pare-feu/accès externes + problemes openVPN/Zerina

[Xzod]

bonjour,

je rencontre une dificulté avec l'option "accès externes" du menu "pare-feu". d'apres la documentation cette fonctionnalité permet d'administrer ipcop depuis l'internet.
il y a deja une ligne par defaut qui ouvre le port 113
j'ai ajouté une ligne pour le port 445, 81 et 222
malgré cela je ne peut pas atteindre ipcop ni en https ni en ssh depuis l'internet. pourtant tout le reste fonctionne parfaitement, comme par exemple la redirection de port (je peux atteindres des pc de la zone verte depuis internet, je sais ce n'est pas bien mais pour mes besoins cela convient)
j'ai absolument besoin d'administrer ipcop depuis l'internet, comment resoudre ce probleme ? (à part utiliser vnc pour atteindre un pc de la zone verte et y administrer ipcop sur ce pc)
je suis en version 1.4.21

merci d'avance

[jdh]

Cette question a été plusieurs fois posée : il y a des réponses en clickant sur le bouton recherche.

(Ce qui est étonnant c'est que la doc a tort semble-t-il !)


Par ailleurs, beaucoup préfèrent installer un vpn (de type Zerina/OpenVPN) puis administrer avec l'ip Green du firewall. Cela parait plus sécurisé. (A moi aussi !)

[Xzod]

merci de la réponse
si la doc a tort, à qui faire confiance ?
je vais donc m'orienter vers zerina/openvpn

merci

[Xzod]

arfff je pensais que ça allait etre simple mais c'est une usine à gaz

j'ai suivi les tutos openvpn à la lettre et ca ne fonctionne pas.
deja y a un truc qui cloche, ici http://zerina.de/zerina/?q=documentation/howtorw-step2
dans "Local VPN Hostanme/IP" il semble mettre une adresse ip privé de l'interface red (dans mon cas c'est 192.168.0.10 donc j'ai mis ça)
le probleme une fois coté client, quand je me connecte, ca me demande le mot de passe, que je tappe, et apres ca essaye de se connecter à 192.168.0.10 sur l'internet ! c'est donc pas bon, alors j'ai modifier le fichier .ovpn et j'ai remplacé 192.168.0.10 par l'adresse ip publique de chez moi du type 86.193.x.x
j'ai relancé la connection, tappé le mot de passe, ca ne se connecte pas, erreur toute les 60 secondes
TLS key negociation failed to occure within 60 seconds
TLS handschake failed
j'avoue que la je ne pige rien, mon architure est la suivante

1) livebox d'orange
ip 86.193.x.x => adresse publique
ip 192.168.0.1 => adresse livebox
ip 192.168.0.10 => adresse ipcop machine
port TCP/UDP 1194 redirigé vers 192.168.0.10 (ipcop machine)

2) ipcop machine
liaison direct à la livebox sur l'interface RED ip local 192.168.0.10
ip interface green 192.168.1.1
j'ai mis le port 1194 dans "accès externes" au cas ou mais cela n'a rien changé

3) switch
liaison direct à l'interface green de l'ipcop, ip du switch 192.168.1.2

voila, qu'es qui cloche avec mon install vpn ?

[jdh]

L'informatique ce n'est pas des "au cas où" ! On ne doit faire QUE ce qui est utile et nécessaire !


En dehors de cet accès externe totalement inutile, ces indications avec des machines non virtualisées fonctionneraient sans doute ! Cherchez le problème !

Comment fonctionne les réseaux "virtuels" de ce virtualiseur, là est la question !

[Xzod]

ces indications avec des machines non virtualisées fonctionneraient sans doute ! Cherchez le problème !

Comment fonctionne les réseaux "virtuels" de ce virtualiseur, là est la question !

pour etre honnete je n'ai aucune idée sur comment fonctionne le reseau virtuel
le fait que le tuto indique qu'il faut mettre une adresse ip privé et que coté client il se sert de l'adresse ip privé pour tenter de se connecter en vpn, cela laisse imaginé que le tuto est erroné ou incomplet.
d'ou si j'ai recours à un tuto c'est parce que, je ne maitrise pas le sujet et s'il est erroné il ne fera que aggraver mon manque de comprehension. sinon, il n'y a aucune machine virtuelle, tous les equipements sont physiques et bien réels, ou alors je n'ai pas compris votre réponse je cherche je cherche mais en attendant je ne trouves pas grand chose

[Xzod]

apres avoir visité tous les liens des 5 1ere pages de google sur TLS key negociation failed, je séches complet, rien de concret, aucune reponse apportée. pare-feu est bien désactivé sur le pc d'ou le client vpn est lancé.
j'ai pu voir certaine chose :

j'ai changé en tcp au lieu de UDP, le message d'erreur à changé, cette fois ci il est clair que le client ne parvient pas à etablir une connexion

ensuite j'ai fait un tcpdump port 1194 et lancé un connexion, rien ne se passe au nioveau du tcpdump, donc ca bloque au niveau de la livebox visiblement, pourtant la regle de direction est bien entré.
j'ai changé le port (des fois que la livebox serait alergique au port 1194), j'ai utilisé le port 60000, mais meme probleme. enfait je me demande si meme un quelconque paquet quite le client, pourtant rien ne s'y oppose (pas de firewall). y a til dautres verifications que je pourrais faire ?

[Xzod]

bon c'est X-FILES là !

j'ai fait un truc farfelu. un truc marche bien c'est VNC sur le port 5902. j'ai donc viré la regle de redirection du port 5902 de ipcop et utilisé ce port pour openvpn.

et la miracle la connexion s'établie ! (ca ne veut pas dire que tout fonctionne, mais c'est un début)
pourquoi sur le port 5902 et PAS sur le port 1194 ou encore 60000 ?!
ce n'est pas logique.....

[jdh]

L'informatique ce n'est pas des "au cas où" !

ce n'est pas logique.....

Si, si c'est logique ! Mais on ne la comprend pas immédiatement ! (C'est vrai pour tous !)

[Xzod]

Si, si c'est logique ! Mais on ne la comprend pas immédiatement ! (C'est vrai pour tous !)

pourquoi ? qu'es qu'ils ont de spécial les port 1194, 60000 ? (sachant que le 1194 est proposé par défault)
d'ailleurs j'ai fait des tests avec d'autres port, y a rien qui marche comme si le nombre de redirection est limité malgré le fait qu'on peut en saisir autant qu'on veut
ca ressemble trop à un bug dans la livebox