VPN et meme numérotation de Lan

On Thu, 07 Sep 2006 05:59:31 +0200, Nicolas Ninin
<nicolas.ninin@gmail.fr> wrote:

Existe t'il une solution simple
Non.

ou suis je obliger de changer l'un des deux
réseaux.
Oui.

--
Nina

Salut,

J'ai créer un vpn entre deux ordinateur grace à openvpn.
[...]

Le probleme se pose lorsque le client veux voir les ordinateur du lan du
serveur, en effet le client se situe également sur un réseaux avec la meme
numérotation(en fait il est lui aussi derriere une livebox en 192.168.1.1).

Existe t'il une solution simple, ou suis je obliger de changer l'un des deux
réseaux.

Ça dépend de ce que tu appelles une solution simple.

Tu peux faire du DNAT 1:1 en entrée et du SNAT 1:1 en sortie sur
l'interface VPN du serveur pour présenter le réseau qui est derrière
comme ayant un adressage différent.

J'avais pensé à faire du pontage (OpenVPN en mode tap, et pontage des
interfaces VPN et LAN sur le serveur et sur le client) pour réunir les
deux LAN. Mais il y aurait des soucis si des machines des deux LAN
utilisent les mêmes adresses ou s'il y un serveur DHCP sur chaque LAN,
ce qui risque d'être le cas des deux Livebox.

"Nina Popravka" <Nina@nospam> wrote in message
news:o8avf21t5ae7jq5ct3gmjgareo5n37ibk9@4ax.com

Existe t'il une solution simple
Non.

Sisi !!

ou suis je obliger de changer l'un des deux
réseaux.
Oui.

Non non ;-)

OpenVPN permet de faire du tunneling en mode bridge, idéal pour relier
deux réseau qui utilisent une même plage IP.

Par contre, il est _impératif_ qu'aucune adresse IP ne soit utilisée
des deux cotés en même temps.
Par exemple si ton réseau est le 192.168.1.0/24, tu peux utiliser les
adresses de 1 à 127 d'un coté et de 128 à 254 de l'autre. Si jamais
deux machines ont la même adresse des deux cotés on ne pourra pas
communiquer avec l'une des deux selon le coté où on se situe.

Si une petite démo en elearning t'intéresse, la partie windows arrive
incessamment sous peu :-)
<http://elearning.itinet.fr/cours_intechinfo/securite/Installation
%20d'un%20serveur%20VPN%20avec%20OpenVPN%20sous%20Debian/index.html>

Attention, l'URL est tronquée !


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Existe t'il une solution simple

Non.

Sisi !!

ou suis je obliger de changer l'un des deux réseaux.

Oui.

Non non ;-)

OpenVPN permet de faire du tunneling en mode bridge, idéal pour relier
deux réseau qui utilisent une même plage IP.

Comme je l'ai écrit, un pontage n'est pas forcément trivial à mettre en
place. Il ne suffit pas de monter un tunnel en mode bridge, il faut en
plus ponter ce tunnel avec le LAN. D'autre part, certains OS ne savent
pas faire de pontage. Dans la famille Windows, il faut XP au minimum.

Par contre, il est _impératif_ qu'aucune adresse IP ne soit utilisée
des deux cotés en même temps.

S'il y a des deux côtés une Livebox en configuration par défaut, avec la
même adresse IP et le service DHCP activé, ça commence mal ! Je
recommanderais que le pont filtre le trafic DHCP.

Par exemple si ton réseau est le 192.168.1.0/24, tu peux utiliser les
adresses de 1 à 127 d'un coté et de 128 à 254 de l'autre. Si jamais
deux machines ont la même adresse des deux cotés on ne pourra pas
communiquer avec l'une des deux selon le coté où on se situe.

A mon avis ça va être un peu plus compliqué. Ça va plutôt dépendre de
laquelle des deux répond en premier à une requête ARP, ou a elle-même
émis une requête ARP en dernier.

Eric Lalitte wrote:

OpenVPN permet de faire du tunneling en mode bridge, idéal pour relier
deux réseau qui utilisent une même plage IP.

Par contre, il est _impératif_ qu'aucune adresse IP ne soit utilisée
des deux cotés en même temps.

C'est bien le problème, étant donné que sur les deux réseaux les liveboxs
ont la *même* ip privée.
Du coup je pense que je vais passer l'un des deux réseaux en 192.168.2.0.

Par exemple si ton réseau est le 192.168.1.0/24, tu peux utiliser les
adresses de 1 à 127 d'un coté et de 128 à 254 de l'autre. Si jamais
deux machines ont la même adresse des deux cotés on ne pourra pas
communiquer avec l'une des deux selon le coté où on se situe.

Si une petite démo en elearning t'intéresse, la partie windows arrive
incessamment sous peu :-)
<http://elearning.itinet.fr/cours_intechinfo/securite/Installation
%20d'un%20serveur%20VPN%20avec%20OpenVPN%20sous%20Debian/index.html>

Attention, l'URL est tronquée !

Ton cours est vraiment intéressant,mais... il passe sur la partie routage où
je patauge un peu(beaucoup).

