(Je ne vois pas la catégorie réseau)
(asciiart pas terrible)
Dans les docs glanés sur le net, nous avons principalement la config suivante
PC1 {INTERNET} PC2
PC1 fait serveur VPN
PC2 fait client VPN
Sur les 02, on installe OpenVPN.
C'est très bien expliqué.
Or, ce que je souhaite, c'est
[LAN1] {INTERNET} [LAN2]
|
[LAN3]
[LAN1], [LAN2] et [LAN3] ont la même plage IP, donc, sont sur le même réseau.
Aucun soft n'est installé sur les PC de [LAN1] ou [LAN2] ou [LAN3].
Les PC de [LAN1] passent par la connection [LAN1] {INTERNET} pour surfer.
Les PC de [LAN2] traversent {INTERNET} puis passent par la connection [LAN1] {INTERNET} pour surfer.
Les PC de [LAN3] traversent {INTERNET} puis passent par la connection [LAN1] {INTERNET} pour surfer.
Suppositions :
. sur [LAN1] il y a un serveur DHCP qui attribue les adresses IP indifféremment pour [LAN1], [LAN2] et [LAN3];
. sur la gateway [LAN2] {INTERNET} il y a un logiciel qui qui créé un tunnel pour envoyer toutes les requêtes (dont dhcp request) des PC vers la gateway de [LAN1] qui est le bout du tunnel, les réponses empruntant le chemin inverse.
. sur la gateway [LAN3] {INTERNET} il y a un logiciel qui qui créé un tunnel pour envoyer toutes les requêtes (dont dhcp request) des PC vers la gateway de [LAN1] qui est le bout du tunnel, les réponses empruntant le chemin inverse.
. les PC du [LAN2] peuvent avoir accès aux PC du [LAN3] en traversant {INTERNET} par les tunnels [LAN2] {INTERNET} [LAN1], puis [LAN1] {INTERNET} [LAN3].
Donc, la config du VPN, c'est sur les gateway/routeurs (entre LAN et le fai/isp).
J'ai bon?
Quelle est la marche à suivre?
Config des gateway/routeurs.
Config du dhcp ("route par défaut"="IP du FAI", n'est-ce-pas?)
Définition des routes de part et d'autre, sur les routeurs.
Des liens vers des docs plus pertinentes?
D'av merci.
Forum Linux.débutant Mise en place VPN réseau
25
jan.
2010
# Ouille :-)
Posté par Kerro . Évalué à 4.
Si tu peux éviter ce point, tu auras une grande diminution des problèmes. Facile si tu as 5 ou 10 postes, moins facile si tu en as 200.
Si tout est sur le même réseau, il te faut utiliser OpenVPN en mode "--dev-type tap" et OpenVPN agit comme une sorte de commutateur Ethernet (un switch).
Le mieux est généralement d'utiliser "--dev-type tun" pour qu'OpenVPN agisse comme un routeur. Tes 3 réseaux auront alors des plans d'adressages différents (à moins que tu insistes, dans ce cas avec ipfilter tu peux tout de même ruser comme un malade. C'est se compliquer la vie mais c'est possible).
[^] # Re: Ouille :-)
Posté par TsyMiroro MDG . Évalué à 1.
Mais, chacun doit avoir un accès direct à la base de donnée sur l'un des sites (site 02).
C'est le SGBD, postgresql, qui gère les droits et permissions, selon un couple login/password.
L'utilisation de l'internet devra obligatoirement passer par le proxy du site principal (site 01).
Question :
Donc, afin garder la même plage IP pour l'ensemble du réseau, il faudra affecter un PC avec openvpn sur chaque réseau, avant le routeur du FAI.
J'ai pensé qu'un paramètre sur le routeur aurait fait l'affaire.
J'ai aussi pensé que IPFILTER n'aura qu'à faire du NAT pour la sortie vers INTERNET, la redirection vers le proxy, et c'est tout, puisque les PC sont sur le même réseau.
[^] # Re: Ouille :-)
Posté par Kerro . Évalué à 3.
Je crois qu'il te faut potasser un peu les réseaux parce que là, tu mélanges pas mal de choses. Il faudrait 10 lignes de réponse pour chacune de tes phrases.
[^] # Re: Ouille :-)
Posté par NeoX . Évalué à 2.
soit un site - une plage IP (192.168.0.X/24) et une passerelle par defaut (disons 192.168.0.1
les machines de ce site peuvent se parler entre elle car elles sont dans le meme reseau (192.168.0.X/24)
si elles veulent contacter un reseau qui N'est PAS 192.168.0.X/24 alors elles vont demander à la passerelle
maintenant tu as 3 sites, qui sont TOUS sur 192.168.0.X/24
donc une machine de LAN1 qui veut contacter une machine de LAN2
ne saura pas que cette machine n'est pas sur son reseau et ne demandera pas à la passerelle.
il te faut donc regler les routeurs/dhcp des 3 sites sur des plages IP differentes
par exemple
192.168.1.X/24 pour LAN1
192.168.2.X/24 pour LAN2
192.168.3.X/24 pour LAN3
ainsi une machine de LAN1 qui veut contacter une machine de LAN2 verra que ce n'est pas sur son reseau
elle enverra sa demande à la passerelle de LAN1
la passerelle de LAN1 etant serveur VPN, et ayant LAN2 et LAN3 comme client, saura à qui envoyer la demande...
- openvpn permet de definir une route par defaut via le vpn (c'est ce qu'il te faudra sur LAN2 et LAN3 pour passer via LAN1)
attention toutefois aux performances, il vaut peut-etre mieux laisser les connexions internet via la connexion locale plutot que de passer 2x dans le VPN (Aller - LAN1 - Internet - LAN1 - Retour) et ne faire passer que les connexions "site à site" dans ton VPN
Option : un DNS local peut simplifier la vie des gens
au lieu de connaitre l'ip du serveur de fichier, il a un petit nom
meme s'il est sur un autre site
[^] # Re: Ouille :-)
Posté par TsyMiroro MDG . Évalué à 1.
Je connais les histoires de domaine de diffusion et domaine de collision.
Je connais aussi les histoires de classe (A, B,C, D (pour les routeurs), E (Expérimentaux)), et la différenciation public/privés, et CIDR (classless, les histoires de bits hotes volés par les bits réseaux ;-) )
Le truc, c'est que pas de net pour la plupart des sites sauf à certaines heures (squid sur LAN1 qui gère ça).
L'autre truc, c'est que rien à configurer sur les postes, dhcp sur LAN1 s'en occupe, y compris pour les itinérants en mission qui bénéficient d'un accès permanent au net (dhcp fixe avec le mac + authentification sur le proxy pour aller sur le net).
Autre info, sur les sites distants, il y a entre 4 et 10 ordi, exclusivement sous GNU/Linux.
Sur le site principal env 25, sur le second site pareil (env 25), avec au total env 10 PC sous MS-Windows, répartis sur les sites 1 et 2.
Vu le nombre de PC, les broadcast ne seront pas génant.
Le souhait étant on branche, dhcp offre la config.
Avec la classe d'adresse qui est commune, on a un accès aux serveurs internes (1 serveur de BDD, sur le site 2, 1 serveur mail interne sur le site 1).
Je vais voir plus tard un VLAN pour les nouveaux clients.
La question, c'est :
En parametrant, correctement, juste les routeurs pour la VPN, est-ce-que le schéma proposé marcherait?
Pas envie de tout casser puis tout refaire si c'est sur que ça marche pas.
@+
[^] # Re: Ouille :-)
Posté par NeoX . Évalué à 2.
3 reseaux avec le meme plan d'adressage (CIDR) ca ne peut pas se router entre eux.
aux mieux tu peux utiliser des "sous" CIDR pour avoir des sous reseaux en /28 par exemple
dans tous les cas tu ne pourras pas faire un reseau transparent entre tes 3 sites.
donc
3 DHCP (un sur chaque LAN)
1 serveur vpn (la passerelle routeurs de LAN1)
2 client vpn (les passerelletes routeurs de LAN2 et LAN3)
N clients vpn (tes utilisateurs en deplacement...)
les routes qui vont bien sur les passerelles, et hop, ca marche
un petit DNS histoire de simplifier le boulot des utilisateurs (serveur-de-fichier etant plus facile à retenir que 192.168.X.Y :p
[^] # Re: Ouille :-)
Posté par TsyMiroro MDG . Évalué à 1.
Il n'y a pas de redondance de num IP.
En utilisant par ex 192.168.1.X, l'ensemble des sites sont normalement sur le même réseau.
X allant de 1 à 50 sur le site 1 (site du serveur VPN, mail, dhcp, dns, ...)
X allant de 51 à 100 sur le site 2 (bdd)
X allant de 101 à 110 sur le site 3
...
Les sites sont inter-connecté en permanence.
Les routeurs ont des IP fixes.
Un VPN bien configuré devait marcher, non?
Je suis vraiement tétu ;-);
@+
[^] # Re: Ouille :-)
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source
[^] # Re: Ouille :-)
Posté par NeoX . Évalué à 1.
en fait il faut bien comprendre que si tu utilises une classe 24,
ta machine 10, qui veut contacter la machine 52 ne saura meme pas qu'elle doit demander à son routeur
car toutes les machines sont dans le meme reseau
par contre il y a des CIDR plus restrictifs permettant alors de router entre les segments
un /25 coupe ton reseau en
reseau : 192.168.1.0,
ip : 192.168.1.1->192.168.1.126
broadcast 192.168.1.127
et
reseau : 192.168.1.128,
ip : 192.168.1.129->192.168.1.254
broadcast 192.168.1.255
un /26 te donnera 4 reseaux
192.168.1.0 - 192.168.1.63
192.168.1.64 - 192.168.1.127
192.168.1.128 - 192.168.1.191
192.168.1.192 - 192.168.1.255
mais c'est simplement deplacer le probleme
que tes reseaux soit en CIDR 25/26/27
ou en /24 mais en 192.168.1.X, 192.168.2.X, 192.168.3.X
il faudra de toutes facons segmenter pour pouvoir ensuite router entre tes sites.
le seul cas ou tu pourrais avoir un reseau dit "à plat"
c'est en faisant un LAN entre tes sites (fibre optique par exemple)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.