Alternative à IPCop pour VPN net2net ?

Pause Café
#1

Yo à tous,

Je profite d’un passage pour pêcher quelques infos :033

On m’a chargé au boulot de relier 2 réseaux locaux séparés de quelques kms par une connexion VPN en net-to-net.

Habituellement pour faire ce genre de choses, on utilise 2 IPCop avec le plugin Zerina et la configuration est assez aisée.

Seulement là, on a reçu les machines sur lesquelles on doit mettre IPCop, c’est du matos plutôt récent. Et IPCop avec son vieux noyau ne le reconnait pas.

J’ai compilé la dernière version SVN d’IPCop (1.19.15 et noyau 2.6.32). Le matos est reconnu, seulement ce n’est pas trop recommandé de l’utiliser en prod et le VPN ne fonctionne pas de toutes façons.

Pour le moment, je suis en train de me faire à l’idée que je vais devoir me farcir la configuration à la main. A moins que quelqu’un ici connaisse un firewall user-friendly qui ne soit pas un gruyère et où l’on puisse faire du net-to-net aussi facilement qu’avec IPCop…

Des idées ?

Concernant le matériel, je vous colle un lspci -n à copier sur le site de kmuto :

00:00.0 0600: 8086:2e20 (rev 03) 00:02.0 0300: 8086:2e22 (rev 03) 00:02.1 0380: 8086:2e23 (rev 03) 00:1a.0 0c03: 8086:3a37 00:1a.1 0c03: 8086:3a38 00:1a.2 0c03: 8086:3a39 00:1a.7 0c03: 8086:3a3c 00:1b.0 0403: 8086:3a3e 00:1c.0 0604: 8086:3a40 00:1c.1 0604: 8086:3a42 00:1c.5 0604: 8086:3a4a 00:1d.0 0c03: 8086:3a34 00:1d.1 0c03: 8086:3a35 00:1d.2 0c03: 8086:3a36 00:1d.7 0c03: 8086:3a3a 00:1e.0 0604: 8086:244e (rev 90) 00:1f.0 0601: 8086:3a18 00:1f.2 0101: 8086:3a20 00:1f.3 0c05: 8086:3a30 02:00.0 0200: 10ec:8168 (rev 03) 03:00.0 0200: 8086:10d3

#2

Tu peux tester pfsense : pfsense.com
C’est un firewall basé sur FreeBSD, avec une interface web d’administration.

Après, je n’ai aucune idée de la façon dont le noyau BSD va reconnaitre ton matos, ni de la facilité de mettre en place un VPN avec. Je te laisse voir par toi-même donc…

#3

smoothwall.org/

list des distrib firewall en.wikipedia.org/wiki/List_of_ro … tributions

#4

Merci à vous 2 :023

Je vais étudier vos liens et vous tiens au courant :smiley:

#5

[quote=“kna”]Tu peux tester pfsense : pfsense.com
C’est un firewall basé sur FreeBSD, avec une interface web d’administration.

Après, je n’ai aucune idée de la façon dont le noyau BSD va reconnaitre ton matos, ni de la facilité de mettre en place un VPN avec. Je te laisse voir par toi-même donc…[/quote]

Ma passerelle/firewall est sous pfsense, c’est installé et configuré en 15 mn… C’est très stable, très léger, et avec un accès ssh.
A priori je n’aime pas trop, mais ça fonctionne bien, alors… 8)

Je pense que la 123 ne reconnaitra pas le matos s’il est trop récent, il va surement falloir tester la 2 qui est encore en “beta”…

En VPN sur la 123 tu as le choix entre IPsec, OpenVPN et PPTP. C’est du chinois pour moi… :mrgreen:

#6

C’est ce que je pense également, et c’est pourquoi j’avais testé la beta d’IPCop. Seulement, malgré que le matos soit bien reconnu avec cette version beta, le VPN ne fonctionne pas. :confused:

#7

firewall based slackware , regarde si tout fonctionne corretement pour toi avec celle ci : sentryfirewall.com/

#8

En attendant, j’ai trouvé pourquoi le VPN ne “fonctionnait” pas. Enfin, on m’a aidé quand même :083

La route vers le réseau interne n’était pas ajoutée automatiquement. Il suffisait de faire :

où 192.168.1.0/24 est le réseau derrière IPCop et 10.182.101.5 ma gateway.

#9

C’est du openVPN utilisé sur IPcop?

#10

Oui :smiley:

J’avais également commencé à regarder untangle, il y a également OpenVPN.

Je ne me suis pas encore penché sur les autres cités ci-dessus, car les noyaux par défaut sont trop anciens pour mon matériel… :confused:

#11

[quote=“AnatomicJC”]Oui :smiley:

J’avais également commencé à regarder untangle, il y a également OpenVPN.

Je ne me suis pas encore penché sur les autres cités ci-dessus, car les noyaux par défaut sont trop anciens pour mon matériel… :confused:[/quote]

Super, merci pour l’info/idée !
Je le télécharge pour tester, ça m’a l’air d’être proche de ce que je cherche depuis un moment, et c’est sous Debian si je ne me trompe pas ? 8)
J’utilise pfsense, mais freebsd ça me gonfle un peu, je ne suis pas à l’aise pour bidouiller… :mrgreen:

#12

openvpn marche vraiment très bien, je l’utilise sans arrêt depuis plusieurs mois et intensivement depuis 2 semaines (VPN de 40 machines). Tu peux même faire du VPN dans du VPN sans pbm, c’est remarquablement simple d’utilisation. Une seul doc: man openvpn

#13

[quote=“lol”]…
Je le télécharge pour tester…[/quote]
Pas besoin d’ISO, il existe un script qui fonctionne avec Lenny…

wget http://www.untangle.com/download/install60.sh

Je teste ça dés que j’ai une minute.
Apparement ça installe quelques programmes, un noyau “untangle”, c’est tout… Par contre il faut activer les dépôts “non-free” ce n’est donc pas pour les puristes…

@AnatomicJC : Je m’excuse d’avoir pourri ton fil avec mes soucis au raz des pâquerettes…

:006

#14

Pas de soucis, ça m’a permis de découvrir le script de migration Lenny > Untangle ainsi qu’une bonne liste de Firewalls à tester.

Concernant le non-free pour untangle, il me semble avoir vu passer du java, c’est sans doute pour ça. 8)

Y’a plus qu’à…

#15

Tu peux regarder le T&A, je vais y rajouter quelques compléments, il faudra sunthétiser le tout pour le Wiki…

#16

Finalement, on est reste sur IPCop.

J’ai trouve comment faire, il suffisait de regarder dans les options avancees d’IPCop de la section OpenVPN (option Push routes).

Sinon, sur cette nouvelle version d’IPCop, c’est la version 0.9.5 de zerina qui a ete implementee, et le net2net n’est pas implemente, seulement a partir de la version 0.9.7.

Je vais voir comment integrer cette version 0.9.7, mais c’est chaud, c’est prevu pour la version 1.4 d’IPCop et la gestion des fichiers a change…

On utilise en attendant IPSEC pour le net2net.