Forum Linux.débutant Mise en place VPN réseau

Posté par .
Tags : aucun
0
25
jan.
2010
(Je ne vois pas la catégorie réseau)
(asciiart pas terrible)

Dans les docs glanés sur le net, nous avons principalement la config suivante

PC1 {INTERNET} PC2

PC1 fait serveur VPN
PC2 fait client VPN
Sur les 02, on installe OpenVPN.

C'est très bien expliqué.


Or, ce que je souhaite, c'est

[LAN1] {INTERNET} [LAN2]
|
[LAN3]

[LAN1], [LAN2] et [LAN3] ont la même plage IP, donc, sont sur le même réseau.
Aucun soft n'est installé sur les PC de [LAN1] ou [LAN2] ou [LAN3].
Les PC de [LAN1] passent par la connection [LAN1] {INTERNET} pour surfer.
Les PC de [LAN2] traversent {INTERNET} puis passent par la connection [LAN1] {INTERNET} pour surfer.
Les PC de [LAN3] traversent {INTERNET} puis passent par la connection [LAN1] {INTERNET} pour surfer.

Suppositions :
. sur [LAN1] il y a un serveur DHCP qui attribue les adresses IP indifféremment pour [LAN1], [LAN2] et [LAN3];
. sur la gateway [LAN2] {INTERNET} il y a un logiciel qui qui créé un tunnel pour envoyer toutes les requêtes (dont dhcp request) des PC vers la gateway de [LAN1] qui est le bout du tunnel, les réponses empruntant le chemin inverse.
. sur la gateway [LAN3] {INTERNET} il y a un logiciel qui qui créé un tunnel pour envoyer toutes les requêtes (dont dhcp request) des PC vers la gateway de [LAN1] qui est le bout du tunnel, les réponses empruntant le chemin inverse.
. les PC du [LAN2] peuvent avoir accès aux PC du [LAN3] en traversant {INTERNET} par les tunnels [LAN2] {INTERNET} [LAN1], puis [LAN1] {INTERNET} [LAN3].

Donc, la config du VPN, c'est sur les gateway/routeurs (entre LAN et le fai/isp).

J'ai bon?

Quelle est la marche à suivre?
Config des gateway/routeurs.
Config du dhcp ("route par défaut"="IP du FAI", n'est-ce-pas?)
Définition des routes de part et d'autre, sur les routeurs.

Des liens vers des docs plus pertinentes?

D'av merci.
  • # Ouille :-)

    Posté par (page perso) . Évalué à 4.

    [LAN1], [LAN2] et [LAN3] ont la même plage IP, donc, sont sur le même réseau.
    Si tu peux éviter ce point, tu auras une grande diminution des problèmes. Facile si tu as 5 ou 10 postes, moins facile si tu en as 200.

    Si tout est sur le même réseau, il te faut utiliser OpenVPN en mode "--dev-type tap" et OpenVPN agit comme une sorte de commutateur Ethernet (un switch).

    Le mieux est généralement d'utiliser "--dev-type tun" pour qu'OpenVPN agisse comme un routeur. Tes 3 réseaux auront alors des plans d'adressages différents (à moins que tu insistes, dans ce cas avec ipfilter tu peux tout de même ruser comme un malade. C'est se compliquer la vie mais c'est possible).
    • [^] # Re: Ouille :-)

      Posté par . Évalué à 1.

      Il s'agit de plusieurs sites distants (08) chacun connecté au net.
      Mais, chacun doit avoir un accès direct à la base de donnée sur l'un des sites (site 02).
      C'est le SGBD, postgresql, qui gère les droits et permissions, selon un couple login/password.

      L'utilisation de l'internet devra obligatoirement passer par le proxy du site principal (site 01).

      Question :
      Donc, afin garder la même plage IP pour l'ensemble du réseau, il faudra affecter un PC avec openvpn sur chaque réseau, avant le routeur du FAI.

      J'ai pensé qu'un paramètre sur le routeur aurait fait l'affaire.

      J'ai aussi pensé que IPFILTER n'aura qu'à faire du NAT pour la sortie vers INTERNET, la redirection vers le proxy, et c'est tout, puisque les PC sont sur le même réseau.
      • [^] # Re: Ouille :-)

        Posté par (page perso) . Évalué à 3.

        C'est pas gagné :-)

        Je crois qu'il te faut potasser un peu les réseaux parce que là, tu mélanges pas mal de choses. Il faudrait 10 lignes de réponse pour chacune de tes phrases.
      • [^] # Re: Ouille :-)

        Posté par . Évalué à 2.

        les reseaux, vite fait pour toi :

        soit un site - une plage IP (192.168.0.X/24) et une passerelle par defaut (disons 192.168.0.1

        les machines de ce site peuvent se parler entre elle car elles sont dans le meme reseau (192.168.0.X/24)

        si elles veulent contacter un reseau qui N'est PAS 192.168.0.X/24 alors elles vont demander à la passerelle


        maintenant tu as 3 sites, qui sont TOUS sur 192.168.0.X/24
        donc une machine de LAN1 qui veut contacter une machine de LAN2
        ne saura pas que cette machine n'est pas sur son reseau et ne demandera pas à la passerelle.

        il te faut donc regler les routeurs/dhcp des 3 sites sur des plages IP differentes
        par exemple
        192.168.1.X/24 pour LAN1
        192.168.2.X/24 pour LAN2
        192.168.3.X/24 pour LAN3

        ainsi une machine de LAN1 qui veut contacter une machine de LAN2 verra que ce n'est pas sur son reseau
        elle enverra sa demande à la passerelle de LAN1

        la passerelle de LAN1 etant serveur VPN, et ayant LAN2 et LAN3 comme client, saura à qui envoyer la demande...

