.
D'accord, je comprends pourquoi tu parlais de proxy ARP. Mais ce n'est
pas de la NAT.
L'adresse est bien changée quelque part, ou du moins c'est comme
cela qu'on le voit (même si c'est simplement de l'encapsulation)
En fait c'est tout bête : le montage du VPN crée une interface réseau
virtuelle et l'adresse privée est affectée à celle-ci. Quand le client
envoie un paquet par le VPN, c'est naturellement l'adresse de l'interface
VPN qui est utilisée comme adresse source, comme pour n'importe quel
autre type d'interface et de liaison.
Pourquoi ne pas plutôt donner aux clients VPN des adresses du réseau interne ?
C'est ce que j'appelais la NAT en fait. Le client a une adresse publique attribuée par son FAI, et il est vu sur le réseau local avec une adresse locale.
D'accord, je comprends pourquoi tu parlais de proxy ARP. Mais ce n'est pas de la NAT.
L'adresse est bien changée quelque part, ou du moins c'est comme cela qu'on le voit (même si c'est simplement de l'encapsulation)
En fait c'est tout bête : le montage du VPN crée une interface réseau virtuelle et l'adresse privée est affectée à celle-ci. Quand le client envoie un paquet par le VPN, c'est naturellement l'adresse de l'interface VPN qui est utilisée comme adresse source, comme pour n'importe quel autre type d'interface et de liaison.
