VPN pptpd

Salut,

stena83@free.fr a écrit :

Quand mon client VPN se connecte, il obtient l'adresse IP 192.168.1.10
J'aimerais accéder aux différentes machine du réseau 192.168.0.0 - 255.255.255.0

Comment lié les 2 réseaux le virtuel et le physique ?

Comme pour lier n'importe quels réseaux : avec du routage, et
éventuellement du NAT.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

En fait j'ai autorisé l'IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward et ça fonctionne.

Par contre j'ai vu sur des sites qu'ils utilisent la commande "route
add" d'autres le NAT.

C'est quoi la différence entre route, ip forwarding et le nat?


Pascal Hambourg a écrit :

Salut,

stena83@free.fr a écrit :

Quand mon client VPN se connecte, il obtient l'adresse IP 192.168.1.10
J'aimerais accéder aux différentes machine du réseau 192.168.0.0 -
255.255.255.0

Comment lié les 2 réseaux le virtuel et le physique ?

Comme pour lier n'importe quels réseaux : avec du routage, et
éventuellement du NAT.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Stena83 wrote:

En fait j'ai autorisé l'IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward et ça fonctionne.

Par contre j'ai vu sur des sites qu'ils utilisent la commande "route
add" d'autres le NAT.

C'est quoi la différence entre route, ip forwarding et le nat?

IP Forward fait apparaitre ton frontal comme seul interlocuteur
extérieur, alors qu'en fait il forwarde les requêtes externes vers un
serveur interne au LAN (ou DMZ).

Donc c'est plutôt pour faire apparaître un Sce interne comme
externe.

NAT (Net Address Translation) remplace ton adresse IP interne
(Ex: 192.168.0.25) par ton adresse IP publique (celle du router)
(Ex: 220.1.129.45) afin que les routers de ton FAI ne rejettent pas
tes paquets.

Les 2 ne sont pas incompatibles, et même des fois complémentaires.

JY

Pascal Hambourg a écrit :

Salut,

stena83@free.fr a écrit :

Quand mon client VPN se connecte, il obtient l'adresse IP 192.168.1.10
J'aimerais accéder aux différentes machine du réseau 192.168.0.0 -
255.255.255.0

Comment lié les 2 réseaux le virtuel et le physique ?

Comme pour lier n'importe quels réseaux : avec du routage, et
éventuellement du NAT.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Jean-Yves F. Barbier a écrit :

Stena83 wrote:

En fait j'ai autorisé l'IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward et ça fonctionne.

Je ne pensais pas que ce serait aussi simple mais tant mieux. :-)

Par contre j'ai vu sur des sites qu'ils utilisent la commande "route
add" d'autres le NAT.

Dans certaines situations, l'ajout de routes et/ou la translation
d'adresse (NAT) *en plus de l'IP forwarding* est nécessaire pour que les
machines des différents réseaux puissent se joindre. Il ne suffit pas
d'avoir un routeur entre deux réseaux pour que les machines des deux
réseaux puissent communiquer ensemble, il faut aussi que chaque machine
sache comment joindre les machines de l'autre réseau.

C'est quoi la différence entre route, ip forwarding et le nat?

IP Forward fait apparaitre ton frontal comme seul interlocuteur
extérieur, alors qu'en fait il forwarde les requêtes externes vers un
serveur interne au LAN (ou DMZ).

Pas du tout. Tu sembles confondre avec le port forwarding, qui est une
forme particulière de NAT destination (DNAT) où on modifie l'adresse de
destination d'un paquet en fonction du protocole et du port de destination.

L'IP forwarding est la fonction de base qui fait qu'une machine se
comporte en routeur IP : tout paquet IP reçu qui ne lui est pas destiné
est retransmis vers sa destination conformément à sa table de routage.
Cela ne modifie ni les adresses ni les ports source ou destination.

NAT (Net Address Translation) remplace ton adresse IP interne
(Ex: 192.168.0.25) par ton adresse IP publique (celle du router)
(Ex: 220.1.129.45) afin que les routers de ton FAI ne rejettent pas
tes paquets.

Ce que tu décris est du masquerading, qui est une forme particulière de
NAT source (SNAT, on modifie l'adresse source du paquet).
La raison du masquerading n'est pas tant que les routeurs du FAI
rejettent les paquets portant une adresse source privée (certains le
font, d'autres pas) mais que les paquets de réponse puissent revenir
jusqu'à toi, sachant que les adresses privées ne sont pas routées sur
internet.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 13335ième jour après Epoch,
stena83@free.fr écrivait:

Bonjour,

J'ai mis en place un serveur VPN avec pptpd sous Debian Sarge, cela
fonctionne, mais j'aimerais pouvoir accéder au réseau complet d epuis
mon client VPN sous XP.

Tu veux dire que tu veux, de l'extérieur, adresser les machines du
réseau auquel le serveur VPN appartiens?

Pour le serveur j'ai un réseau de type 192.168.0.0 - 255.255.255.0
avec un routeur en 192.168.0.2 qui sert également de passerelle, le
serveur à l'adresse IP 192.168.0.1.


Dans mon fichier pptpd.conf j'ai mis :

option /etc/ppp/pptpd-options
debug
localip 192.168.1.1
remoteip 192.168.1.10-20

Quand mon client VPN se connecte, il obtient l'adresse IP 192.168.1.10
J'aimerais accéder aux différentes machine du réseau 192.1 68.0.0 -
255.255.255.0

Comment lié les 2 réseaux le virtuel et le physique ?

Au moins 3 méthodes:

1) Rajouter une route sur le XP: Ta machine XP est connectée au net,
et connais une adresse de passerelle par défaut. Toutes les
requêtes à des adresses inconnues vont être renvoyée s à la
passerelle qui va faire de l'IP Forwarding.

Une fois le lien VPN établi, ton XP a 2 passerelles. Une pour le
réseau 192.168.1.x, et une par défaut. Si tu veux accéder au réseau
192.168.1.x, il faut rajouter une route pour dire de passer par
192.168.1.1 (qui est l'adresse de ton point d'accès VPN, si j'ai
bien compris).

Il faudra aussi dire aux machine du réseau 192.168.0.x comment
addresser 192.168.1.x de la même façon, sauf si la passerelle VPN
est leur passerelle par défaut.

2) Ne faire qu'un seul réseau. Tu te réserves une plage d'adresses
dans 192.168.0.x, juste pour le VPN. Auquel cas il n'y a rien ou
presque à modifier. Il faut juste que ta passerelle VPN soit
capable d'être un proxy ARP transparent, je crois, et voilà.

3) Donner à tes machines du réseau 192.168.0.x une adresse en
192.168.1.x. Auquel cas c'est un peu un mix de 1) et 2), c'est à
dire 2 réseaux mais pas de routage supplémentaire.

Il y a probablement d'autres solutions, mais tu devrais t'en sortir
comme ça je pense.

Pour ce qui est de certaines autres réponses, il faut savoir:

ip_forwarding (tel que compris par le kernel), c'est juste pour dire
que si la couche ip reçoit un paquet à destination d'un autre r éseau,
elle le transfère plutôt qu'elle l'ignore.

nat, translation d'adresse (et de port), permettant par exemple de
forcer vers telle ou telle destination un paquet, sans que l'émetteur
ou le récepteur soit reconfiguré pour. Il y a du DNAT et du SNAT. Les
fonctions de "routage freebox", ou le mascarading ip sont du SNAT.

Voilà.


--
La guerre justifie l'existence des militaires en les supprimant.
-+- Henri Jeanson -+-

François TOURDE a écrit :

Le 13335ième jour après Epoch,
stena83@free.fr écrivait:

Bonjour,

J'ai mis en place un serveur VPN avec pptpd sous Debian Sarge, cela
fonctionne, mais j'aimerais pouvoir accéder au réseau complet depuis
mon client VPN sous XP.

Tu veux dire que tu veux, de l'extérieur, adresser les machines du
réseau auquel le serveur VPN appartiens?

Pour le serveur j'ai un réseau de type 192.168.0.0 - 255.255.255.0
avec un routeur en 192.168.0.2 qui sert également de passerelle, le
serveur à l'adresse IP 192.168.0.1.


Dans mon fichier pptpd.conf j'ai mis :

option /etc/ppp/pptpd-options
debug
localip 192.168.1.1
remoteip 192.168.1.10-20

Quand mon client VPN se connecte, il obtient l'adresse IP 192.168.1.10
J'aimerais accéder aux différentes machine du réseau 192.168.0.0 -
255.255.255.0

Comment lié les 2 réseaux le virtuel et le physique ?

Au moins 3 méthodes:

1) Rajouter une route sur le XP: Ta machine XP est connectée au net,
et connais une adresse de passerelle par défaut. Toutes les
requêtes à des adresses inconnues vont être renvoyées à la
passerelle qui va faire de l'IP Forwarding.

Une fois le lien VPN établi, ton XP a 2 passerelles. Une pour le
réseau 192.168.1.x, et une par défaut. Si tu veux accéder au réseau
192.168.1.x, il faut rajouter une route pour dire de passer par
192.168.1.1 (qui est l'adresse de ton point d'accès VPN, si j'ai
bien compris).

il ne me semble pas que ce soit la peine car le serveur pptp envoie déjà
comme passerelle lui même.
Ce qui est normal puisque le routage doit se faire de proche en proche.

Il faudra aussi dire aux machine du réseau 192.168.0.x comment
addresser 192.168.1.x de la même façon, sauf si la passerelle VPN
est leur passerelle par défaut.

Ici un simple ajout de route sur le 192.168.0.2 pour les paquets a
destination du réseaux 192.168.1.0 via passerelle 192.168.0.1 ( serveur
pptp )
Et c'est terminé :) tu dois pouvoir pinguer toutes les machines.

De plus si tu décide de changer l'adressage de ton LAN ( 192.168.0.0 )
pas de problème tu n'auras pas la config de pptpd a toucher :)
@+
Eddy

2) Ne faire qu'un seul réseau. Tu te réserves une plage d'adresses
dans 192.168.0.x, juste pour le VPN. Auquel cas il n'y a rien ou
presque à modifier. Il faut juste que ta passerelle VPN soit
capable d'être un proxy ARP transparent, je crois, et voilà.

3) Donner à tes machines du réseau 192.168.0.x une adresse en
192.168.1.x. Auquel cas c'est un peu un mix de 1) et 2), c'est à
dire 2 réseaux mais pas de routage supplémentaire.

Il y a probablement d'autres solutions, mais tu devrais t'en sortir
comme ça je pense.

Pour ce qui est de certaines autres réponses, il faut savoir:

ip_forwarding (tel que compris par le kernel), c'est juste pour dire
que si la couche ip reçoit un paquet à destination d'un autre réseau,
elle le transfère plutôt qu'elle l'ignore.

nat, translation d'adresse (et de port), permettant par exemple de
forcer vers telle ou telle destination un paquet, sans que l'émetteur
ou le récepteur soit reconfiguré pour. Il y a du DNAT et du SNAT. Les
fonctions de "routage freebox", ou le mascarading ip sont du SNAT.

Voilà.

--
Ce message a