Gestion des règles impossibles sur DFL-210

[yzak]

Bonjour,

Je travaille ponctuellement pour une PME qui vient de faire l'acquisition d'un D-Link DFL-210.
Pour commencer j'ai passer une demi journée pour changer l'adresse IP... non sans rire. Le fameux "Save and Active" ne fonctionnait pas, il a fallu que eteindre électriquement le DFL pour que ca fonctionne ?
Ensuite j'ai configuré le DFL comme passerelle internet en PPPOE (modem connecté sur le port WAN), jusque là tout va bien !
Là ou je galère c'est sur les règles VPN. Aujourd'hui les connexions VPN entrantes sont gérées par un serveur membre de l'AD.
Dans un premier temps je pensais configurer le DFL pour laisser passer la connexion mais rien a faire mais si les ports sont ouverts, le 1723 est droppé !
Par la suite je souhaitais que le DFL prenne le rôle de serveur VPN avec authentification AD mais comme j'arrive même pas à mettre en place des règles simples, je n'imagine même pas comment je vais galèrer pour la suite.
Est-ce que quelqu'un pourrait m'aider car je craque, j'ai passé tout mon samedi et dimanche chez le client pour rien.
Merci beaucoup !

Yzak

[jdh]

Bonsoir.

Il est surprenant que l'on choisisse un matériel puis on s'intéresse ensuite à sa config et à son intégration dans le réseau. Enfin, moi je fonctionne dans le sens inverse : quel matériel est adapté aux besoins ?

Dans la doc du Dlink, je lis

The DFL-210 can support IPSec, PPTP, and L2TP protocols in Client/Server mode and can handle pass-through traffic as well.

Cela semble indiquer que ce matériel peut-être serveur L2TP (ou moins bon PPTP) voire transférer le traffic vers un serveur interne.

La logique est généralement de réaliser le vpn au niveau du routeur/firewall (indépendamment d'un AD local). En regardant le manuel en français, on ne trouve d'ailleurs pas d'info pour un lien avec un AD local : d'ailleurs il y a une gestion d'utilisateurs prévu dans le firewall.

En effet, quand un serveur windows agit en serveur VPN (on ne sait d'ailleurs pas quel proto vous utiliser ! Ce doit être PPTP mais ...), il faut faire des renvois de trafic et pas seulement en tcp ou udp. Et généralement sur ce type de routeur/firewall, on ne décrit souvent que tcp/udp.

Par exemple sur http://www.chicagotech.net/vpnsetup.htm on lit :

NOTE: If VPN traffic is traveling through a router or firewall, configure the router or firewall to pass PPTP (TCP Port 1723 and IP Protocol ID 47 [GRE - Generic Routing Encapsulation]) or L2TP over IPSec (UDP Port 500 and IP Protocol ID 50 [Encapsulating Security Payload]) traffic to and from the VPN server.

Bref, il y a intérêt à revoir les besoins et les moyens à mettre en oeuvre, la config viendra alors plus facilement.


S'il n'est pas possible de maintenir le serveur windows interne comme serveur VPN (ce qui est probable), il faudra essayer
- de faire un vpn directement sur le routeur/firewall,
- de changer de vpn : openvpn par exemple.


Edit: En page 220 à 225 (n° des pages), il est indiqué comment configurer le firewall comme serveur VPN de type PPPT ou LT2P (avec l'ambiguité "Nommez le serveur PPTP, par ex., MyPPTPServer" qui doit sans doute être lu comme attribution d'un nom au firewall/serveur VPN et non un serveur interne).

[ccnet]

Avant son acquisition, quelqu'un s'est il penché sur l'adéquation de ce matériel avec les besoins ? Il semble bien que non. Comme mon petit camarade je pense que le problème a été pris exactement à l'envers. Une analyse correcte du besoin aurait permis de trouver le ou les matériels pouvant apporter le service souhaité.
Traiter le 1723/TCP n'est pas suffisant pour faire passer du vpn PPTP. Il faut aussi traiter GRE.

[yzak]

Merci jdh et ccnet pour vos réponses !

Effectivement je suis d'accord le DFL210 n'a pas très adapté (société de 15 personnes...), très complexe à mettre en place. Logique de gestion d'objets que j'ai énormément de mal à intégrer. Je pense que ça demande un peu de pratique.
Moi même j'avais conseillé du Zyxel. Mais bon le prix que proposait leur fournisseur était plutôt intéressant alors que voulez vous... la prochaine fois je réfléchirai à deux fois avant d'intervenir sur un matériel que je ne maitrise pas !

Quoiqu'il en soit, aujourd'hui ce routeur n'est pas en place et j'ai perdu deux jours de mon temps (à titre gratuit).

Je vais regardé du côté GRE car j'ai peu être mal déclaré cette partie (je vais reprendre la doc).

Merci

Yzak

[jdh]

Non, un Zyxel ou Dlink ne change rien, et c'est adapté à une PME avec 15 micros (même s'il ne faut pas avoir d'illusion sur le "UTM").

Ce matériel est conçu pour gérer lui-même le VPN alors qu'un serveur Windows a mieux affaire que gérer lui aussi le VPN.

Il suffit simplement de gérer le VPN sur le firewall (en recréant une base de comptes utilisateur).


Il faut comprendre que GRE est un protocole IP (comme TCP et UDP) : les box et les routeurs "simples" ne renvoient généralement que des ports TCP ou UDP, ce qui empêche souvent d'arriver à laisser le VPN d'origine.

Pour les jours "perdus" : "L'expérience est le nom que chacun donne à ses erreurs." Oscar Wilde

[yzak]

Non, un Zyxel ou Dlink ne change rien, et c'est adapté à une PME avec 15 micros (même s'il ne faut pas avoir d'illusion sur le "UTM").

Ce matériel est conçu pour gérer lui-même le VPN alors qu'un serveur Windows a mieux affaire que gérer lui aussi le VPN.

Il suffit simplement de gérer le VPN sur le firewall (en recréant une base de comptes utilisateur).


Il faut comprendre que GRE est un protocole IP (comme TCP et UDP) : les box et les routeurs "simples" ne renvoient généralement que des ports TCP ou UDP, ce qui empêche souvent d'arriver à laisser le VPN d'origine.

Pour les jours "perdus" : "L'expérience est le nom que chacun donne à ses erreurs." Oscar Wilde

Merci beaucoup pour ces indications !
Néanmoins je pense que je dois avoir un pb car je n'arrive à commiter les modifs sur le D-Link. Je vais commencer par reflasher la bestiole.
L'UTM ne s'improvise pas. Je vais devoir me pencher sur la doc plus sérieusement.

Yzak