Forum Mac Os X server

Forum francophone sur les technologies serveur d'Apple
 
AccueilAccueil  FAQFAQ  RechercherRechercher  S'enregistrerS'enregistrer  MembresMembres  GroupesGroupes  Connexion  

Partagez | 
 

 VPN et parefeu

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: VPN et parefeu   Jeu 14 Oct - 20:05

Salut !!

Je crois que j'ai tout mis par terre, mais je ne sais pas où.

voila. j'ai monté le serveur VPN pptp, et celui ci fonctionne depuis l'exterieur.
A cause du protocole GRE, mini est en DMZ, donc pour le protéger, j'ai allumé le coupe feu.
le coupe feu accepte tout le trafic depuis mon réseau privé, et un certain nombre de chose depuis "Any" c'est à dire depuis le reste du monde. par exemple, il accepte le VPN, le service FTP mais pas le serveur Web.

si j'ai bien compris le principe, lorsque ma machine distante est connectée en VPn, elle se comporte comme si elle était dans mon réseau. pour preuve, elle reçoit une IP qui est dans mon réseau privé.



mais pourquoi, une fois dans le VPN, ma machine a-t-elle du mal à surfer ? quels sont les choses à ouvrir ?
certains site sont inaccessible (www.hotmail.com), d'autres fonctionnent (www.mon-ip.com, ce qui, d'ailleurs, me permet de constater que le VPN est bien monté)
D'autre part, je ne parviens pas à pinguer une machine connectée en VPN...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Jeu 14 Oct - 21:51

Bon, alors je crois que j'ai trouvé.
tous les sites qui ne fonctionnent pas sont des sites https. en fait, je suis obligé d'ouvrir le port 443 meme si je n'héberge aucun site en 443 sur Mini pour que les machines en VPN puissent acceder aux sites https...
Ca m'embête parce que si je veux utiliser un service via VPN, alors que mon Mini ne le fait pas, ca ouvre une breche.

ou alors il y a une subtilité, un truc à cocher, un service à activer... bref, cette situation ne me plait guère...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 10:05

Comme tu rentres et tu sors en 443 tu es bien obligé d'ouvrir ce port à priori… J'avoue n'avoir jamais fait le test ou alors ton firewall est trop restrictif…
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 11:16

en fait, aux premiers temps du VPN chez moi, j'avais mis en place le L2TP, avec forwarding de ports UDP. tout allait bien, Mini n'était pas en DMZ, je faisais ce que je voulais une fois connecté. je pouvais même regarder la télé, souviens-toi !

l'inconvénient du L2TP, c'est qu'XP ne connait pas. aussi, j'étais obligé de passer en PPTP. et PPTP, il faut le protocole GRE, que la freebox ne considère pas. obligé de mettre Mini en DMZ, et donc obligé d'ouvrir la page Firewall

et c'est la que ça a merdé... J'ai commencé par tout interdire, puis réautoriser les ports selon les services les uns apres les autres. FTP, HTTP, VPN evidemment... Mais c'est pas évident du tout.

Franck a écrit:
Comme tu rentres et tu sors en 443 tu es bien obligé d'ouvrir ce port à priori
ben... ce n'est pas Mini qui héberge le site en 443. Mini, lui, il ne sert que pour le VPN.

Quand je surfe depuis Mini (en local, donc) vers 443, alors que le port est fermé, j’accède à tout.
mais quand je surfe sur un site https depuis mon client VPN connecté à Mini, ca passe pas. alors la question est plutôt : quel est le chemin exact de mes requêtes lorsque je suis en VPN ? y a-t-il un port spécial à ouvrir pour de la redirection ? mon but, c'est qu'à travers le VPN, ma machine distante se comporte comme si elle était dans le réseau local, avec les droits qu'elle aurait à la maison.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 11:19

Et si tu désactives ton firewall, tu accèdes aux sites https ?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 11:25

bien sur !
Mais du coup ma machine (en DMZ) devient vulnérable car tout le trafic est accepté. et par voie de conséquence, mon réseau, mon téléphone, mon mac, le pc de mon coloc, ma télé, mon frigo, ma cafetière, mes stores... (non, je te rassure, je n'ai pas encore tous ces équipements !)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 11:37

Tu as regardé la doc Apple sur le Firewall par rapport aux https ?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 11:45

mais le problème n'est pas que pour https.
le vpn pourrait me permettre d’accéder au partage d’écran. si je doit ouvrir ce port, tout le monde peut accéder à ma machine (pour peu qu'il ait le mot de passe), alors que je veux conditionner cet usage au VPN ou au réseau local.

pour la doc, j'ai pas fini de la lire.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 12:12

Tu peux définir des droits d'accès à chaque Service…

Tu peux aussi compliquer la vie des "méchants" en changeant le port VPN de ton routeur…
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 14:41

oui, ca c'est bon je peux ouvrir des droits pour un service donné. mais justement.

1 / depuis une machine du réseau, le coupe feu dit : Autoriser tout le trafic. donc tant que t'es dans le réseau local, t'as accès à toute la machine.

