problème PPTP avec SME

[neuneu]

Bonjour,

je n'arrive pas à atteindre E-Smith en PPTP de l'extérieur par VPN
(j'aimerais pouvoir présenter des logiciels fonctionnant sur le serveur à distance avec un moyen plus sécurisé que le FTP)

Sous les conseils de jibe (Vice-Amiral), j'ai simplifié ma config serveur en enlevant le DHCP :
toujours le même pb de PPTP et sans celui-ci, je ne peux plus obtenir de réponse positive au commande 'ping' ou 'tracert' vers un domaine extérieur au réseau local.

HELP




NB: ce petit post à été réédité pour clarifier le problème et n'est plus celui d'origine. Il ne correspond plus tout à fait avec les 4 posts suivant

ancien post:
Bonjour,

je suis tout nouveau comme inscrit et j' ai déjà pas mal usé de votre science écrite dans ce forum en tant que visiteur anonyme mais là, ça y est, j'ai un problème qui me dépasse et je ne trouve pas de soluce...

j'explique : je fait partie des fous sympatiques qui se lance à la conquête d'E-smith et qui, pour premiers travaux pratiques (sans même connaître linux), se lance dans la recompilation du noyau pour adapter un modem USB et obtenir une connexion Internet un peu plus sécuriée qu'avec du "vindoze"

cf:"comment installer le Modem Sagem Fast800 USB sur SME"

ça marche mais avec quelques problème : j'ai eu Internet au bout d'1 mois jusqu'à ce que je perde la connexion (juste Internet) entre mon serveur et ma machine de travail. Pour palier le problème j'ai modifié ma config sous windows pour obtenir Internet en passant par le proxy d'E-smith au lieu de celui de mon fournisseur (changement des DNS etc...).

J'ai alors récupérer ma connexiobn à Internet, pour les mails, j'ai installé fetchmail, mais impossible de réaliser un accès PPTP de l'extérieur et bizarre, j'ai Internet mais je ne peux obtenir de réponse positive au commande 'ping' ou 'tracert' vers un domaine extérieur comme free.fr ou tiscali.fr.


j'ai fouillé dans messages.log et j'ai ce que je suppose être une erreur:

"une date" "nom local du serveur" kernel: denylog:IN=ppp0 OUT= MAC= SRC=...

cé bien joli tout ça mais ça veux dire quoi ???

[jibe]

Bonjour et bienvenue sur Ixus !

Ne sois pas timide à ce point ! Puisque tu es déjà venu nous rendre visite plusieurs fois, tu dois savoir qu'on ne mange personne ici ! Et s'il t'est arrivé d'assister à quelque prise de bec, c'est en général avec des membres qui se foutent de la charte et refusent de comprendre que chacun est prêt à les aider, mais qu'ils doivent montrer un peu de respect pour les règles de la société dont ils voudraient être membres et pour ceux qui, bénévolement, tentent de les aider.

Tu as essayé de donner des détails. Il te reste à apprendre à donner les bons détails, mais ça ce n'est pas très évident au début ! Essaie de laisser de côté ce qui est peu important et d'être plus clair sur ta question. Là, tout est un peu confus, et on a du mal à faire la part des choses (et donc à t'aider) entre les messages d'erreurs qui n'ont pas forcément à voir avec le vrai problème, tes difficultés de connexion et tes installations/configurations successives.

Ceci vient probablement du fait que quelque chose n'est pas très logique dans ta démarche. Tu dis être débutant et ne rien connaitre à Linux, mais tu compiles le noyau et cherches à faire du tunelling... Il y a deux solutions :

- Soit tu veux aller trop vite. Prends le temps d'apprendre les bases de Linux, de connaitre ta distrib et de travailler avec. SME est, je dirais, une distrib complexe facile à installer. Un débutant peut l'installer et la configurer et, en très peu de temps, avoir un serveur passerelle fonctionnel avec quoi il peut déjà faire beaucoup de choses intéressantes, suffisantes dans bien des cas. Pour ajouter des fonctions, il faut non seulement bien connaitre Linux, mais aussi les particularités de la SME qui en font une distrib assez déroutante pour ceux qui en découvrent les entrailles. Ne tentes des expériences (compil du noyau, installation de fetchmail etc.) que lorsque tu es certain d'avoir compris les bases nécessaires.

- Soit tu es un imposteur. Excuse-moi de faire cette supposition que j'espère bien déplacée à ton égard. Mais cela arrive tellement de plus en plus fréquemment (rançon du succès !) que certains se fassent passer pour des newbies juste histoire de faire un beau troll et d'y insulter tout le monde qu'on devient méfiants... Et qu'un newbie qui fait du PPTP sur sa SME, on trouve ça un peu bizarre.

Alors, si tu es dans le premier cas, ce que j'espère, commence par visiter des sites tels que Léa pour être en mesure de poser des questions claires et précises auxquelles les membres d'Ixus se feront un plaisir de répondre.

P.S. : il n'est pas sûr que le message que tu cites soit en rapport avec ton problème. Tu devrais changer ton titre pour qu'il soit plus en rapport avec ton problème... A priori, il m'a fait penser à une tentative d'intrusion rejetée...

[sibsib]

j'ai fouillé dans messages.log et j'ai ce que je suppose être une erreur:

"une date" "nom local du serveur" kernel: denylog:IN=ppp0 OUT= MAC= SRC=...

Salut, et bienvenue,

denylog : le titre générique du firewall de SME, quand il enregistre une action non autorisée.

Il faut savoir que le fierwall de SME laisse pratiqement tout sortir, donc, à 99%, un denylog correspond à une tentative de connexion de l'extérieur.
Si tu laisse ta machine allumée tout le temps, tu vas vite en avoir beaucoup, des denylog. A la limite, ce qui serait inquiétant, ce serait de ne pas en avoir.

Maintenant, si tu veux en savoir plus sur une attaque précise il nous faut tout de même le port local.
(Normalement, çà correspond au chiffre qui suit DPT - à vérifier : c'est le cas si l'adresse affectée par ton FAI est dans la section DST)

A+,
Pascal

[neuneu]

tout d'abord merci de vous pencher sur mon petit problème

Ensuite, pour répondre au doute de jibe : non, ceci est loin d'être une imposture, mais bien les délires de quelqu'un qui "veux aller trop vite", plus précisément un étudiant développeur d'application informatique.
En fait j'aimerais pouvoir présenter certain logiciel à distance. Je les ai mis dans la baie Primary et je cherche une façon pour pouvoir l'atteindre pour y faire des modifs 'en live'. J'ai auparavant testé la méthode en ftp mais cela ne marche pas avec n'importe quelle système d'exploitation vindoze et on m'a parlé de PPTP alors... je test.
Il faut plutôt dire que je m'intéresse surtout à l'utilité d'e-smith plus qu'à sa composition en détail pour l'instant.
Ah oui, une question : j'ai entendu parlé d'une asso qui porte le nom de "la Troll", mais je ne suis pas sûre que cela ai un rapport avec le "histoire de faire un beau troll". Je ne connaissais pas l'expression...

Maintenant, pour SibSib:

les chiffres qui suivent DST:
d'après la page web "vérifier la configuration" de e-smith, c'est "l'Adresse IP externe / masque de sous-réseau".
avec tracert j'ai eu l'info dyn-83-156-165-126.ppp.tiscali.fr, un début de chemin avec les infos des serveurs par lesquelles je passe mais il termine par "impossible de joindre le réseau de destination"

le DPT:
j'ai eu une fois 1026 son nom serait 'cap' Calendar Access Protocol et ça à l'air d'être un bidulle pour vindoze : ms-svchost Microsoft Generic Service Host (j'ai eu les infos sur http://grc.com en testant mes ports. J'en ai d'ailleurs 4 d'ouvert :
le 25, le 80, le 113 et le 443 mais on m'a dit que c'était normal.
tous les autres sont dit "stealth" donc blocké par un truc ISP, je ne sais réellement ce que c'est mais si ça bloque...tant mieux !!!
autremenent, le plus souvent c'est 135 (epmap) et 445 (Microsoft Directory Service), le premier serait en rapport avec "DCOM Service Control Manager" et le deuxième avec "Samba" ou "Netbios". C'est peut-être moi en testant le ftp ou une connexion VPN de l'extérieur.

Voilà tout ce que j'ai pu trouver comme info.

Enfin, je pense à aller faire un saut visiter http://www.lea-linux.org et pour "laisser de côté ce qui est peu important et être plus clair dans ma question" j'essai de reformuler :

Comment résoudre des problèmes de connexion VPN avec le système PPTP de E-smith

voilà le message d'erreur que j'obtiens lorsque je tente d'accéder à mon serveur de l'extérieur:
enregistrement sur le réseau...
Erreur 734 : Le protocole de contrôle de liaison PPP a été arrêté.
-précision sur l'erreur 734 :
"une conversation de protocole de contrôle de liaison PPP a commencé, mais a été interrompue à la demande de l'ordinateur distant. Une erreur est survenue sur le serveur. Consultez votre administrateur système. En outre, pour identifier plus facilement le problème de négociation PPP, votre administrateur système peut activer la journalisation PPP à l'aide de l'utilitaire Netsh.exe"



Ah oui, pour le problème d'obtention de réponse positive quand j'exécute les commandes 'ping' ou 'tracert' et l'obligation de passer par le proxy de e-smith pour avoir internet, j'ai découvert que cela venait du DHCP : e-smith propose de délivrer des adresses de
xxx.xxx.xxx.65 à xxx.xxx.xxx.250 or j'avais spécifié une l'adresse pour ma station de travail à xxx.xxx.xxx.2, soit hors de cette plage.

Depuis que je laisse le serveur atttribuer lui-même l'adresse à ma machine, ça marche !!! (Je ne comprend pas trop pourquoi mais au moins je peux écarter ces problèmes)

Pour le sujet : ce serait peut être mieux "problème PPTP avec SME" (je préfère prévenir du nouveau titre avant de le changer)

@+

[jibe]

Salut,

Un peu pressé, je donne juste une ou deux idées, peut-être pas très bonnes... A voir !

- Titre : Il me parait déjà beaucoup mieux ! Edite ton 1° post et change-le, quitte à le re-modifier si tu as une meilleure suggestion, mais là au moins c'est déjà bien plus clair !

- PPTP : Est-ce bien indispensable de travailler avec PPTP ? SSH ne ferait pas ton affaire ? (pardon, j'ai parcouru très rapidement et la réponse est peut-être déjà dans tes explications !)

- DHCP : Tout le monde n'est pas de mon avis, mais pour moi employer DHCP pour des petits réseaux est se compliquer beaucoup la vie pour aucun avantage. Je n'ai jamais éprouvé le moindre besoin d'utiliser DHCP pour des réseaux de moins de 30 postes et j'ai souvent vu des gens s'emm... lorsqu'ils ont voulu le faire. Pour moi, DHCP a deux raisons d'être :

• Pour un FAI en RTC qui a presque forcément moins d'adresses que d'abonnés,
• Quand on a un réseau de quelques milliers de postes, pour éviter de se casser trop la tête à faire un plan d'adressage correct et à configurer tout ça.

Donc, pour ton cas, je virerais DHCP et mettrais tout en adresses fixes. Imagine le temps gagné et les cheveux arrachés en moins si tu l'avais fait dès le départ ! Rappelle-toi toujours que les solutions les plus simples et les moins automatisées sont souvent les meilleures...

Allez, bon courage !

[neuneu]

ça y est message réédité !