D'ailleurs en supposant que le lan1 (de mon serveur vpn) soit en 192.168.2.0
avec par exemple:
Livebox:192.168.2.1
Openvpn:192.168.2.10 sur le lan et 10.8.0.1 sur le vpn


Je veux que mon client puisse voir tous les ordinateurs de ce lan.
Pour cela il faut (si j'ai bien compris) une route, ce qui ce fait en
mettant dans la configuration du serveur:
push "route 192.168.2.0 255.255.255.0"
Ainsi si mon client fait un ping sur 192.168.2.1 cela passerra-t-il?


Mais si de son coté un ordinateur du lan1 disons 192.168.2.20 décide
d'accéder au client vpn comment devra t'il s'y prendre?
En effet le client n'a pas d'adresse attribué sur le lan1.

Il faudrait donc, a priori, que 192.168.2.20 cherche a atteindre le client
par 10.8.0.2(son addresse sur le vpn). C'est à dire qu'il faut rajouter une
route sur le routeur(ie la livebox) qui indique de passer par le serveur
openvpn.
J'ai bon là?

Ne serait il pas possible que la livebox donne une adresse sur son lan au
client.

J'espère avoir été clair.

Merci encore de vos réponse.

D'ailleurs en supposant que le lan1 (de mon serveur vpn) soit en 192.168.2.0
avec par exemple:
Livebox:192.168.2.1
Openvpn:192.168.2.10 sur le lan et 10.8.0.1 sur le vpn

Je veux que mon client puisse voir tous les ordinateurs de ce lan.
Pour cela il faut (si j'ai bien compris) une route, ce qui ce fait en
mettant dans la configuration du serveur:
push "route 192.168.2.0 255.255.255.0"
Ainsi si mon client fait un ping sur 192.168.2.1 cela passerra-t-il?

La route installée sur le client envoie le paquet par le VPN, la
passerelle VPN le route sur son LAN vers sa distination finale. Ensuite
la machine en question va répondre au ping, et c'est la que ça se
complique, comme tu l'as compris, car la passerelle VPN n'est pas la
passerelle par défaut du LAN.

Mais si de son coté un ordinateur du lan1 disons 192.168.2.20 décide
d'accéder au client vpn comment devra t'il s'y prendre?
En effet le client n'a pas d'adresse attribué sur le lan1.

Il faudrait donc, a priori, que 192.168.2.20 cherche a atteindre le client
par 10.8.0.2(son addresse sur le vpn). C'est à dire qu'il faut rajouter une
route sur le routeur(ie la livebox) qui indique de passer par le serveur
openvpn.
J'ai bon là?

Oui, ou ajouter la route sur toutes les machines du LAN. Fastidieux sans
mécanisme automatique (protocole de routage, DHCP).

Ne serait il pas possible que la livebox donne une adresse sur son lan au
client.

Tu veux dire le serveur VPN ? Si, bien sûr. C'est une méthode utilisée
avec les liaisons PPP pour faire croire qu'un pair PPP est sur le réseau
local, à quelques détails près comme les broadcasts qui ne passent pas.
Pour que ça marche il faut activer le "proxyarp" pour que la passerelle
VPN réponde aux requêtes ARP venant du LAN à la place du client VPN. Je
pense que ce n'est possible que si le tunnel est en mode point à point
routé (tun).

Pascal Hambourg wrote:

D'ailleurs en supposant que le lan1 (de mon serveur vpn) soit en
192.168.2.0 avec par exemple:
Livebox:192.168.2.1
Openvpn:192.168.2.10 sur le lan et 10.8.0.1 sur le vpn

Je veux que mon client puisse voir tous les ordinateurs de ce lan.
Pour cela il faut (si j'ai bien compris) une route, ce qui ce fait en
mettant dans la configuration du serveur:
push "route 192.168.2.0 255.255.255.0"
Ainsi si mon client fait un ping sur 192.168.2.1 cela passerra-t-il?

La route installée sur le client envoie le paquet par le VPN, la
passerelle VPN le route sur son LAN vers sa distination finale. Ensuite
la machine en question va répondre au ping, et c'est la que ça se
complique, comme tu l'as compris, car la passerelle VPN n'est pas la
passerelle par défaut du LAN.

Mais si de son coté un ordinateur du lan1 disons 192.168.2.20 décide
d'accéder au client vpn comment devra t'il s'y prendre?
En effet le client n'a pas d'adresse attribué sur le lan1.

Il faudrait donc, a priori, que 192.168.2.20 cherche a atteindre le
client par 10.8.0.2(son addresse sur le vpn). C'est à dire qu'il faut
rajouter une route sur le routeur(ie la livebox) qui indique de passer
par le serveur openvpn.
J'ai bon là?

Oui, ou ajouter la route sur toutes les machines du LAN. Fastidieux sans
mécanisme automatique (protocole de routage, DHCP).

Apres avoir mis la route sur la livebox, tout semble fonctionner

correctement.
Remarque il fallait aussi activer l'ip forwarding sur le serveur avec
echo 1 > /proc/sys/net/ipv4/ip_forward

Ne serait il pas possible que la livebox donne une adresse sur son lan au
client.

Tu veux dire le serveur VPN ? Si, bien sûr. C'est une méthode utilisée
avec les liaisons PPP pour faire croire qu'un pair PPP est sur le réseau
local, à quelques détails près comme les broadcasts qui ne passent pas.
Pour que ça marche il faut activer le "proxyarp" pour que la passerelle
VPN réponde aux requêtes ARP venant du LAN à la place du client VPN. Je
pense que ce n'est possible que si le tunnel est en mode point à point
routé (tun).

Je comprend pas la moitié du dernier paragraphe;-), pour faire simple je me
demandais si les ordinateurs du lan au lieu d'accéder au client avec une ip
en 10.8.0.2, on ne pourrait pas donner au client une ip sur la meme plage
que le lan par exemple en 192.168.2.30.

"Nicolas Ninin" <nicolas.ninin@gmail.fr> wrote in message
news:45004a2d$0$27405$ba4acef3@news.orange.fr

Oui, ou ajouter la route sur toutes les machines du LAN. Fastidieux sans
mécanisme automatique (protocole de routage, DHCP).

Apres avoir mis la route sur la livebox, tout semble fonctionner

correctement.
Remarque il fallait aussi activer l'ip forwarding sur le serveur avec
echo 1 > /proc/sys/net/ipv4/ip_forward

Et oui, Oh joie du routage, les paquets qui arrivent sur les machines
du LAN repartent vers la livebox, qui connaît maintenant ton réseau
distant et peut les renvoyer vers le tunnel VPN :-)




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> wrote in message
news:edp7jc$199u$1@biggoron.nerim.net

Comme je l'ai écrit, un pontage n'est pas forcément trivial à mettre en
place. Il ne suffit pas de monter un tunnel en mode bridge, il faut en
plus ponter ce tunnel avec le LAN. D'autre part, certains OS ne savent
pas faire de pontage. Dans la famille Windows, il faut XP au minimum.
...

[snip]
...

A mon avis ça va être un peu plus compliqué. Ça va plutôt dépendre de
laquelle des deux répond en premier à une requête ARP, ou a elle-même
émis une requête ARP en dernier.

Tout à fait d'accord avec ces très bonnes remarques :-)
Même si le bridge est possible, la solution qui semble la plus simple
est
effectivement de modifier l'adressage d'un des réseaux (au niveau DHCP
c'est facile) et de rajouter les deux ou trois routes qui vont bien (ou
de nater...)




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Remarque il fallait aussi activer l'ip forwarding sur le serveur avec
echo 1 > /proc/sys/net/ipv4/ip_forward

Nécessairement, le serveur VPN devant servir de passerelle (=routeur).

Ne serait il pas possible que la livebox donne une adresse sur son lan au
client.

Tu veux dire le serveur VPN ? Si, bien sûr. C'est une méthode utilisée
avec les liaisons PPP pour faire croire qu'un pair PPP est sur le réseau
local, à quelques détails près comme les broadcasts qui ne passent pas.
Pour que ça marche il faut activer le "proxyarp" pour que la passerelle
VPN réponde aux requêtes ARP venant du LAN à la place du client VPN. Je
pense que ce n'est possible que si le tunnel est en mode point à point
routé (tun).

Je comprend pas la moitié du dernier paragraphe;-),

Laquelle ? ;-)

pour faire simple je me
demandais si les ordinateurs du lan au lieu d'accéder au client avec une ip
en 10.8.0.2, on ne pourrait pas donner au client une ip sur la meme plage
que le lan par exemple en 192.168.2.30.

Et je répondais trop rapidement que oui. En effet, ça va poser des
problèmes au client : comment va-t-il savoir si une adresse IP
192.168.2.* appartient à son LAN ou à celui du serveur ? A ta place,
j'essaierais de faire du NAT 1:1 sur la passerelle si tu n'utilises pas
de protocole tordu qui ne passe pas le NAT. La cible NETMAP d'iptables
est pratique pour cela, mais n'est pas supportée par tous les noyaux.

J'explique quand même au cas où les deux LAN ont des sous-réseaux
différents.

Tu peux attribuer à l'interface VPN du serveur la même adresse que son
interface LAN (mais avec masque /32), et à l'interface VPN du client une
adresse inutilisée dans le LAN du serveur. Ensuite, comme ton serveur a
l'air de tourner sous Linux, tu actives le proxy ARP :

sysctl -w net/ipv4/conf/<interface>/proxy_arp=1

où <interface> désigne le nom de l'interface réseau du LAN, je crois, à
moins que ce soit l'interface du VPN, je n'ai jamais su. Dans le doute,
tu peut mettre "all" pour activer le proxy ARP sur toutes les interfaces.

Raison : les machines du LAN vont rechercher l'adresse VPN du client et
faire des requêtes ARP sur le LAN, alors que le client est à l'autre
bout du VPN. Le trafic ARP n'étant pas routé, ce n'est pas lui qui
risque d'y répondre. Il faut donc demander au serveur VPN de le faire à
sa place.

PS : pas besoin de copie par mail privé.