2 / depuis une machine hors réseau, le coupe feu est actif et n'autorise que certaines choses. par exemple, le ftp. j'ai donc pas besoin de VPN pour faire du FTP depuis chez mes parents.

lorsque ma machine est en VPN, je veux qu'elle soit considérée comme le choix 1/. Et ce n'est pas le cas. si je veux prendre le contrôle de Mini, je dois, même en VPN, ouvrir le port 5900 vnc sur Mini, ce qui fait que Mini devient contrôlable via vnc par n'importe qui. et je ne veux pas. je veux interdire les choses pour tout le monde, mais permettre depuis mon réseau local. et c'est ce que je veux que le VPN fasse.

J'arrive peutetre pas à mettre les bons mots sur ma question...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 15:17

J'ai du mal à suivre, si tu autorises un utilisateurs et uniquement lui à accéder au VPN, il sera de facto le seul à pouvoir s'y connecter… Qu'il soit en local ou distant…
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 15:43

il n'est pas question d'utilisateur, puisque c'est toujours moi.

je vais scénariser.

je suis chez moi, dans mon canapé, avec le MacBook connecté à la freebox.
Mini est à coté de la tv, il sert de mediacenter, mais aussi de petit serveur domestique, connecté à la freebox en DMZ. Nous sommes d'accord, tout ce que reçoit la freebox est redirigé vers Mini. c'est le principe de la DMZ version freebox.
Nous sommes tous les deux, Mac et Mini (avec en plus la patte "locale" de la freebox) dans le réseau 192.168.0.0/24
Mac accède à l'intégralité de Mini car le parefeu de Mini autorise tout le trafic depuis 192.168.0.0/16

bien.

je vais chez mes parents. J'ai besoin d'un document sur Mini.
Je me connecte en FTP car le parefeu de Mini autorise FTP depuis l'extérieur (groupe d'adresse Any)
Ah, zut, je ne l'ai rangé où il faut. je décide de monter le VPN afin d'utiliser la fonction partage d'écran de Mini, car il ne l'autorise pas pour Any.
Je monte le VPN, je reçois une IP 192.168.0.70. je suis donc dans le réseau local.

pourquoi diable Mini ne me permet pas l'accès à partage d'écran ???
pourquoi dois-je autoriser VNC pour Any, alors que pour 192.168.0.0/16, tout le trafic est autorisé ?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 15:55

Donc si je comprends bien le partage d'écran n'est pas possible sans passer par le VPN alors que ton serveur est dans la DMZ de ton routeur c'est bien ça ?

Si oui alors c'est que ta Box bloque le partage d'écran malgré la DMZ ce qui me surprendrait grandement ayant une freebox et faisant du partage d'écran en direct tous les jours sans souci…
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 16:21

Franck Mereo (zekiller28) a écrit:
Donc si je comprends bien le partage d'écran n'est pas possible sans passer par le VPN alors que ton serveur est dans la DMZ de ton routeur c'est bien ça ?
Non, ca c'est le comportement voulu. ce qui n'est pas voulu c'est que *malgré le VPN connecté*, le partage d'écran n'est pas disponible.

pour que ca marche dans le VPN, j'ai constaté qu'il me fallait ouvrir le port dans le coupe feu, pour Any. mais si je fais ca, alors le partage d'écran *est* disponible sans passer par le VPN, et ca, je ne veux pas !

[/quote]Si oui alors c'est que ta Box bloque le partage d'écran malgré la DMZ ce qui me surprendrait grandement ayant une freebox et faisant du partage d'écran en direct tous les jours sans souci…[quote]Non, ca bloque au niveau du Coupe feu. si j'eteinds le coupe feu, tout est disponible avec ou sans VPN, de partout. LAN, WAN...

Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Franck Mereo (zekiller28)
Admin
avatar

Nombre de messages : 3039
Age : 43
Localisation : Paris
Date d'inscription : 09/10/2006

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 16:25

OK donc c'est bien un souci de réglage VPN… De mémoire tu as une prioritisation des règles dans le firewall… Tu n'as pas un truc qui autorise AVANT d'interdire le même truc ou inversement ?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: VPN et parefeu   Ven 15 Oct - 16:41

J'y ai pensé, mais ce qui m'ennuie, c'est que, sans rien toucher au VPN, je coupe le firewall (donc tout est permis pour tout le monde), et je n'ai plus le problème.
J'en conclus que c'est un problème au niveau des règles de firewall, mais c'est peut-être une conclusion hâtive.

je vais continuer à chercher du coté du VPN.

les constatations exactes ont été faites sur les sites https. si j'ouvre l’accès à 443 sur Mini, alors les machines en VPN accèdent aux sites https. sinon, je me brosse.
et lorsque je coupe même le port 80n (donc pour mon propre serveur web sur Mini), le surf sur des sites classiques est donc interdit ou plutôt "en attente de connexion" interminable pour une machine en VPN.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: VPN et parefeu   

Revenir en haut Aller en bas
 
VPN et parefeu
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» BBox parefeu ?
» Problème Parefeu BBOX
» Tutoriel de Jetico Personal Firewall
» Desinstallation comodo
» [Résolu] Pare feu Zone Alarm compatible avec Windows 7 ?

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum Mac Os X server :: Services réseau-
Sauter vers: