Mise en place du VPN

J'utilise des routeurs Netgear… J'aime bien cette marque… J'ai testé pas mal de modèles et en suis globalement satisfait… En plus leur forum (en français) et très actif et tu peux même tester l'interface de ton futur routeur, et ça, c'est super pratique avant un achat…

Un peu de lecture en provenance de Micro$oft
Encore...
Sinon on peut prendre le problème à l'envers et installer un soft spécifique L2TP/IPsec sur XP…

Je suis allez voir les routeurs Netgear, mais si j'en prends un, je n'est plus besoin de mon mac mini pour faire du VPN vu qu'il le fonds tous. Ou alors pense tu que le mac mini fasse mieux que les routeur NetGear ?

Faut que je fasse des tests avec les lien que tu m'a donné pour faire du L2TP sur windows XP, vista et Seven.

Je reviens sur mon sujet au niveau du firewall, en fait je peu me connecter a tout les poste du mon LAN sauf le serveur mac mini, j'ai erreur suivante dur ipfw.log :

Deny TCP 192.168.0.50:548 192.168.0.45:52558 out via ppp0

C'est quoi ce port 52558 ???

titounes a écrit:

Par contre je vais avoir des poste sur windows qui vont avoir besoin de ce connecter en VPN, donc d'apres ce que tu viens de me dire cela ne va pas être possible en L2TP, je vais devoir faire fonctionner le PPTP je vais donc me retrouver avec le même problème que toi.

à la différence que dans ton parc de machine XP, tu peux tres bien tester et installer un soft qui gère le L2TP, comme le dit si bien Franck.
Moi, le but, c'est que je puisse m'y connecter depuis n'importe quelle machine, d'où mon "besoin" (qui est plus une envie, vu que c'est purement personnel) d'être le plus standard possible.
Ceci dit, les machines de particuliers en xp se font de plus en plus rares, et Seven gère le L2TP.

Autorise le port 548 et le port 52558 sur ton firewall pour voir…

Je vais devoir me stopper la pour ce soir a cause des grèves.

Je test cela demain matin et te tiens informé.

Par contre j'ai modifier la règle "Autorisé tout le trafic" par "Autoriser uniquement le trafic vers ces ports" en cochant la totalité des cases et la cela marche.

il doit y avoir une securité pour ne pas pourvoir se connecter au serveur vpn, j'appronfondi cela demain matin.

ok moi aussi je me sauve pour cause de grève !

titounes a écrit:

Par contre j'ai modifier la règle "Autorisé tout le trafic" par "Autoriser uniquement le trafic vers ces ports" en cochant la totalité des cases et la cela marche.

Ouh lala !! une sacré bonne piste à explorer, ca !
je teste ca de mon coté, c'est un tres bon pas en avant !

Citation :

ok moi aussi je me sauve pour cause de grève !

c'est LAA LUUUUTEE FINAAAALLEU




désolé

juste une remarque sur :

Citation :

J'ai créer 3 groupes d'adresse : any ; 192.168.0.0/24 pour le réseau local ; 192.168.0.4 pour moi
Au niveau des service j'ai sélectionné :
"Autoriser uniquement le traffic vers ces ports " en ne cochant aucune case pour any
"Autoriser tout le trafic" pour 192.168.0.0/24 et 192.168.0.4

192.168.0.4 n'est-il pas inclus dans 192.168.0.0/24 ?
autre chose, dans

Citation :

Oct 20 11:39:40 cgpi-associes ipfw[170]: 65534 Deny ICMP:0.0 192.168.0.50 192.168.0.42 out via ppp1

pour moi le out est important :
le serveur reçoit bien ton paquet, mais s'interdit de transmettre la réponse via ppp1

Alors, mes tests du soir :
- VPN ON
- Parefeu ON
--- Any : Http ok, https non
--- lan : autoriser tout le trafic.
-> iphone en vpn, pas de surf possible sur pages HTTPS

--- Any : https devient ok
-> surf possible

puis
--- Any : http ok, https non
--- lan : http ok, https ok
-> surf possible sur http et https

Donc ta piste est la bonne. "autoriser tout le trafic", c'est pas bon !mais autoriser les choses explicitement, c'est bon !
Ah, la sécurité !!

Donc tres bon pas en avant ! merci !

Alex_ a écrit:

juste une remarque sur :

Citation :

J'ai créer 3 groupes d'adresse : any ; 192.168.0.0/24 pour le réseau local ; 192.168.0.4 pour moi
Au niveau des service j'ai sélectionné :
"Autoriser uniquement le traffic vers ces ports " en ne cochant aucune case pour any
"Autoriser tout le trafic" pour 192.168.0.0/24 et 192.168.0.4

192.168.0.4 n'est-il pas inclus dans 192.168.0.0/24 ?

Si mais le but ici doit être de permettre plus de truc depuis ma machine que depuis le reste du réseau local.

alors dans ce cas effectivement tu peux fragmenter bien sur ;
je voyais juste la phrase "Autoriser tout le trafic" pour 192.168.0.0/24 et 192.168.0.4

au temps pour moi

Bonjour,

je ne comprends pas, ce matin la connexion vnp ne fonctionne plus.
Même avec le firewall désactivé

je refait tous mes tests

ça doit être les grèves…

C'est ma livebox qui c'est mise en grève, j'ai remis le mac mini en DMZ la connexion VPN c'est faites, j'ai enlever le mac mini de la DMZ et la connexion c'est faites aussi.

retour a la case départ, et l'étude des ports

Je doit avoir un probleme avec ma Livebox, j'ai essayé de me reconnecter de chez moi sans succès.

A mon arrivé au bureau, j'ai du remettre le mac mini sur la DMZ, la je me connecte sans souci, je supprime la DMZ et là la redirection des ports refonctionnent.

Franck pense tu que le routeur NETGEAR RP614 soit suffisant pour mes besoin ?

Que disent les spec du RP614 ?

POINTS PRINCIPAUX
Switch 4 ports 10/100 intégrés
Routeur compatible avec les offres ADSL 2+
Support PPPoE/NAT/PAT
Redirection de ports statiques (Port forwarding)
Redirection de ports dynamiques (Port Triggering)
Serveur DHCP (253 utilisateurs)
Accès au Web contrôlé (heures de connexion, filtre d'URL par mots clés)
Véritable Firewall avec SPI (Stateful packet Inspection), contrôle d'intrusion, DoS (Denial of Services), remontée d’alertes
Configuration via agent WEB
Support VPN Pass Through
Support UPnP
Prise en main à distance configurable
Câble réseau fourni
Garantie 3 ans
Assistance téléphonique gratuite* et illimitée 6j/7
* hors coût de la communication téléphonique (0.118€TTC/min)

****************


Par contre je pense que j'ai trouvé le problème avec les blocages que j'ai avec ma Livebox, j'ai ouvert le port 4500 en UDP en plus du port 1701 et 500. J'attends quelque temps pour voir si mon problème est réglé.


Pour ce qui est du problème d'acces en AFP et SMB à partir du moment ou j'était connecté en VPN, j'ai trouvé le problème qui empêchait la connexion, j'ai décoché chacune des cases une par une en testant de nouveau à chaque foi, et tout refonctionne depuis que j'ai coché les cases "TCP (sortant)" et "TCP (établi)" qui n'ont pas de numéro de port.
J'espere que cela va regler tes problème mout

Reste mon problème de lenteur lors de ma connexion admin serveur que j'ai mis dans mon autre post.

Oui ton routeur me semble adapté à tes besoins…

J'avais une question concernant la distribution des adresses ip.

J'ai un serveur dhcp pour les machines et j'ai placé 200 Ip dans le range.
Le reste, j'ai besoin de 30 ip pour les bornes/scanner/imprimante/serveur/routeur...
Donc, il me reste 20 IP dispo environ.

Si je le paramètre comme ceci (voir photo), je vois qu'il y a un possibilité d'adress ip en grappe.
Cela veut dire que techniquement, si je crée 20 ip (dans l'exemple il y en a 5) pour le vpn, je pourrai aisément connecter plus de 20 users?

Et la durée des baux dhcp sera la même que celle du dhcp du serveur donc?

ton adresse IP est unique sur un réseau donné à un moment donné. Ce qui fait que s'il te reste 20 IP disponibles, tu peux les mettre, mais tu n'auras jamais que 20 connectés maximum au VPN. ceci parce que le VPN sera bien incapable de fournir plus d'IP, et aussi parce que ton réseau sera plein.

Une solution simple est de changer de plan d'adressage IP.
dans une IP 192.168.0.4, la partie qui délimite le réseau, c'est 192.168.0, et la machine, c'est .4, avec 253 possibilités au maximim
si tu prends le réseau 172.16.0.4, tu as le réseau 172.16, et les machines .0.4, avec 253 x 253 possibilités ! soient 64 000 machines différentes.

Oui d'acccord.

Le grappage d'adress ip que propose le vpn ne permet-il pas d'attribuer plusieurs adresse "grappe" d'adresse ip au départ d'une seule?

Donc, il faudrait que j'aille dans le serveur dhcp et que je crée un sous-réseau 192.168.1.X dans ce cas? Sur le même eth0 vu que je n'ai qu'une seule carte réseau sur le mini. Est-ce bien cela?

non.
le serveur DHCP donne des IP pour les clients locaux.
en ce qui concerne le VPN, ce n'est pas lié. c'est au serveur VPN à qui tu donnes une range d'IP qui seront réservées aux clients VPN. ce sera par le protocole dhcp, mais ce n'est pas le service dhcp qui va le faire.

quant à un sous réseau 192.168.1.0, il ne verra pas le premier

ah ok.

Donc, si mon lan est configuré en 192.168.0.X
et que je place mes adresses ip dans le service vpn : 192.168.1.1 à 192.168.1.254 cela va fonctionner? Même si mon service dhcp possède un dchp range en 192.168.0.X si je comprends bien?


PS : j'ai encore dû demander une ouverture des ports 1701 et 1723 à belgaconne. J'espère que ce coup ci ils percuteront