VPN les ports ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN les ports ?

Messagepar cherif » 06 Déc 2010 14:12

Salut à tous.
voilà j'ai mis en place un simple vpn pour des tests _ je ne passe pas par openvpn pour l'instant ....
les pcs sont sous windows et je veux voir depuis la zone verte le pc qui se trouve sur l'internet .

pour faire ces tests :

1 pc en zone verte et 1 portable en hotspot wififree dans la zone rouge ( je n' utilise pas la zone bleu pour l'instant ) ---- tout ceci à la maison pour donner l'illusion que je suis bien dehors
et donc pour voir le portable dans le voisinage j'ai du mettre des règles dans le BOT

la 1ère des choses est d'ouvrir PPTP et L2TP ----> ça s'est pour le VPN

ensuite comme je ne pouvais pas pinguer car le vpn ne fonctionnait pas encore alors j'ai mis en place un service ( Ping-Pong ) echo request et echo reply
et toujours pareil ni je pingue ni je vois dans le voisinage réseau
j'ai utilisé le service l' ICMP dans son intégral ( tout ) -----------------> et là ça marche
le ping est ok

alors pour le voisinage réseau j'ai rajouté ces règles :
netbios-ns
netbios-dgm
netbios-ssn

ça marche mais est-ce bien ?

Alors ais-je bien fait ? au niveau sécurité j'en doute
je voudrais savoir pour l'ICMP quels sont les paramètres minimum pour que ça marche
Merci

Ma configuration :
ipcop 1.4.21 ( advanceproxy , bot , openvpn ,toutes les zones paramètrées ( rouge,verte,orange,bleu ) ,detection d'intrusion activée mais qui me serve à rien vu que je ne me suis pas inscrit au site , dhcp activé ( vert et bleu )

MERCI
Avatar de l’utilisateur
cherif
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 19 Fév 2004 01:00

Re: VPN les ports ?

Messagepar ccnet » 06 Déc 2010 14:58

Utilisation domestique ou pro ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: VPN les ports ?

Messagepar cherif » 06 Déc 2010 15:47

Pour ces tests
Domestique
mais ça peut dériver sur le pro ... là je mettrais des certificats ... j'ai déjà fait mais pour l'instant
un simple VPN domestique et un peu de sécurité me conviendrait

est-ce bien ?
j'ai pas envie qu'on s'invite dans les zones à cause de cette opération
Avatar de l’utilisateur
cherif
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 19 Fév 2004 01:00

Re: VPN les ports ?

Messagepar jdh » 06 Déc 2010 15:58

Incompréhensible !


A ce que je sache, Ipcop n'est pas serveur PPTP ou L2TP. (Il existe peut-être des addons ...)
Donc, AU MIEUX, s'il y a un serveur de ce type dans le réseau Green (ou Orange), on ne doit créer que les règles destinées à ce flux (=le VPN) entre le client (en Red) et le serveur (en Green).

Il est (totalement) stupide de créer des règles sur l'intérieur du tunnel sur une machine (Ipcop) qui n'est que sur le passage du tunnel !

De plus, sauf à installer le mode routage sur le serveur et à modifier les routes, cela ne permettrait uniquement de discuter avec le serveur VPN (et donc pas avec les autres pc dans le même réseau !).


La bonne méthode :
- Utiliser un firewall qui est serveur VPN,
- Utiliser des protocoles plus sûr : OpenVpn plutôt que PPTP (dépassé),
- Utiliser un firewall capable de filtrer dans le flux VPN (puisqu'il est le serveur VPN) : p.e. pfSense (en 2.0 BETA)
- Savoir que le "voisinage Windows" n'est pas très compatible avec le routage et donc le VPN : voir WINS

La sécurité n'est pas domestique ou pro : on agit de façon sûre ou non !

Ahurissant : le trafic voisinage réseau (Windows = Netbios) est "open" : bonjour l'insécurité !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: VPN les ports ?

Messagepar cherif » 06 Déc 2010 18:44

Salut
Pourtant c'est clair ... le vpn fonctionne .
c'est bien ....
j'ai déjà fais WINS ça n'a rien donné
pour réaliser ce que je voulais faire je n'ai pas trouvé d'autre moyen ....
ipcop est un pare feu donc soit PPTP ET L2TP sur l'ipcop soit sur le pare feu de Windows
d'ailleurs j'ai envie d'utiliser ces 2 protocole pour l'instant ... après comme tu les dis et si c'est professionnel j'utiliserais l'autre

Je suis d'accord avec toi , il faut utiliser le règle sur le VPN et pas à l'intérieur

je vais utiliser le serveur vpn plutard ... il est déjà paramétré dans l'ipcop mais je compte le changer ....je ne compte pas rester sur PPTP/L2TP ---- > ça sera plutôt de l'Ipsec

je vais donc me mettre sur pfSense
Avatar de l’utilisateur
cherif
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 19 Fév 2004 01:00

Re: VPN les ports ?

Messagepar jdh » 06 Déc 2010 18:55

Ipcop peut être serveur VPN avec la contrib Zerina (OpenVPN).
Cela fonctionne très bien et "de suite" (sans toutefois permettre un filtrage dans le tunnel VPN, me semble-t-il).

Du fait que l'Ipcop est la passerelle par défaut des stations en Green, le PC "roadwarrior" peut voir toutes machines et être vu de la même façon.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: VPN les ports ?

Messagepar cherif » 06 Déc 2010 19:23

Salut
il est serveur VPN mais je ne l'utilises pas pour l'instant ... j'ai déjà fais
j'étudie les protocoles VPN ..... je voudrais tout comprendre mais depuis le début ( protocole ,trame , mise en place etc .... )
j'aurais pu le faire en dehors de l'ipcop ( zone ... ) et être de client à client avec firewall basic

il est clair que si c'est professionnel je passe par l'ipcop serveur VPN ... enfin miser sur ipcop

Merci

ps :
pour éviter de trop chercher est-ce que dans PfSense il faut mettre au maximum 4 cartes reséeaux .... ?
merci
Avatar de l’utilisateur
cherif
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 19 Fév 2004 01:00

Re: VPN les ports ?

Messagepar Franck78 » 06 Déc 2010 20:37

@jdh, tu me diras à quel endroit tu a trouvé une mise à jour de ton descrambler parceque le mien a fait 'pouf' ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: VPN les ports ?

Messagepar jdh » 06 Déc 2010 20:49

@Franck78 en effet :lol:


Un VPN avec "firewall Basic" ? Kesako

Un bon début de lecture c'est Christian CALECA.
On trouve aussi d'excellentes choses avec Wikipedia : http://fr.wikipedia.org/wiki/VPN par exemple (http://fr.wikipedia.org/wiki/R%C3%A9sea ... A9_virtuel).
D'ailleurs Wikipedia est souvent plus complet que les débuts de pistes que les uns ou les autres peuvent donner ...

Il faut faire SIMPLE : soit vous vous lancez dans OpenVPN (avec Ipcop) soit vous passez à pfSense et vous avez PPTP, L2TP en sus d'OpenVPN (avec son créateur de certificats) !
Mais vpn avec firewall basic, on stoppe là.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: VPN les ports ?

Messagepar cherif » 06 Déc 2010 21:55

salut
j'ai déjà fait du vpn (PPTP,L2TP,IPSec avec ipcop ( avec des serveur , site à site ( 2 ipcop + openvpn + zerina +certificat, nomade .... )

firewall basic pour moi c'est celui de windows et pas ipcop
donc faire du vpn entre 2 stations xp sans ipcop
il faut sortir un peu , il existe encore des gens dehors ...... sans ipcop :)

Merci pour l'info à propos de ipcop / pfsense
je vais continuer sur ipcop mais de toute façon je pense que je devrais aussi connaitre Pfsense comme toi ....

tu n'as pas répondu à la question
pfsense prends combien e carte au maximum ?

j'étudie les protocoles ...

mettre en place des VPNs ça se trouve facilement

Merci encore
Avatar de l’utilisateur
cherif
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 19 Fév 2004 01:00

Re: VPN les ports ?

Messagepar ccnet » 06 Déc 2010 22:55

pfsense prends combien e carte au maximum ?


http://doc.pfsense.org/index.php/How_ma ... support%3F

J'ai un Pfsense en prod avec 6 interfaces physiques. Il reste qu'il vous faut distinguer cartes physiques et Vlan. Si l'on peut faire 50 Vlans il est peut probable qu'il faille 50 ports ethernet. Je ne connais pas beaucoup de machines qui permettent de les loger, même avec des cartes quad ports Intel.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: VPN les ports ?

Messagepar jdh » 06 Déc 2010 23:20

En effet, je n'ai jamais essayé de faire du PPTP/L2TP entre 2 XP !
C'est à dire que le VPN c'est, pour moi, plutôt soit du roadwarrior-to-net soit du net-to-net !
Le lien direct est peu intéressant (et de toute façon n'exige certainement pas les règles de flux NetBios sur un firewall placé entre machines).

En roadwarrior-to-net, avec un client Windows, on peut faire du PPTP/L2TP out of the box, ou de l'OpenVPN en installant un soft (avec peut-être quelques contraintes).

En net-to-net, c'est Ipsec (avec un firewall avec ip publique) ou OpenVPN.

pfSense fait tout cela aisément (et de base).

J'ai une config avec 2 pfSense à 6 interfaces comme ccnet. (Mais j'ai aussi quelques config plus simple et moins de cartes.)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: VPN les ports ?

Messagepar cherif » 07 Déc 2010 00:28

Salut
Franchement très étonné , hébien PfSense promet ....même mon routeur ddwrt ne peut que fournir 15 Vlans
ccnet merci
*******************************
Le lien direct est peu intéressant (et de toute façon n'exige certainement pas les règles de flux NetBios sur un firewall placé entre machines)

j'en ai eu besoin puisque j'utilise ipcop comme parefeu , sinon si j'utilise que le parefeu de windows et de modem à modem , oui pas besoin du NetBios
si ça marche pas on essaiera WINS ...

une petite question au niveau proxy ---- il est fait pour isoler un réseau
c'est pas encore bien clair pour moi mais ça va venir
il se met sur la zone verte ou zone rouge ? ( c'est la zone verte et bleu qui auront accès au net )
permet-il d'être anonyme ?
j'ai tester sur la zone verte ça marche bien -----> lorsque je vais sur http://www.mon-ip.com/
la page m'affiche ma vraie ipfixe que le fournisseur me laisse : c'est normal puisque il est sur la zone vert mais j'aurais voulu qu'il m'affiche une autre adresse ip

jdh ____ 6 interfaces pourquoi ?
pouvez-vous me donner des idées sur pourquoi autant de carte réseaux ?

Merci encore pour vos renseignement .....
Avatar de l’utilisateur
cherif
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 19 Fév 2004 01:00

Re: VPN les ports ?

Messagepar jdh » 07 Déc 2010 01:29

6 interfaces (ou plutôt 6 zones), on peut y arriver vite :

Wan + Lan + Wifi + Dmz + liaison client 1 + liaison client 2 = 6 zones

On peut avoir 2 Dmz, 1 liaison client + 1 dmz client, ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: VPN les ports ?

Messagepar ccnet » 07 Déc 2010 11:15

6 interfaces : 2 Wan, 1 dmz externe, 1 dmz interne, 1 lien client fixe, 1 lan.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron