Re: Pro du routage, au secours ...

Top Page

Reply to this message
Author: Yannick Lecaillez
Date:  
To: guilde
New-Topics: L2TP/IPsec : Un bug ?
Subject: Re: Pro du routage, au secours ...
Le lun 14/06/2004 à 11:54, Jerome KIEFFER a écrit :
> On 14 Jun 2004 11:27:53 +0200
> Yannick Lecaillez <yl@???> wrote:
>
> pourtabt ton modem-routeur-VPN est une autre machine donc la metric en
> prend un coup (-1) sauf si il triche.

c'est un modem/routeur (qui ne route riens du tout d'ailleurs). Ce n'est
pas lui qui fait le VPN. J'utilise superfreeswan sur le serveur avec
l2tpd pour le VPN. Le metric quand à lui est à 0.

> il n'y a qu'une seule route par defaut .... je crois me souvenir que si
> il y en a 2 c'est la derniere qui est utilisée mais je te déconseille
> d'en avoir plusieurs, j'ai deja vu des trucs super bizarre.

Ouaips c'est ce qui m'arrive ... un truc bizarre : Avec deux
routes par défaut : l'ADSL avec un metric de 0 et la SDSL avec un metric
de 1. Tout marche bien : tout le monde va sur le net avec l'ADSL et
personne n'utilise l'SDSL.

    Par contre les clients VPN n'arrivent pas à se connecter. J'ai bien un
message du type  :


pluto[5500]: "sample"[20] 82.122.144.52 #39: responding to Main Mode
from unknown peer 82.122.144.52

pluto[5500]: "sample"[20] 82.122.144.52 #39: Main mode peer ID is
ID_IPV4_ADDR: '82.122.144.52'
pluto[5500]: "sample"[20] 82.122.144.52 #39: sent MR3, ISAKMP SA
established
pluto[5500]: "sample"[20] 82.122.144.52 #40: responding to Quick Mode
pluto[5500]: "sample"[20] 82.122.144.52 #40: IPsec SA established

    Ce qui est, je pense, bon signe. Par contre c'est l2tp qui ne
marche pas. Quand je fais un tcpdump je vois que le client envois des
requête mais l2tp ne répond pas (ou pas sur la bonne interface ... étant
donnée qu'il y à deux routes par défaut ...). Petite précision, j'ai
rajouté ça :


    ip rule add from xxx.xxx.xxx.2 (IP publique du serveur via SDSL)
    ip route add default via xxx.xxx.xxx.1 (IP publique du modem routeur
SDSL). J'arrive à me connecter en SSH via l'SDSL. Mais ça marche
pas pour l2tp ... :(


> tes clients VPN sont ils tous sur la même plage IP ? ou pas ?

Non IP Dynamique.

> si oui, un "route add -net" et c'est bon.
> sinon il faut faire appel a du routage dynamique ou rajouter (à la main
> ou scripter) chaque machine du VPN

superfreeswan le fait automatiquement. Il rajoute une route vers l'hôte
sans gw en utilsant l'interface ipsec0 ...