        - openvpn permet de definir une route par defaut via le vpn (c'est ce qu'il te faudra sur LAN2 et LAN3 pour passer via LAN1)

        attention toutefois aux performances, il vaut peut-etre mieux laisser les connexions internet via la connexion locale plutot que de passer 2x dans le VPN (Aller - LAN1 - Internet - LAN1 - Retour) et ne faire passer que les connexions "site à site" dans ton VPN

        Option : un DNS local peut simplifier la vie des gens
        au lieu de connaitre l'ip du serveur de fichier, il a un petit nom
        meme s'il est sur un autre site
        • [^] # Re: Ouille :-)

          Posté par . Évalué à 1.

          Bonjour,

          Je connais les histoires de domaine de diffusion et domaine de collision.
          Je connais aussi les histoires de classe (A, B,C, D (pour les routeurs), E (Expérimentaux)), et la différenciation public/privés, et CIDR (classless, les histoires de bits hotes volés par les bits réseaux ;-) )

          Le truc, c'est que pas de net pour la plupart des sites sauf à certaines heures (squid sur LAN1 qui gère ça).

          L'autre truc, c'est que rien à configurer sur les postes, dhcp sur LAN1 s'en occupe, y compris pour les itinérants en mission qui bénéficient d'un accès permanent au net (dhcp fixe avec le mac + authentification sur le proxy pour aller sur le net).

          Autre info, sur les sites distants, il y a entre 4 et 10 ordi, exclusivement sous GNU/Linux.
          Sur le site principal env 25, sur le second site pareil (env 25), avec au total env 10 PC sous MS-Windows, répartis sur les sites 1 et 2.

          Vu le nombre de PC, les broadcast ne seront pas génant.

          Le souhait étant on branche, dhcp offre la config.
          Avec la classe d'adresse qui est commune, on a un accès aux serveurs internes (1 serveur de BDD, sur le site 2, 1 serveur mail interne sur le site 1).

          Je vais voir plus tard un VLAN pour les nouveaux clients.

          La question, c'est :
          En parametrant, correctement, juste les routeurs pour la VPN, est-ce-que le schéma proposé marcherait?

          Pas envie de tout casser puis tout refaire si c'est sur que ça marche pas.

          @+
          • [^] # Re: Ouille :-)

            Posté par . Évalué à 2.

            Non Non Non
            3 reseaux avec le meme plan d'adressage (CIDR) ca ne peut pas se router entre eux.

            aux mieux tu peux utiliser des "sous" CIDR pour avoir des sous reseaux en /28 par exemple

            dans tous les cas tu ne pourras pas faire un reseau transparent entre tes 3 sites.

            donc
            3 DHCP (un sur chaque LAN)
            1 serveur vpn (la passerelle routeurs de LAN1)
            2 client vpn (les passerelletes routeurs de LAN2 et LAN3)
            N clients vpn (tes utilisateurs en deplacement...)

            les routes qui vont bien sur les passerelles, et hop, ca marche

            un petit DNS histoire de simplifier le boulot des utilisateurs (serveur-de-fichier etant plus facile à retenir que 192.168.X.Y :p
            • [^] # Re: Ouille :-)

              Posté par . Évalué à 1.

              En théorie c'est sur le même réseau et la passerelle peut faire proxy ARP
              Il n'y a pas de redondance de num IP.

              En utilisant par ex 192.168.1.X, l'ensemble des sites sont normalement sur le même réseau.
              X allant de 1 à 50 sur le site 1 (site du serveur VPN, mail, dhcp, dns, ...)
              X allant de 51 à 100 sur le site 2 (bdd)
              X allant de 101 à 110 sur le site 3
              ...


              Les sites sont inter-connecté en permanence.
              Les routeurs ont des IP fixes.

              Un VPN bien configuré devait marcher, non?

              Je suis vraiement tétu ;-);

              @+
              • [^] # Re: Ouille :-)

                Posté par (page perso) . Évalué à 1.

                Un vpn de niveau 2 ou 3 ?

                Système - Réseau - Sécurité Open Source

              • [^] # Re: Ouille :-)

                Posté par . Évalué à 1.

                non ca ne marchera pas si tes machines sont dans un CIDR en /24

                en fait il faut bien comprendre que si tu utilises une classe 24,
                ta machine 10, qui veut contacter la machine 52 ne saura meme pas qu'elle doit demander à son routeur
                car toutes les machines sont dans le meme reseau

                par contre il y a des CIDR plus restrictifs permettant alors de router entre les segments

                un /25 coupe ton reseau en
                reseau : 192.168.1.0,
                ip : 192.168.1.1->192.168.1.126
                broadcast 192.168.1.127

                et
                reseau : 192.168.1.128,
                ip : 192.168.1.129->192.168.1.254
                broadcast 192.168.1.255

                un /26 te donnera 4 reseaux
                192.168.1.0 - 192.168.1.63
                192.168.1.64 - 192.168.1.127
                192.168.1.128 - 192.168.1.191
                192.168.1.192 - 192.168.1.255

                mais c'est simplement deplacer le probleme
                que tes reseaux soit en CIDR 25/26/27
                ou en /24 mais en 192.168.1.X, 192.168.2.X, 192.168.3.X

                il faudra de toutes facons segmenter pour pouvoir ensuite router entre tes sites.

                le seul cas ou tu pourrais avoir un reseau dit "à plat"
                c'est en faisant un LAN entre tes sites (fibre optique par exemple)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.