le 128.2.150.110 est mon PC et on a changé l'ip 128.2.100.129/16 en 128.2.150.129/24 pour tester si cela venait du fait qu'il y avait des masques different et cela ne change rien?
Mon Pc 128.2.150.110/16 ping bien le 128.2.150.129/24 et aussi le 10.8.4.1/24 .
Pc test 128.2.72.34/24 --- reseauA<-- [128.2.72.1/24] client VPN [10.8.4.6] -->--~ internet/lan/vpn ~ <- [10.8.4.1] serveur VPN [128.2.150.129/24] -> reseauB --- Mon PC (128.2.150.110/16)
la machine 128.2.150.110/16 ping 128.2.100.129/16 .
la machine 128.2.150.110/16 ne ping pas le 128.2.100.129/16
le client vpn 10.136.20.2 ping le serveur vpn 10.136.20.1/16 et le 10.8.4.1/32 (ip du serveur vpn)
le serveur VPN(10.8.4.1) ping le 10.8.4.6 (ip client vpn)
le serveur VPN(128.2.100.129/16) ne ping pas le 128.2.72.1/24 ce qui est normal je pense et comme il ping l'ip client vpn(10.8.4.6)
on nous a dit que normalement il fallait mettre en classe 24. donc on a changé le 128.2.100.129/16 en 128.2.150.129/24 mais cela ne change rien.
bah normalement cela ne pose pas de problème vu que le le PC connait les deux reseau et c'est par ou passer entre les reseau avec leur table de routage respectifs.
et le 128.2.100.129 est du 16 bit, car pour le moment notre reseau est en 128.2.0.0/16 qui sera migrer plus tard en 192.168.0.0/16 ou plusieurs reseau /24 .
On a deja un autre VPN sur un autre site en 128.2.123.0/24 qui passe par internet par contre et se connecte a un serveur openvpn par routage de port et ensuite ce serveur openvpn a ip 128.2.*.*/16 et cela marche.
Je pensais qu'il faut juste que l'on utilise iptables ou autre pour faire du routage entre les deux cartes sur chaque PC, quelques choses comme ca, car sinon ne voit pas le problème.
les deux reseau 10.136 sont relie a un routeur VPN completel qui passe par une autre société qui va apers prendre le relais sur l'info et donc on veut pas que cette société puisse acceder a notre reseau en passant par le reseau 10.136 qui sera relié physiquement a notre reseau, d'ou la mise en place d'un VPN.
Ensuite on mettra le parefeu pour n'accepter en tree sur le 10.136 que le VPN et rien d'autres, pour que les personnes sur le 128.2.72.0 puisse acceder au reseau 128.2.0.0 en passant par le VPN.
Pour le moment les vpn communique bien.
mais un des pc en test qui a ip 128.2.72.34 n'arrive pas a acceder a un autre pc 128.2.150.110 (on a bien ajouté la route qui passe par le 128.2.100.129) .
et inversement le pc 128.2.150.110 n'arrive pas pinger le pc 128.2.72.34 .
on a besoin d'un VPN car entre les deux reseau 10.136 les deux PC vont passer par le VPN materiel d'un autre prestataire, et on fait ca pour qu'il ne puisse pas acceder au 128.2.72.* .
[^] # Re: client
Posté par seba74 . En réponse au message QNAP + Openvpn + iptablesproblème d'acces samba, vnc et autres entre deux reseaux. Évalué à 1.
iptables-save
# Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
*mangle
:PREROUTING ACCEPT [24615602:4550357521]
:INPUT ACCEPT [17461124:2996140164]
:FORWARD ACCEPT [7154241:1554196550]
:OUTPUT ACCEPT [8970289:1694975517]
:POSTROUTING ACCEPT [14543623:3129211108]
COMMIT
# Completed on Thu Sep 16 16:56:00 2010
# Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
*nat
:PREROUTING ACCEPT [12983423:1275834034]
:POSTROUTING ACCEPT [179381:14969976]
:OUTPUT ACCEPT [124404:8304961]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 128.2.30.30:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 128.2.30.30 -p tcp -m tcp --dport 3389 -j SNAT --to-source 128.2.1.205
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Thu Sep 16 16:56:00 2010
# Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
*filter
:INPUT DROP [1:128]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7148764:1397756758]
:block - [0:0]
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -j block
-A INPUT -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -j block
-A FORWARD -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A block -m state --state INVALID -j DROP
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --sport 53 -j ACCEPT
-A block -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A block -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 22 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 79 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 79 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 113 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 113 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 143 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 143 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 3389 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 6524 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 6524 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 80 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 1195 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 6524 -m state --state NEW -j ACCEPT
-A block -j LOG --log-prefix "DENY TCP connect "
-A block -j DROP
-A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Sep 16 16:56:00 2010
Pour moi je ne vois pas d'erreur?
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
Mon Pc 128.2.150.110/16 ping bien le 128.2.150.129/24 et aussi le 10.8.4.1/24 .
Pc test 128.2.72.34/24 --- reseauA<-- [128.2.72.1/24] client VPN [10.8.4.6] -->--~ internet/lan/vpn ~ <- [10.8.4.1] serveur VPN [128.2.150.129/24] -> reseauB --- Mon PC (128.2.150.110/16)
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
la machine 128.2.150.110/16 ping 128.2.100.129/16 .
la machine 128.2.150.110/16 ne ping pas le 128.2.100.129/16
le client vpn 10.136.20.2 ping le serveur vpn 10.136.20.1/16 et le 10.8.4.1/32 (ip du serveur vpn)
le serveur VPN(10.8.4.1) ping le 10.8.4.6 (ip client vpn)
le serveur VPN(128.2.100.129/16) ne ping pas le 128.2.72.1/24 ce qui est normal je pense et comme il ping l'ip client vpn(10.8.4.6)
on nous a dit que normalement il fallait mettre en classe 24. donc on a changé le 128.2.100.129/16 en 128.2.150.129/24 mais cela ne change rien.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
mais je pense pas que ca soit un problème de route, manque quelque chose de plus que l'on connait pas je pense.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
et le 128.2.100.129 est du 16 bit, car pour le moment notre reseau est en 128.2.0.0/16 qui sera migrer plus tard en 192.168.0.0/16 ou plusieurs reseau /24 .
On a deja un autre VPN sur un autre site en 128.2.123.0/24 qui passe par internet par contre et se connecte a un serveur openvpn par routage de port et ensuite ce serveur openvpn a ip 128.2.*.*/16 et cela marche.
Je pensais qu'il faut juste que l'on utilise iptables ou autre pour faire du routage entre les deux cartes sur chaque PC, quelques choses comme ca, car sinon ne voit pas le problème.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
eth1 128.2.100.129/16
eth0 ReseauA 10.136.20.1/16 (Serveur VPN)
|
|
Routeur VPN Cisco 10.136.*.*/16
|
|
Liaison SDSL
|
|
Routeur VPN Cisco 10.136.*.*/16
|
|
PC Client :
eth0 reseauB 10.136.20.2/16 (Client VPN)
eth1 128.2.72.1/32
vala j'espère que c'est plus clair.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
Ensuite on mettra le parefeu pour n'accepter en tree sur le 10.136 que le VPN et rien d'autres, pour que les personnes sur le 128.2.72.0 puisse acceder au reseau 128.2.0.0 en passant par le VPN.
Pour le moment les vpn communique bien.
mais un des pc en test qui a ip 128.2.72.34 n'arrive pas a acceder a un autre pc 128.2.150.110 (on a bien ajouté la route qui passe par le 128.2.100.129) .
et inversement le pc 128.2.150.110 n'arrive pas pinger le pc 128.2.72.34 .
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
[^] # Re: pas besoin de vpn... ou alors j'ai raté une etape
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.
[^] # Re: Routes sur le client ....
Posté par seba74 . En réponse au message VPN entre un serveur avec 2 cartes reseaux et un client avec 2 cartes reseaux. Évalué à 1.