prise en main à distance avec SSL

[bleu]

Bonsoir à tous,
Tout d’abord, je tiens à précisé qu’avant de posé cette énigme j’ai déjà fais le tour du forum. Entre autre sur ces quelques pages :
http://www.ixus.net/resume_messages.php?topic=8298
http://www.ixus.net/resume_messages.php?topic=11878
http://www.ixus.net/resume_messages.php?topic=8458
Et bien sûre sur le site ipcop.
Mon pb est le même que « coca-cola » dans cette page http://www.ixus.net/resume_messages.php?topic=11878

J’explique, je travaille sur un VPN avec deux passerelles IPCop 1.3 fixe7.
Toutes les deux sont déclarées chez « dyndns.org » et le VPN fonctionne bien.
Seulement, je n’arrive pas à prendre la main à distance avec SSL. Tout est ok avec SSH à distance mais pas http et https.
J’ai configuré les deux IPCop de la même façon qui est la suivante :
Système/SSH Activé
Service/Accès aux services externes/
• TCP TOUT Default IP 445
• TCP TOUT Default IP 222
On pourrait schématisé mon cas comme ça :

Lan A

IPCopA FAI Wanadoo

-Internet-

IPCopB FAI Télé2

LanB


Le seul moment où je peux prendre la main à distance est quand le VPN est OUVERT. Mais mon objectif n’était pas celui-ci.
Je précise que quand j’observe dans Journaux/Pare Feux :
Sur IPCopA
Les requêtes provenant de l’adresse IP de l’IPCopB ont comme port 81 (alors que tentative de connexion en https://ipcopa:445 ou https://adresse-ip:445 ) ?????

Sur IPCopB
Aucune requêtes provenant de l’IPCopA, alors que tentatives de connexion en http://ipcopb:81 et https://ipcopb:445 ainsi qu’avec adresses IP).
Là ça ne me surprend pas trop, car j’ai vu plusieurs fois sur le forum que Télé2 bloquerait le port 445.

Donc tout cela pour posé deux ptes questions :
•Comment utilisé un autre port que 445 sur IPCopB (à cause de Télé2) ? Je n’ai pas compris les réponses de certains sur le forum (ex Belugha http://www.ixus.net/resume_messages.php?topic=11878 ). De plus, IPCop n’accepte pas le transfert de port sur le port 445, réponse « port utilisé par IPCop ».
•Quelqu’un aurait-il un pt idée d’où peut provenir le problème de connexion à distance avec https (noté en requête http port 81 sur journaux) sur IPCopA. NB :pour ce cas, j’ai bien été modifier mes options sur IE6 pour SSL2.0 et SSL3.0

Merci d’avance

[Franck78]

Donc tout cela pour posé deux ptes questions :
•Comment utilisé un autre port que 445 sur IPCopB (à cause de Télé2) ? Je n’ai pas compris les réponses de certains sur le forum (ex Belugha http://www.ixus.net/resume_messages.php?topic=11878 ).

Belugha demande un truc impossible sans un add-on.
Comme tu as du dyndns, pas d'adresse ip fixe a placer
dans "destination".
Pour ca il y a un add-on qui utilise le commentaire
comme url et le résoud en IP.

Code: Tout sélectionner

Donc il te faut transferer l' ip d'Ipcop: 
Protocol: TCP
DEFAULT IP : l'ip du pc à distance
Port: 445
Destination: l'ip d'Ipcop


Mais de toute facon, je ne comprend pas vraiment ce qu'elle a voulu dire. Autoriser 445 en provenance de ipcopA et le transféré vers ipcobB

De plus, IPCop n’accepte pas le transfert de port sur le port 445, réponse « port utilisé par IPCop ».

Dans /home/httpd/portfw.cgi
tcp_reserved = (81,222,445)
C'est dans une sub de checking. Remplace par
tcp_reseved = (999) par exemple.

Si ca peut aider : La première chose que fait l'appel
d'une page d'administration de Ipcop, c'est vérifier le transport. Si c'est du http il y a redirection vers [meme interface]HTTPS:445
Le "445" est écrit en dur : /var/ipcop/header.pl
dans la première page...


Et pour utiliser autre chose que 445 comme port
d'écoute HTTPS, il suffit de la changer dans Apache.conf (et header.pl pour ne pas se faire pièger).


bye

[bleu]

merci Franck

J'ai fais la modif dans /home/httpd/cgi-bon/portfw.cgi
En fait j'ai juste chager le 445 par 446 (jsp q ça ne gênera pas d'autre processus???).
Sinon, pour les 2 autre je n'ai pas trouvé où modifier dans header.pl. Faut dire que je commence à avoir du mal à lire les lignes tellement il y en a
Et j'ai pas trouvé Apache.conf.
Je vais retesté demain soir après de boulo.
Merci encore
Biz

[Franck78]

Dans header.pl il n'y a que 445 a trouver. Mais il pas très important. C'est au cas ou tu attaquerais en http. Faut le faire exprés.

/etc/httpd/conf/httpd.conf contient ce que tu cherches

[bleu]

Désollé...
Mais je n'y arrive pas.
J'ai fais les modifs dans

/etc/httpd/conf/httpd.conf
avec <IfDefine SSL>
Listen 81
Listen 446

/home/httpd/cgi-bon/portfw.cgi
tcp_reserved = (81,222,446)

/var/ipcop/header.pl
if ( -e "${swroot}/red/active" ) {
if ($ENV{'SERVER_PORT'} =~ '446') {

J'ai fais un transfert de port de
TCP défaultip 446 vers mon ipcop 446
& un accès au services externes
TCP tout vers défaultIP port 446

quelqu'un vient de testé pour moi et rien. Même pas de requête provenant de l'adresse utilisé vers ma passerelle???? Alors je me suis dis, peut être télé2 bloque aussi 446, alors je me prépare à testé 998. Mais déjà de chez moi https://X.X.X.X:998 passe pas.
Est ce que ces modifs sont fausses?
Je vais tt de même testé demain du boulo