|
VPN+IpSec sur réseau distant+dsl525x2
|
| Arethusa |
Posted on 04-12-2007 15:43
|
Cache Téton
Posts: 917
Joined: 02/01/2007 14:43
|
Il me semble qu’il y a quelque gayzou calé en réseau, et j’ai justement un réseau a faire ^^
Voici donc ce que j’ai posté sur d’autre forum.
--------------------------------------------------------------------------
Bonjour,
J’avais déjà fait un sujet comme ça il y a un moment, mais sans réponse, je restante ma chance avec plus de détail.
Le principe est simple, 2 réseaus séparé par Internet via d-link dsl525
D’un coté un serveur, de l’autre des clients qui doivent accéder au donnée du serveur via vpn/ipsec
Je n’est pas encor les ip fixe donner par Orange mais bon, pour l’exemple j’en ai inventé.
Voici donc comment je ferai ce réseau :
Le réseau rouge :
Admettons une ip wan de 92.12.12.13 attribuée par orange.
Donc le DSL524 rouge :
- wan = 92.12.12.13
- lan = 192.168.1.100
Les stations en 192.168.1.10+x
Le réseau bleu :
Admettons une ip wan de 95.13.13.8 attribuée par orange.
Donc le DSL524 rouge :
- wan = 93.13.13.8
- lan = 192.168.2.100
Les stations en 192.168.2.10+x
Le serveur 2003 en 192.168.2.1
Configuration du dsl524 rouge supposée:
(adresse de déstination en 192.168.2.100 en fait)
Configuration VPN :
L’Ip sec ne veut être mise que sur UN pc, pourquoi ? sachant qu’il faut de l’ip sec pour l’accès au serveur coté bleu !
Donc comment dois je configurer l’ipsec pour un que tout le réseau rouge accède au donnée du serveur bleu via IP sec ?
Le Rip V1 pourrai être utilisé aussi non ?
Pour le coté bleu, il faut juste croisé les IP en principe.
Voila, je voudrai donc savoir si théoriquement je pourrai faire mon VPN comme sa ?
Le but est donc que le réseau bleu accède aux données du serveur VPN coré rouge grâce à 2 DLS 524 via IP fixe Orange
Se projet est intéressant, mais étant inexpérimenté, c’est pas évident, si quelqu’un peut m’aider ou m’orienter, ou confirmer ce que je pense faire, ça serai sympathique 
A noter que si j’y arrive, je pourrai monter un beau dossier qui pourrai aider pas mal de monde sur les forum, merci donc de m’aider tps que possible.
ps : sachant que je sais déjà configurer un vpn sur 2003 serveur
Edited by Arethusa on 04-12-2007 17:35
Ce n’est pas la guilde qui fait le joueur, mais les joueurs qui font la guilde !
|
| |
|
|
| Korials |
Posted on 04-12-2007 16:49
|
Cache Téton
Posts: 1274
Joined: 16/03/2007 16:48
|
théoriquement je ne vois pas d'erreures mais edit cette partie la car on s'embrouille entre rouge et bleu :
Quote Le réseau rouge :
Admettons une ip wan de 92.12.12.13 attribuée par orange.
Donc le DSL524 rouge :
- wan = 92.12.12.13
- lan = 192.168.1.100
Les stations en 192.168.1.10+x
Le réseau bleu :
Admettons une ip wan de 95.13.13.8 attribuée par orange.
Donc le DSL524 rouge :
- wan = 93.13.13.8
- lan = 192.168.1.200
Les stations en 192.168.1.100+x
Le serveur 2003 en 192.168.1.1
Malicya - Démoniste - Elfe de Sang - lvl 70
Korials - Guerrier - Orc - lvl 70
Dakotah - Chasseur - Taurren - lvl 70
Korial - Voleur |
| |
|
|
| Arethusa |
Posted on 04-12-2007 17:09
|
Cache Téton
Posts: 917
Joined: 02/01/2007 14:43
|
et pour le message d'ereur sur l'ip sec ?
Ce n’est pas la guilde qui fait le joueur, mais les joueurs qui font la guilde !
|
| |
|
|
| phaselys |
Posted on 04-12-2007 17:24
|
Body String
Posts: 175
Joined: 27/10/2006 08:48
|
Le LAN de ton réseau rouge est 192.168.1.100 et le LAN de ton réseau bleu est 192.168.1.200 ca va posé problème en effet les LAN distant ne doivent pas avoir la meme adresse réseau (192.168.1.x).
Il faut que sur ton réseau bleu tu es une autre adresse réseau genre 192.168.2.x.
Le fait de mettre deux adresse réseau identique sur deux LAN distant : quand une machine essaie de joindre une autre machine distant il va meme pas a chercher a sortir par le tunnel vpn car pour lui l'ip de la machine distant est une ip local.
Sinon a part cela ca devrait fonctionner |
| |
|
|
| Arethusa |
Posted on 04-12-2007 17:28
|
Cache Téton
Posts: 917
Joined: 02/01/2007 14:43
|
ok j'y ai pensé à sa mais g t pas sur (en fait c évident, il sajit de 2 sous réseau de classe C, oblogatoirement je devai faire différance), et pour le coup de l'ipsec alor ? pourquoi il ne veut pas le metre sur plusieur PC ?
Edited by Arethusa on 04-12-2007 17:37
Ce n’est pas la guilde qui fait le joueur, mais les joueurs qui font la guilde !
|
| |
|
|
| phaselys |
Posted on 04-12-2007 17:38
|
Body String
Posts: 175
Joined: 27/10/2006 08:48
|
Faudrait que je puisse prendre la main sur un de tes DLINK , je sais pas du tout comment c'est foutu ce genre de routeur.
Ca sera faisable quand tu aura tes ip public :-)
Edited by phaselys on 04-12-2007 17:38
|
| |
|
|
| Arethusa |
Posted on 04-12-2007 17:42
|
Cache Téton
Posts: 917
Joined: 02/01/2007 14:43
|
oui aussi, je t'appelerai lol
Ce n’est pas la guilde qui fait le joueur, mais les joueurs qui font la guilde !
|
| |
|
|
| phaselys |
Posted on 04-12-2007 17:49
|
Body String
Posts: 175
Joined: 27/10/2006 08:48
|
Oki pas de prob ,tu as fait un beau schéma bien clair après le reste c'est de la bidouille.
|
| |
|
|
| guignos |
Posted on 04-12-2007 18:12
|
Cache Téton
Posts: 750
Joined: 01/01/2007 21:21
|
je comprend pourkoi l'informatique reste un mystere pour moi  |
| |
|
|
| Galipete |
Posted on 04-12-2007 20:22
|
Cache Téton
Posts: 534
Joined: 02/01/2007 18:09
|
hummm comme guigui .... xD
|
| |
|
|
| bolhrak |
Posted on 04-12-2007 23:12
|
Cache Téton
Posts: 878
Joined: 03/01/2007 19:09
|
Règle numéro 1 : quand un truc est merdique à configurer, recode-le. Bref vire ces merdes de DLINK, fous un modem à la con avec un PC qui sert de routeur, et code le mapping d'IP en dur.
=====>[ ]
Bolnaab,
"Trop de code tue le code"
Edited by bolhrak on 04-12-2007 23:12
|
| |
|
|
| alicardo |
Posted on 05-12-2007 07:38
|
String Ficelle
Posts: 225
Joined: 06/11/2006 04:08
|
CA marche pas car le réseau internet ne sait pas router le packet partant de ton réseau rouge et a destination de 192.168.2.0 Pour la simple est bonne raison que c'est une adressse de type privée.
Même si tu ajoutes la route 192.168.2.0 /24 pointe vers 93.13.13.12, une fois que le packet aura dépassé ton Dlink, et qu'il sera sur internet, le premier routeur qui croisera ton packet le détruira car il aura pour destionation le réseau 192.168.2.XXX
Il faut que tu mettes ton serveur VPN en DMZ avec redirection de port, et que tes machines clientes visent l'adresse publique de ton second réseau.
Tu dois aussi faire attention au SPAT (nat) en fixant que les ports de destination et pas les ports source sinon cela ne fonctionnera que pour un seul PC.
Edited by alicardo on 05-12-2007 07:41
|
| |
|
|
| phaselys |
Posted on 05-12-2007 09:39
|
Body String
Posts: 175
Joined: 27/10/2006 08:48
|
Comme je lui ai dis après c'est la bidouille sur le D-LINK bien sur qu'il faut faire le nat dynamique de son réseau privé vers l'ip public qui lui sera attribué par orange et le faire sur le réseau bleu et rouge. Et aussi faire la redirection de port (port fowarding) |
| |
|
|
| eclair |
Posted on 05-12-2007 15:02
|
Cache Téton
Posts: 683
Joined: 01/01/2007 14:13
|
ou inversement
...
|
| |
|
|
| Arethusa |
Posted on 06-12-2007 09:29
|
Cache Téton
Posts: 917
Joined: 02/01/2007 14:43
|
ouai je voie, mais en fait il faudrait que tout les PC accède au serveur de donnée, après bon, via l'AD la sécurité peut être faite.
Avec cette config, les PC bleu et rouge ne pourrai pas arriver à se pinguer ?
Dans ma tête sa donnerai :
PC1(rouge en 192.168.1.11) veut pinguer PC3(bleu en 192.168.2.12).
Le routeur rouge voie une demande vers 192.168.2.x, et demande donc au routeur bleu de passer le message.
Normalement sa devrai être bon si le routeur rouge comprend :
Toi être dans 192.168.1.x, toi vouloir aller dans 192.168.2.x via 93.13.13.8.
Et sa sa devrai être possible avec la conf de routage dans le routeur rouge :
new IP destination : 192.168.2.0/24
gateway : 93.13.13.8
(Et inversement coté bleu)
Non ?
Sinon merci de m'aider ^^
Ce n’est pas la guilde qui fait le joueur, mais les joueurs qui font la guilde !
|
| |
|
|
| phaselys |
Posted on 06-12-2007 10:56
|
Body String
Posts: 175
Joined: 27/10/2006 08:48
|
LAN A-----routeur A--------------TUNNEL VPN------------routeur B----LAN B
Site A:
ip WAN routeur A : 92.12.12.13
ip LAN routeur A : 192.168.1.100
Site B:
ip LAN routeur B : 95.13.13.8
ip LAN routeur B : 192.168.2.100
L'étape cruciale : il s'agit d'établir un lien sécurisé entre les deux routeurs.
Une fois le VPN établi, les deux réseaux n'en formeront virtuellement qu'un seul.
*Créer une connexion VPN entre les deux routeur :
Sur le routeur A :
Local secure group : 192.168.1.0/255.255.255.0
Remote secure group : 192.168.2.0/255.255.255.0 (LAN -B-)
Remote Secure Gateway 95.13.13.8 (ip public du routeur qui est en face cad routeur -B-)
Sur le routeur B :
Local secure group : 192.168.2.0/255.255.255.0
Remote secure group : 192.168.1.0/255.255.255.0 (LAN -A-)
Remote Secure Gateway 92.12.12.13 (ip public du routeur qui est en face cad routeur -A-)
Voila en gros ce que tu dois configurer sur tes deux routeur.
Si le VPN est connecté correctement, tu dois accéder aux fichiers du serveur en tapant « \\192.168.2.1\ » dans la barre d'adresse d'Internet Explorer par exemple.
J'ai pris un exemple d'un de mes client qui a un VPN site-à-site (network-to-network) entre deux routeur LINKSYS.
Sur tes DLINK la configuration doit y ressemble plus ou moins
La tu vois bien qu'une fois que la connexion VPN est faite, tu n'aura plus
a te prendre la tete sur le routage vu que tu viens de les configurer sur les deux routeurs (ci-dessus). Car quand une machine va pinger une autre machine distant le routeur va directement attaquer l'ip public de l'autre routeur en face.
Edited by phaselys on 06-12-2007 11:17
|
| |
|
|
| alicardo |
Posted on 06-12-2007 11:38
|
String Ficelle
Posts: 225
Joined: 06/11/2006 04:08
|
Ce n'at pas un problème de routage mais d'architecture. Dans tous les cas tu ne poourras pas joindre une adresse en 192.168.XX même si tu indique la gateway deriiere lequel il se trouve. Je te rappel qu'un routeur ne remplace pas les adresses IP, il ne fais que les router (aiguiller).
La meilleur solution est celle de phaselys, ton tunenl VPN doit etre établi entre tes deux routeurs. |
| |
|
|
| Korials |
Posted on 06-12-2007 13:21
|
Cache Téton
Posts: 1274
Joined: 16/03/2007 16:48
|
oui comme dit ali, si tu ne fais pas de vpn entre les deux routeur les packets se perdront une fois en dehors de ton sous reseau. Enfin j'avais cr comprendre que ct le cas.
dites c'est sympa c genre de discution faudrais 'en faire plus souvent, need un fofo juste pour ça ^^ ça me donne envis de ressortir mon simulateur cisco ^^
Malicya - Démoniste - Elfe de Sang - lvl 70
Korials - Guerrier - Orc - lvl 70
Dakotah - Chasseur - Taurren - lvl 70
Korial - Voleur
|
| |
|
|
| Arethusa |
Posted on 06-12-2007 13:44
|
Cache Téton
Posts: 917
Joined: 02/01/2007 14:43
|
Quote ton tunenl VPN doit etre établi entre tes deux routeurs.
ba ouai c prevu, parcontre faut que le routeur le face, il ferai du "VPN passthrough"
donc ça doit pas etre mal lol
et une foi ce vpn étable entre les 2 routeurs, tout le monde devrai se pinguer je pense.
Quote ça me donne envis de ressortir mon simulateur cisco ^^
j'ai les meme à la maison ^^
Edited by Arethusa on 06-12-2007 14:24
Ce n’est pas la guilde qui fait le joueur, mais les joueurs qui font la guilde !
|
| |
|
|
| Korials |
Posted on 07-12-2007 07:21
|
Cache Téton
Posts: 1274
Joined: 16/03/2007 16:48
|
Quote j'ai les meme à la maison ^^
oui j'ai reconnu le schema ^^
Malicya - Démoniste - Elfe de Sang - lvl 70
Korials - Guerrier - Orc - lvl 70
Dakotah - Chasseur - Taurren - lvl 70
Korial - Voleur
|
| |
|
