Tunnel VPN IPSec : trafic hors tunnel dans un sens

Bonjour,

C’est en dernier recours que je me tourne vers vous ! J’essaie de mettre en place un tunnel VPN site à site avec un partenaire.

De leur coté : Checkpoint UMT-1 Edge X8.2.50X

De mon coté : Debian Lenny Noyau 2.6.26-2.686 avec ipsec-tools 0.7.1

Le problème est le suivant :

Le tunnel monte bien, mon partenaire arrive à joindre des postes de mon réseau interne (ping et même RDP).
En revanche je n’arrive pas à joindre des postes de son réseau, et une commande traceroute me montre que le trafic ne passe pas dans le tunnel mais sur l’internet public (serveurs de mon FAI).
Or, puisque qu’un ping vers une adresse de son réseau fait monter le tunnel, les politiques de sécurité semblent être bonnes et bien rediriger vers sa passerelle.

J’ai déjà deux VPN actifs avec d’autres partenaires qui fonctionnent très bien. J’ai regardé du coté du filtrage et du routage, pas de différences entre mes configurations.

Cela va faire une semaine que je suis dessus, et j’y perds mon latin (et ma santé mentale!).

Quelqu’un aurait-il déjà rencontré ce problème ou aurait-il une piste ?

D’avance merci pour votre aide !

qui est le serveur ipsec ?

votre ordi ou alors vous vous connectez sur son serveur à lui.

je connais pas ipsec plutôt openvpn. mais peut être que lui a une passerelle et que seul sa passerelle à lui se connecte sur votre vpn. sous openvpn on crée des common name dans les certificats clients et on donne le réseau lié à chaque common name des certifs clients.

sous openvpn on crée un sous dossier de /etc/openvpn

mkdir -p /etc/openvpn/ccd
ensuite on crée un certificat client qui est par exemple “client22”

client22 est le réseau 192.168.22.0/24

iroute 192.138.22.0 255.255.255.0

et dans le server.conf vous ajoutez

à essayer de faire la même chose en ipsec !!! mais j’ai marqué pour openvpn !

edit : correction de faute d’orthographe.

Merci pour votre réponse.

Dans mon cas nous sommes tous les deux serveurs, puisque le tunnel est censé être permanent et que ma passerelle lui donne accès à mon réseau et que sa passerelle me donne accès à son réseau.

Avec ipsec-tools c’est un peu la même démarche : dans un fichiers on définit les politiques de sécurité sous la forme :

et dans un autre fichiers on définit les paramètres d’authentification.

Ces paramètres seront utilisés par le démon raccon qui gère les négociations phase 1 et 2. Pas de certificats, nous sommes en pre-shared key.

Les politiques de sécurité sont censées apporter un routage implicite des paquets, et dans mon cas cela semble fonctionner puisque si je ping ou traceroute sur une adresse du réseau distant, le tunnel se monte. En revanche, une fois le tunnel monté, un traceroute semble passer “à coté” du tunnel…

[quote=“JuRen”]Merci pour votre réponse.

Dans mon cas nous sommes tous les deux serveurs, puisque le tunnel est censé être permanent et que ma passerelle lui donne accès à mon réseau et que sa passerelle me donne accès à son réseau.

Avec ipsec-tools c’est un peu la même démarche : dans un fichiers on définit les politiques de sécurité sous la forme :

et dans un autre fichier on définit les paramètres d’authentification.

Ces paramètres seront utilisés par le démon raccon qui gère les négociations phase 1 et 2. Pas de certificats, nous sommes en pre-shared key.

Les politiques de sécurité sont censées apporter un routage implicite des paquets, et dans mon cas cela semble fonctionner puisque si je ping ou traceroute sur une adresse du réseau distant, le tunnel se monte. En revanche, une fois le tunnel monté, un traceroute semble passer “à coté” du tunnel…[/quote]

je connais pas du tout ipsec, qui a l’air d’être plus puissant que openvpn.

et en faisant le ping du 10.8.0.1 comme chez moi… sur openvpn lorsque le client demande le vpn y a la creation coté client d’une interface tun0 et aussi une interface tun0 qui se crée sur le serveur linux

donc coté client le routage se mets en place. De votre coté le ping du réseau du client passe pas par l’interface vpn donc il faudrait essayer de mettre une table de routage disant que ça passe par l’interface virtuelle du vpn. le réseau du client

J’ai Fini par résoudre mon problème. Il s’agissait en fait d’un problème de nat. Le script gérant les règles nat était planqué (la passerelle a été installée il y a plusieurs années par mon prédécesseur), et il y avait une règle à y ajouter.