[RESOLU] VPN et Wanadoo impossible de Tracer l'IP...

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[RESOLU] VPN et Wanadoo impossible de Tracer l'IP...

Messagepar siriz » 15 Avr 2005 11:02

Salut, je voudrais installé un VPN sur une IPCOP.
J'ai une IP statique chez Wanadoo et voici le schéma de mon réseau:

---Internet----Modem B-Focus ethernet---Routeur Zyxel Prestige 300----IPCop---Switch--Réseau Local

j'ai desactivé le firewall du routeur Zyxel, et pourtant je n'arrive pas à tracer mon ip. Voici un trace route effectué depuis l'université de St Etienne:

traceroute to XX.XXX.XXX.XXX), 30 hops max, 40 byte packets
1 c6006-rcri (161.3.1.1) 1 ms 1 ms 0 ms
2 rmess-amplivia4 (161.3.252.1) 0 ms 1 ms 1 ms
3 193.54.143.13 (193.54.143.13) 0 ms 1 ms 0 ms
4 193.54.141.134 (193.54.141.134) 2 ms 3 ms 3 ms
5 lyon-g4-0-120.cssi.renater.fr (193.51.184.122) 3 ms 2 ms 2 ms
6 193.51.185.29 (193.51.185.29) 8 ms 7 ms 7 ms
7 P1-0.AUVCR1.Aubervilliers.opentransit.net (193.251.241.94) 7 ms 7 ms 8 ms
8 P14-0.PASCR3.Pastourelle.opentransit.net (193.251.243.186) 7 ms 7 ms 7 ms
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *

Je ne comprends pas pourquoi, et il m'est donc impossible d'accéder à mon VPN, merci de m'aider!!!
Dernière édition par siriz le 20 Avr 2005 13:29, édité 2 fois au total.
Avatar de l’utilisateur
siriz
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 05 Avr 2005 10:17

Messagepar krisnalada » 15 Avr 2005 20:36

vraisemblablement parce que tu n'as pas fait de NAT :
il faut que sur ton routeur tu rediriges le traffic pour le VPN vers ton ipcop sur le bon port.
Avatar de l’utilisateur
krisnalada
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 24 Jan 2005 19:09
Localisation: UK

Messagepar cf » 15 Avr 2005 23:17

Ne laisse pas ton IP sur un forum...

Sinon, cela n'a rien à voir avec du NAT!
Si tu ne réponds pas au ping, ce n'est pas étonnant que le traceroute foire...


cf
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar micjack » 16 Avr 2005 20:09

8 P14-0.PASCR3.Pastourelle.opentransit.net (193.251.243.186) 7 ms 7 ms 7 ms
9 * * *

Je dirais simplement que le 9 eme routeur bloque les requettes ICMP, il est donc normal que le trace bloque à ce niveau.

Cela ne veut pas dire que que cela va empecher de monter ton VPN.. Tu à malheureusement meme pas acces à un simple ping pour savoir si la liaison est bonne entre les deux sites.

Il te reste à tester en ssh pour etre sûr de la liaison.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar krisnalada » 16 Avr 2005 23:32

cf a écrit:Sinon, cela n'a rien à voir avec du NAT!
cf

...
Le fait qu'il ne puisse pas se connecter en VPN peut tout a fait être un probleme de NAT, la redirection vers le port du soft VPN de l'ipcop n'étant pas fait par le router et/ou la redirection de ipcop vers l'ip de la machine ayant le server vpn si il est pas sur l'ipcop.
Bien evidement, le traceroute n'a rien avoir avec le VPN mais bon ce qu'il faut c'est résoudre le pbs avec le VPN pas le traceroute qui peut tout a fait être normal.
Avatar de l’utilisateur
krisnalada
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 24 Jan 2005 19:09
Localisation: UK

Messagepar cf » 17 Avr 2005 10:01

Sa question est: est-ce normal que le traceroute n'aboutisse pas?
Ma réponse est: oui, car tu ne réponds pas au ping.
Après, je ne sais pas s'il a essayé son vpn: il semble penser que le blocage du traceroute rend impossible le vpn?


micjack a écrit:
Je dirais simplement que le 9 eme routeur bloque les requettes ICMP, il est donc normal que le trace bloque à ce niveau.


Un routeur qui bloque l'ICMP?
Ce n'est pas conforme aux rfc, à mon avis il s'agit bien de son IP qui ne répond pas au ping (IPCOP le bloque par défaut, non?)


cf
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar jdh » 17 Avr 2005 10:34

Concernant le ping

- on peut accepter de répondre ou non au ping.
- ce n'est pas en interdisant le ping qu'on augmente sa sécurité.
- de grands sites acceptent le ping (www.google.fr, www.yahoo.fr, ...).
- il importe plutôt de NE PAS accepter tout paquet ICMP : seulement le type 8 (qui est celui utilisé par ping).

Pour ma part, j'ai commencé par interdire tout ICMP. Aujourd'hui j'accepte en entrée ICMP type 8 et je suis tout de suite renseigné si le fw des entreprises que je suis est ok ou non.


Concernant le traceroute

- traceroute est comme ping un outil de base qui devrait être dans toute boite à outils d'ingénieur réseau.
- le traceroute Windows est différent de celui d'Unix (ou Linux) ! (ceci est peu connu !)
- le traceroute Windows utilise des pings (protocole ICMP type 0=echo reply et 11=time exceed).
- le traceroute Unix utilise des paquets udp avec un port 33434 jusqu'à 33453 (et ICMP type 11).

Ces différences ajouté aux réglages d'un firewall font que l'un ou l'autre peut ou non fonctionner. Cela ne permet pas de conclure la plupart du temps.


Concernant le protocole ICMP

- celui ci sert de signalisation pour de nombreux autres protocoles (de niveau supérieur).
- le type 11= time exceed pour traceroute (Windows et Unix),
- le type 3=destination unreachable pour http et beaucoup d'autres ...


Concernant le VPN

- il existe différents types de protocole permettant de construire un VPN (IPSEC, PPTP, ...).
- certains supportent le NAT, d'autres non. (fonctionalité NAT "transerval")
- certains utilisent des paquets tcp, d'autres des paquets udp, d'autres encore utilisent des paquets IP différents (IPSEC utilise AH=IP type 50 et EH type 51 ?).

Il est très difficile de donner un conseil sans un diagnostic précis ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar micjack » 17 Avr 2005 15:10

cf a écrit:Un routeur qui bloque l'ICMP?

Fait par exemple un traceroute sur pagesjaunes.fr et tu verra le meme resultat, alors que le HTTP foncionne tres bien.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar cf » 17 Avr 2005 16:10

J'ai fait le test:
le traceroute foire, mais parce que le SERVEUR ne répond pas au ping!
C'est le serveur de pagesjaunes.fr qui droppe le ping (ou plutôt le firewall derrière lequel il est), et non pas un ROUTEUR par lequel passe les paquets!
Un routeur d'un FAI ne va pas s'amuser à dropper le ping!
En ce qui concerne notre ami, il devrait commencer par accepter le ping, et son traceroute marchera.


cf
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar micjack » 17 Avr 2005 17:12

Qui te dis que c'est sa machine qui bloque le ping?

C'est effectivement peut etre sa machine, mais on en sait rien, puisque le trace plante, et que chez moi on peut bloquer les requettes ICMP sur un routeur...

Quoi que, si il fait un traceroute sur 82.127.125.115 c'est que son IP perso n'est pas celui du 9 eme routeur ayant l'addresse 193.251.243.186

Par contre la classe 82.127 est bien une addresse Wanadoo.

Donc, il lui reste de tester en ssh avant de metre en place son VPN...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar siriz » 18 Avr 2005 09:24

Merci pour vos messages mais:
Concernant le ping, il fonctionne (depuis le local, j'arrive à pinger mon IP) et depuis un serveur de test sur le web:

Common page : Services Test ping

Ping of the computer :


PING MON IP from 213.186.41.133 : 56(84) bytes of data.
64 bytes from MON IP: icmp_seq=0 ttl=244 time=65.497 msec
64 bytes from MON IP: icmp_seq=1 ttl=244 time=64.655 msec
64 bytes from MON IP: icmp_seq=2 ttl=244 time=77.018 msec
64 bytes from MON IP: icmp_seq=3 ttl=244 time=176.658 msec
64 bytes from MON IP: icmp_seq=4 ttl=244 time=143.923 msec
64 bytes from MON IP: icmp_seq=5 ttl=244 time=193.008 msec
64 bytes from MON IP: icmp_seq=6 ttl=244 time=122.874 msec
64 bytes from MON IP: icmp_seq=7 ttl=244 time=74.379 msec
64 bytes from MON IP: icmp_seq=8 ttl=244 time=179.224 msec
64 bytes from MON IP: icmp_seq=9 ttl=244 time=103.713 msec

--- MON IP ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max/mdev = 64.655/120.094/193.008/47.810 ms

_________________________________________________________
C'est bel et bien le trace qui ne fonctionne pas, encore plus étonnant puisque le ping, lui, fonctionne!

De plus, avant de tester le VPN, je dois pouvoir tracer, sinon peu d'interêt à tenter la connection VPN s'il y a déjà un problème à la base (quoique J'ai testé un trace vers pagesjaunes.fr et la même chose se produit , au bout d'un moment l'ip est masqué, et bien entendu le http fonctionne, ce qui voudrait dire que le ssh pourrait fonctionner?)
Pour le nat ou le reste, mon routeur a toutes les fonctions de firewall et de blocage de port desactivé, c'est IPCOP qui gère donc tout... y a t'il des choses à modifier sur l'ipcop?
on doit bien pouvoir tracer au moins jusqu'au modem, je vois pas en quoi une ip fixe d'un fai peut bloquer le trace par le matériel qui se trouve derrière!!?

J'ai testé un trace vers pagesjaunes.fr et la même chose se produit , au bout d'un moment l'ip est masqué, et bien entendu le http fonctionne, ce qui voudrait dire que le ssh pourrait fonctionner?
Avatar de l’utilisateur
siriz
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 05 Avr 2005 10:17

Messagepar cf » 18 Avr 2005 13:02

Salut.
Avant que tu n'enlèves ton IP du forum, j'avais essayé de te pinger, et tu ne répondais pas au ping.
Donc ce que tu me dis m'étonne.

Le fait que tu ne puisses pas tracer ou pinger ton IP ne t'empêche en rien de faire du ssh, du moment que tu configure correctement ton IPCOP.

Si c'est effectivement l'équipement de ton FAI qui bloque le traceroute (mais ça m'étonnerait vraiment), ce n'est pas normal, mais cela ne te bloque pas pour autant. Par exemple, ixus ne répond pas au ping, mais tu accèdes bien au site! Cela n'a rien à voir.


cf
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar siriz » 18 Avr 2005 13:27

j'ai bien pingé ce matin et ça fonctionne?! (moi aussi ça m'étonne, surtout que j'ai testé depuis un serveur externe)

Pour le FAI, j'ai contacté Wanadoo et ils disent que si le trace ne fonctionne pas, c'est que mon firewall le bloque! IpCop bloque t'il le ping par défaut?

Je pourrais aussi tester d'abord le ssh, mais comment??
Avatar de l’utilisateur
siriz
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 05 Avr 2005 10:17

Messagepar cf » 18 Avr 2005 13:36

Comme l'a expliqué jdh (au fait, t'es bon pédagogue :wink: ), il y a différent types d'ICMP.
Je n'utilise pas ipcop, je ne peux donc pas te dire ce qu'il accepte, ou ce qu'il droppe.
ton fai a confirmé ce que je disais, à savoir que c'est bien ton serveur qui bloque le traceroute.
Pour tester le ssh, il suffit de forwarder le port qu'il faut vers le serveur qui t'intéresse.
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar micjack » 18 Avr 2005 13:59

siriz a écrit:IpCop bloque t'il le ping par défaut?

C'est justement le contraire, faut bidouiller dans le rc.local pour bloquer les ping.
Y'a deja eu pas mal de posts à ce sujet (mais comme cela remonte à la version 1.3, je ne sais pas si cela a changé ) mais je ne pense pas..

Je pourrais aussi tester d'abord le ssh, mais comment??

Effectivement en autorisant l'acces au port 22 de l'exterieur et en utilisant un client ssh genre WinSCP ou Putty.

Effectivement, l'explication de Jdh est tres claire sur les differants types de requettes ICMP, meme si je trouve zarbi et ne pige pas trop pourquoi ce routeur va bloquer un traceroute, mais pas le ping. (à voir)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron