ça peut paraitre tordu comme idée mais il faut bien s'adapter aux contextes ...
je voudrais monter un VPN entre IPCOP et un client qui est derriere un FW
seul certains port du FW sont ouverts et je dois faire avec
bien sur ceux pour du faire VPN sont fermés !!!
alors il faut que j'utilise ceux que l'on veut bien m'ouvrir.
comment puis je modifier mon IPCOP pour personnaliser les ports ?
LanClient0 - IPCOP1 - FW -Internet - IPCOP0 - LanClient0
ipcop1 sera configuré en client VPN
ipcop0 sera configuré en serveur VPN
j'ai deja monté ce type de config sans le FW au milieu, mais je ne trouve pas le fichier qui indique le ou les ports utilisé(s) par le VPN
j'ai monté la partie serveur qui pointe vers une IP bidon, donc il n'est pas actif (en ROUGE)
un petit
netstate -pulate
m'indique entre autre
31426/pluto
j'en conclu que le port 31426 m'est nécessaire ???
certains post parlent de port 500, 50, 51 ...
quel est le minimum vitale ?
Merci de votre aide
comment customiser les ports de mon VPN
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
comment customiser les ports de mon VPN
par hb » 26 Avr 2004 23:32
-
hb - Amiral
- Messages: 1513
- Inscrit le: 06 Juin 2002 00:00
- Localisation: Nord Isere, 50kms Lyon
par vaneay » 27 Avr 2004 19:11
Un VPN qui utilise IPsec comme freeS/WAN ( c'est le cas d'ipcop ), utilise les ports / protocoles suivants :
500 / udp <-- négociation et debut de session ISAKMP
protocole 51 ( dit protocole AH ) <-- encapsulation, cryptage et authentification des données du paquet IPSEC mais pas l'entête, ainsi on peut router ces paquets et les faire passer dans du NAT, DNAT, SNAT ...
protocole 50 ( dit protocole ESP ) <-- encapsulation, cryptage et authentification de tout le paquet IPSEC entetes comprises, attention l'utilisation du VPN avec de l'ESP ne permet pas de passer les firewall et les équipement modifiants les paquets (passerelles).
Voila donc
1) le seul port que tu peut choisir de modifier c'est l'udp 500 en effet le VPN peut écouter sur un autre port mais ce doit etre de l'udp !
2) dans tous les cas il faut que le firewall gere le passage du protocole AH (attention c'est un protocole !!! c'est pas un port !) et ça on peut pas le changer.
c'est un peu comme si vous demandier de changer du tcp en udp ou en gre ... autant dire que j'ai jamais vu ça.
Pour ceux qui ont des VPN qui passent les firewall car ils spécifient juste un port udp, c'est que ce n'est pas de l'ipsec STANDARD, en effect les clients VPN Cisco permettent de tout encapsuler dans des paquets udp, mais bon c'est lourd, c'est pas standard ( propriétaire ), et j'ai des doutes sur la sécurité de la chose.
500 / udp <-- négociation et debut de session ISAKMP
protocole 51 ( dit protocole AH ) <-- encapsulation, cryptage et authentification des données du paquet IPSEC mais pas l'entête, ainsi on peut router ces paquets et les faire passer dans du NAT, DNAT, SNAT ...
protocole 50 ( dit protocole ESP ) <-- encapsulation, cryptage et authentification de tout le paquet IPSEC entetes comprises, attention l'utilisation du VPN avec de l'ESP ne permet pas de passer les firewall et les équipement modifiants les paquets (passerelles).
Voila donc
1) le seul port que tu peut choisir de modifier c'est l'udp 500 en effet le VPN peut écouter sur un autre port mais ce doit etre de l'udp !
2) dans tous les cas il faut que le firewall gere le passage du protocole AH (attention c'est un protocole !!! c'est pas un port !) et ça on peut pas le changer.
c'est un peu comme si vous demandier de changer du tcp en udp ou en gre ... autant dire que j'ai jamais vu ça.
Pour ceux qui ont des VPN qui passent les firewall car ils spécifient juste un port udp, c'est que ce n'est pas de l'ipsec STANDARD, en effect les clients VPN Cisco permettent de tout encapsuler dans des paquets udp, mais bon c'est lourd, c'est pas standard ( propriétaire ), et j'ai des doutes sur la sécurité de la chose.
S'il n'y a pas de solution, c'est qu'il n'y as pas de probleme.
-
vaneay - Premier-Maître
- Messages: 67
- Inscrit le: 30 Sep 2002 00:00
- Localisation: france
par Gesp » 27 Avr 2004 19:58
Tu as ipsecctrl qui applique les règles définies dans l'interface à IPtables
J'attire votre attention sur les dernières modifs qui sont ultérieures à la beta3
http://cvs.sourceforge.net/viewcvs.py/i ... r2=1.5.2.1
J'attire votre attention sur les dernières modifs qui sont ultérieures à la beta3
http://cvs.sourceforge.net/viewcvs.py/i ... r2=1.5.2.1
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
par hb » 27 Avr 2004 20:59
Merci vaneay, j'avais pas approché le probleme comme toi, j'ai tendance à résumer IP à TCP/IP
j'ai l'impression que c'est pas gagné alors.
Gesp, j'ai pas trop compris "Tu as ipsecctrl qui applique les règles définies dans l'interface à IPtables"
tu veux dire qu'avec la b4 je pourrais obtenir ce que je veux ?
j'ai l'impression que c'est pas gagné alors.
Gesp, j'ai pas trop compris "Tu as ipsecctrl qui applique les règles définies dans l'interface à IPtables"
tu veux dire qu'avec la b4 je pourrais obtenir ce que je veux ?
-
hb - Amiral
- Messages: 1513
- Inscrit le: 06 Juin 2002 00:00
- Localisation: Nord Isere, 50kms Lyon
par Gesp » 27 Avr 2004 23:15
Cela je ne sais pas.
Tout ce que je sais,c'est que ipsecctrl a été modifié pour ces raisons
http://marc.theaimsgroup.com/?l=ipcop-d ... 218669&w=2
et que restartsquid le sera certainement pour celles-là
http://marc.theaimsgroup.com/?l=ipcop-d ... 205529&w=2
Tout ce que je sais,c'est que ipsecctrl a été modifié pour ces raisons
http://marc.theaimsgroup.com/?l=ipcop-d ... 218669&w=2
et que restartsquid le sera certainement pour celles-là
http://marc.theaimsgroup.com/?l=ipcop-d ... 205529&w=2
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité