petite question sur le vpn svp

[Taltos]

Bonjour !!

désolé pour la question assez basique mais j'suis un peu préssé et une recherche sur le forum n'a paas retournée de reponses pertinentes...

ma sme est derriere un firewall géré par mon FAI, je dois lui demander l'ouverture des ports qui m'intereessent.

je souhaite acceder a ma SME de chez moi via le VPN pour cela j'ai demander a mon FAI d'ouvrier les ports suivants:
VPN
Port 47
Port 500 unidirectionnel (ext vers int) de Ippublique vers Iplocal
Port 1723


Mais cela ne marche pas quand j'essaie d'acceder a mon serveur vpn de l'exterieur. j'ai bien autoriser 1 client vpn et l'admin a le droit d'etre client vpn...

un tcpdump sur le port 1723 montre une activité lors d'une tentative de connexion mais rien sur les autres ports (47 et 500)


Voyez vous un truc auquel j'aurais pas pensé ? la liste des ports est elle bonne ?


Merci bcq de votre aide !

[jibe]

Salut,

Tu as oublié une précision importante : comment fais-tu ton VPN ? pptp, openvpn, freeswan, autre ?

[Taltos]

Grummph..; heu pptp je crois puisque l'acces se fait par le client vpn d'XP et que la sme est sans addon...

j'ai bon ?


d'ailleur openvpn lui ne serait-il pas que pour relier 2 sme entre-elles ?

[jdh]

IPSEC, OpenVPN permettent de faire du "1 to 1", du "1 to N" ou du "N to N". C'est à dire 1 PC vers 1 PC, 1 PC vers un réseau (via 1 PC) ou d'un réseau vers un réseau (via 1 PC de chaque côté).

PPTP est un protocole type "Microsoft" (même s'il existe des implémentations sous Linux du serveur et sans doute du client). Néanmoins c'est un protocole moins sur qu'IPSEC ou OpenVPN et souvent plus difficile à mettre en oeuvre.

Il me semble que 1723/TCP est correct mais il faut ajouter le protocole GRE=47. Attention pour GRE ce n'est pas TCP !!! Il y a des sous protocoles de IP portant des n° spécifiques : TCP, UDP, GRE, ESP, AH ou encore ICMP en sont. Mais certains de ces sous-protocoles peuvent eux-même avoir des n° de ports : c'est le cas de TCP et UDP mais ICMP a des "types" ce qui n'est pas tout à fait équivalent.


NB: J'ai essayé OpenVPN et j'en suis ravi : c'est vraiment simple et rapide à mettre en oeuvre.

[jibe]

Re...

Grummph..; heu pptp je crois puisque l'acces se fait par le client vpn d'XP et que la sme est sans addon...

j'ai bon ?

Oui, tu es certainement en pptp.

AMHA, ton problème peut avoir deux origines :

- Je ne suis pas très sûr pour SME, mais c'est le cas pour FreeEOS et ça m'étonnerait que ça ne le soit pas pour SME 7, le codage utilisé est sur 128 bits, contre 40 chez M$. Il faut donc que tu aies sur ton windows la mise à jour permettant le codage 128 bits pour pptp.

- Comme te l'explique jdh, il faut que le firewall laisse passer le protocole IP 47 GRE, en plus bien sûr du port 1723 (attention : IP 47 n'est pas le port 47 que tu peux laisser fermé !). Vérifie auprès de ton FAI que c'est bien Ok de ce côté là. Le port 500 n'est normalement pas utile (pas cherché à quoi il sert, mais en tous cas pas pour PPTP).

Néanmoins c'est un protocole moins sur qu'IPSEC ou OpenVPN et souvent plus difficile à mettre en oeuvre.

Ah bon ? Qu'est-ce qui te fait dire ça ?

On utilise couramment PPTP chez FreeEOS pour nos tests à distance, justement pour ne pas nous emm*** à mettre en place un VPN IPSEC ! Comme on dit "chez nous", c'est VSB (Vite, Simple et Bien)...

Quant à la sécurité, cette affirmation ne vient-elle pas du fait que chez M$ le PPTP utilisait un codage de 40 bits seulement ?

[jdh]

Tu peux trouver par exemple sur le site http://www.secuobs.com/ en recherchant PPTP (en haut à gauche). Le nombre de failles de PPTP est important, mais cela reste un client VPN opérationnel et déjà installé dans Windows. C'est un atout mais en effet la clé est courte et il faut donc l'utiliser sur une durée courte.

Je ne dis pas que c'est un mauvais VPN mais il faut en connaître les atouts et ... les inconvénients. Je ne suis pas du tout anti-Microsoft-ien primaire.

J'ai eu récemment un commercial me vantant les mérites de son firewall (appliance assez connu d'origine France) qui ajoutait, sans rire, que le client VPN PPTP était gratuit.

Pour un VPN permanent, je t'encourage plutôt à utiliser un tunnel IPSEC ou OpenVPN.

NB: il y encore plus de liens sur secuobs.com au sujet d'OpenVPN !

[jibe]

Re...

Oui, tu as raison. Mais j'ai l'impression que tu te places dans un cadre général et non spécifique à SME. De nombreuses failles n'existent que dans le cas W$->W$, mais pas W$->SME et encore moins linux->SME...

Et pour la mise en place, tout est déjà fait sur SME, il n'y a qu'à créer l'utilisateur distant (ou donner l'autorisation d'accès distant à un utilisateur existant) et définir le nombre de connexions PPTP simultanées. Et pour peu que le poste distant soit sous W$, tout est déjà prévu également. Ne reste plus qu'à s'assurer que le codage 128bits a bien été mis en place (faire un Windows Update) puisqu'il est obligatoire pour accéder à la SME. C'est donc on ne peut plus simple !

Ceci dit, je reconnais qu'IPSec est meilleur, pas si difficile que ça à mettre en place, et offre plus de possibilités. Je dois dire aussi que lorsque nous accédons par PPTP, c'est sur un serveur de tests et l'accès n'est ouvert que pendant les tests. Ca réduit les risques et explique peut-être que nous n'ayons pas rencontré de problèmes. C'est vrai qu'en prod pour une liaison permanente, c'est un peu plus risqué. Mais je pense qu'il y en a beaucoup qui tournent ainsi sans problèmes.