NAT des ports pour VPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar calamarz » 22 Mars 2004 12:44

Bonjour a tous, <BR> <BR>Voilà j'ai deja mis des posts sur le sujet mais je n'ai pas eu ma réponse <IMG SRC="images/smiles/icon_frown.gif"> j'ai continué de chercher, j'ai ecris au support Netopia egalement. <BR> <BR>Voila pour resumer j'ai de SDSL su le site principal en plus de l'ADSL et je veux basculer le VPN qui se trouve actuellement sur l'ADSL vers le SDSL. <BR> <BR>J'ai donc mis en place sur ce site un deuxieme IPCOP pour tester le VPN derriere mon routeur Netopia 4553 SDSL sur la nouvelle ligne et ca fonctionne pas. <BR> <BR>Voici un schema: <BR><!-- BBCode Start --><IMG SRC="http://www.pitimousse.webdynamit.net/special/vpnsdsl.gif" BORDER="0"><!-- BBCode End --> <BR> <BR>Bon comme vous pouvez le voir j'ai fais un NAT sur les ports 50,51,500 pour mon VPN (add server list) puis j'ai mis: <BR> <BR>Private @ Public @ Port <BR>132.132.69.252 217.66.x.x 50 <BR>132.132.69.252 217.66.x.x 51 <BR>132.132.69.252 217.66.x.x 500 <BR> <BR>Voila alors la question est : Voyez vous une erreur quelque part ??? car je confond peut etre IP public/privée, ou alors je ne dois pas mettre un DHCP ou alors sur le même plan que le LAN ?? <BR> <BR>Merci d'avance
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar fraedhrim » 22 Mars 2004 18:47

Déjà à ta place j'éviterais le DHCp sur ton interface red. Ca risque de mettre le souk niveau routage. <BR> <BR>De même que tu devrais éviter le 132.132 sur du LAN, pareil tu peux avoir des merdes niveau routage et firewall (tout simplement le netopia pourrait décider que ces adresses normalement publiques n'ont rien à faire de ce côté là de lui-même). <BR> <BR>Pour le reste ??? <BR>
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar tomtom » 22 Mars 2004 22:57

Pourquoi tu ne mets pas le vpn directement sur le netopia ? Ils font ça bien il me semble ! <BR> <BR>Sinon, pour que ca fonctionne en vpn ipsec, il te faut transferer sur IPCop les protocoles 50 et 51, et encore il faut que le routeur fasse du net traversal, ce qui n'est pas garanti (je ne l'ai lu nulle part, donc mauvais signe ! ) <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar calamarz » 23 Mars 2004 18:08

Et bien j'avais nien penser utiliser directement le netopia pour le VPN mais c'est un veau (beaucoup trop lent) donc je prefere utiliser IPCOP. Sur l'explication que j'ai recu du support netopia a priori il faudrait utiliser le netopia en IPSec passthrough (il possede cette fonction) enfin en Nat de ports quoi <IMG SRC="images/smiles/icon_razz.gif"> bon j'ai applique leurs procédures mais cela ne fonctionne pas <IMG SRC="images/smiles/icon_frown.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar fraedhrim » 23 Mars 2004 21:13

Ah nan il ne faut pas confondre VPN passthrough et translation de port. <BR> <BR>Le VPN passthrough te permet de modifier ce qui se trouve à l'intérieur de ton IPSEC pour adapter avec la translation d'adresse. <BR> <BR>Genre si tu as un PC interne en 192.168.0.1 caché en public derrière 194.1.1.1 si tu fais juste de la translation de port quand un client se connecte à ton PC interne via l'adresse publique au cours de la négociation tu as des trames qui contiennent à l'intérieur l'adresse publique (dû au protocole IPSEC avec AH et tout le bazar) qui arrivent à ton PC interne et lui ne comprend pas les demandes de session avec des références à l'adresse publique seule connue de ton client sur internet. <BR> <BR>Je ne sais pas si je me fais bien comprendre mais il faut activer cette fonction de VPN passthrough ou IPSEC passthrough sur ton netopia en plus de faire de la translation de port. <BR> <BR>A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar sbarbier » 24 Mars 2004 18:35

Bonjour au fait pour un VPN en PPTP, il y a combien de ports a forwarder et lesquels exactement.

Merci
Avatar de l’utilisateur
sbarbier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 27 Oct 2003 01:00
Localisation: Boulogne-Billancourt

Messagepar calamarz » 05 Avr 2004 20:17

Bonsoir a tous !!!

Et oui je n'abandonne pas je vais y arriver enfin j'espere bon le tunnel s'ouvre enfin je pense (statut ouvert) mais dès que je passe un ping ou autre le tunnel tombe :x si vous avez une idée ??? :P

Merci
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar calamarz » 06 Avr 2004 15:37

Help me, Please Help me je suis fou de vous !!! bon voila et oui je suis toujours dessus, alors je viens de passer mon routeur SDSL en bridge RFC1483 je le connecte au RED de mon Ipcop 1.3 (avec tous les patchs) et le RED est en fixe avec les parametres de mon FAI (@IP fixe, DNS du FAI et passerelle du FAI) et bien rien !!!! (je precise qu'avec mon FAI je n'ai pas de login ou password en SDSL) c'est mon IP qui sert de login.

Donc pas d'internet et encore moins de VPN !!!!!

:help: merci
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar calamarz » 09 Avr 2004 09:36

Merci beaucoup pour vos aides :( bon j'ai trouve une solution plus simple et qui fonctionne avec du SDSL !!!! alors la solution:
et bien j'ai demande 2 @ IP public:

1--> pour le routeur
2--> pour l'ipcop

Grace a cela mon routeur est transparent et n'est considéré que comme un "relay" donc le VPN passe au travers (le routeur est transparent) :D (car on peut pas faire de NAT sur de l'Ipsec...)

Voila pour j'ai bidouiller la conf du routeur et c'est bon
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité