VPN PPTP ...

[kinaï]

Bonjour a tous,

Voila, j'ai installé le serveur vpn pptp de Windows 2000 sur mon serveur et j'ai configuré mon IPCOP 1.4b3 pour mapper le GRE et le port 1723. Toutefois je n'arrive pas à établir ma connexion VPN. J'ai lu dans les différents post du forum qu'il y a des fichiers à modifier mais je n'ai pas trouvé la procédure ...

Si quelqu'un peux eclairer ma lanterne ?

[pkaer]

Bonjour,

J'utilise quotidiennement le VPN PPTP avec un IPCop 1.4.0b3. Sauf que mes serveurs VPN sont des SME 5.6 ou 6.0.1.

La seule chose que j'ai faite a été de "forwarder" le protocole GRE et le port 1723 vers mes serveurs VPN. Ils n'y a donc pas de fichiers à modifier pour IPCop. (Je pense que tu fais référence au VPN IPSEC où la en effet il vaut mieux y aller à la mano dans les fichiers ipsec.conf et ipsec.secrets)

Ton problème doit plutôt venir de ton serveur VPN Win2k. As-tu essayé d'établir une connexion VPN PPTP en local ?

@+
PK

[le_binr]

Bonjour, j'ai exactement le même^problème que pkaer.

j'ai un windows 2000 server qui tourne, et mon VPN de monté. Il marche très bien en interne.

Par contre, dès que je le teste en externet (par internet) cela ne fonctionne plus. j'ai la fameuse erreur de windows (721) qui me dit que l'ordinateur distant ne répond pas. Pourtant j'ai bien ouvert mes ports sur mon firewall (c'est une redhat avec le kernel 2.4. Voic une partie de mon script iptables :




#-------------------------VPN --------------------------------------#

#on accepte le passage des ports du VPN

iptables -t filter -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1723 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --sport 47 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 47 -j ACCEPT

# L2PT
iptables -t filter -A OUTPUT -p tcp --sport 1701 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1701 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 1701 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 1701 -j ACCEPT

# ISAKMP
iptables -t filter -A OUTPUT -p tcp --sport 500 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 500 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 500 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 500 -j ACCEPT



iptables -I FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -I FORWARD -p tcp --sport 1723 -j ACCEPT
iptables -I FORWARD -p tcp --dport 47 -j ACCEPT
iptables -I FORWARD -p tcp --sport 47 -j ACCEPT
iptables -I FORWARD -p tcp --dport 1701 -j ACCEPT
iptables -I FORWARD -p tcp --sport 1701 -j ACCEPT
iptables -I FORWARD -p udp --dport 1701 -j ACCEPT
iptables -I FORWARD -p udp --sport 1701 -j ACCEPT
iptables -I FORWARD -p tcp --dport 500 -j ACCEPT
iptables -I FORWARD -p tcp --sport 500 -j ACCEPT
iptables -I FORWARD -p udp --dport 500 -j ACCEPT
iptables -I FORWARD -p udp --sport 500 -j ACCEPT


#Aiguillage du port
iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 1723 -j DNAT --to-destination 192.168.0.25
iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 47 -j DNAT --to-destination 192.168.0.25
iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 1701 -j DNAT --to-destination 192.168.0.25
iptables -t nat -I PREROUTING -p udp -i ppp0 --dport 1701 -j DNAT --to-destination 192.168.0.25
iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 500 -j DNAT --to-destination 192.168.0.25
iptables -t nat -I PREROUTING -p udp -i ppp0 --dport 500 -j DNAT --to-destination 192.168.0.25

#---------------------------------

Mon serveur VPN étant le 192.168.0.25


Kinai, as-tu se même genre de script ? ou il y a t-il un module que je n'aurais pas activé dans ma redhat, qui permettrait de faire passer le VPN. En sachant qu'avec se script, le partage de ma connexion internet fonctionne.

N'hésitez pas à me répondre si vous avez pu réaliser un projet similaire (faire du vpn windows entre 2 firewall redhat), car je ne comprend pas pkoi cela ne fonctionne pas.

Merci bcoup !

[kinaï]

Ben j'ai controler mon vpn en local et il fonctionne bien. lorsque j'essaye d'établir la connexion depuis le net, j'ai une erreur 721 : l'ordinateur distant n'a pas repondu (après tout de même avoir afficher : "vérification du nom d'utilisateur et du mot de passe"). Je pense qu'il y a un problème avec le passage du GRE...

Si quelqu'un a la solution ... j'suis preneur

[antolien]

iptables -I FORWARD -p tcp --dport 47 -j ACCEPT
iptables -I FORWARD -p tcp --sport 47 -j ACCEPT

iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 47 -j DNAT --to-destination 192.168.0.25

Attention, C'est le protocole GRE et non le port 47 tcp , c'est normal que ça marche pas...

Il faut remplacer -p tcp par -p 47 (où -p gre) et enlever le --dport.

[pkaer]

Salut,

Juste une question, Tu n'utilises pas qq chose comme "Blockoutgoing" sur ton IPCop ?

Si c le cas fais attention à ouvrir les ports en sortie de ton LAN vers Internet ou alors coches "Allow related, established connections".

@+
PK

[kinaï]

.... c'est koi cette option ???? .....

[pkaer]

Salut,

Blockoutgoing est un addon qui permet de fermer les ports du LAN vers Internet. Plus exactement, il ferme tous les ports et l'on ouvre que ceux nécessaires.

Si tu ne l'utilises pas, ma remarque précédente est sans objet

@+

PK

[le_binr]

Bonjour,

Merci de me donner un coup de main pour ce projet, c cool !


J'ai donc changé mon script iptables est mis :

iptables -I FORWARD -p 47 -j ACCEPT
iptables -t nat -I PREROUTING -p GRE -i ppp0 -j DNAT --to-destination 192.168.0.25

Je pourrais tester seulement ce soir (il faut que j'allume mon serveur VPN) mais voulais déjà avoir une confirmation de votre part.

Vous avez déjà pu mettre en place se système (1 firewall sour linux derrière un serveur VPN) ?

Merci de votre aide

[le_binr]

Excelent, ca marche !!!

Le problème venait bien du mappage non pas du port 47, mais bien du protocole 47 (GRE)

Merci beaucoup les gars !

[guiguid]

met [résolu] dans le titre de ton premier message .....
Guillaume

[kinaï]

Desolé de relancer ce vieux sujet ... mais j'ai demenager entre temps et il a fallu que je remette tout en place. J'en ai d'ailleurs profiter pour passer à la version 1.4b4.

J'ai configurer le transfert de port de GRE et du TCP 1723 vers mon serveur Windows 2000 et j'obtient toujours une erreur 721 lorsque je tente de connecter mon vpn depuis un client Internet (en interne il fonctionne).

Y aurait-il un bug qui ferait que je suis obligé de me taper la ligne de commande précédemment cité pour que ca fonctionne ?

Merci

[kinaï]

Personne pour m'aider ?