Témoignage VPN et question !

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Mouss-Grd » 06 Oct 2003 14:20

Bjour, <BR>Je voudrais publier mon expérience VPN + IPCOP 1.3 plus les fixes et en faire profiter à tous ceux travaillent sur un projet de ce type, ce forum m'a d'ailleurs bcp aidé, merci à tous. <BR> <BR>J'ai terminé le déploiement d'un VPN Ipsec avec Ipcop 1.3 + les 4 fixes et tout semble OK pour l'instant : <BR>- HUB VPN à Paris <BR>- 9 POP VPN sur la France <BR>- 1 POP VPN en Pologne <BR>- 1 DMZ sur le HUB de Paris <BR>- 1 serveur PPTP à Paris sous SME <BR>- Station de monitoring : SME + NAGIOS <BR> <BR>Les temps de réponse sont en moyenne de 120 ms entre HUB -> POP et de 240 ms de POP -> POP (transitant par le HUB) <BR> <BR>Tous les abonnenement ADSL ont été pris chez Ouanadoo, je suis obligé de tout migrer chez 1 autre provider. Le support de Ouanadoo (c'est pas nouveau, est nul !) <BR> <BR>Je conseil à tous ceux tentés par une telle experience d'opter dès le départ pour des abonnement en IP Fixes !!! Les liensVPN ne remontent pas tjours au changement IP tous les 24H chez Ouanadoo et on est obligé des bricoler avec des scripts et dans la crontab. <BR> <BR>Le fixe 3 (je crois) a bcp amélioré la reconexion automatique à de IPcop. <BR> <BR>Le serveur d'accès distant PPTP est fourni par une station SME 5.6 et Nagios et ça marche très bien. <BR> <BR>Si vous avez d'autres questions sur cette expérience, n'hsitez pas ... <BR> <BR>QUESTION : <BR> <BR>Je voudrais interdire sur Paris, dans le sens LAN --> Internet, l'accès aux services à divers services de téléchargements (Edonkey, Emule, etc...) et n'autoriser que les ports 53, 80, 443, 110, 25, 21, 20 en sortie( sur ppp0). Tout est autorisé sur ipsec0 l'interface Ipsec du VPN. <BR> <BR>Losque j'aplique à la fin de mon /etc/rc.d/rc.firewall (juste avant "le exit 0" ) les règles ci-dessous, les connexions externes en PPTP ne marchent plus, ce qui est normal au vu de la configuration ... Quelqu'un aurait-il une idée comment n'ouvrir que ces ports sans bloquer les accès en PPTP ? <BR> <BR> <BR>"" <BR>/sbin/iptables -I FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -j DROP <BR>/sbin/iptables -I FORWARD -i eth0 -o ppp0 -p tcp -s 192.168.1.0/24 -m multiport --dport 53,80,443,110,25,21,20 -j ACCEPT <BR>/sbin/iptables -I FORWARD -i eth0 -o ppp0 -p udp -s 192.168.1.0/24 -m multiport --dport 53,80,443,110,25,21,20 -j ACCEPT <BR> <BR>exit 0 <BR> <BR>"" <BR> <BR>Merci d'avance. <BR>
Avatar de l’utilisateur
Mouss-Grd
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 20 Mai 2003 00:00

Messagepar elbibelo64 » 22 Oct 2003 09:43

'lut, <BR> <BR>Y a aps une histoire avec les ports 500 et le protocole esp? <BR> <BR>cf forum.... <BR> <BR>
Avatar de l’utilisateur
elbibelo64
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 18 Oct 2003 00:00
Localisation: Bayonne (64)

Messagepar antolien » 22 Oct 2003 10:04

Il doit en effet avoir un problème si tu ajoute cette règle, tout ce qui vient du lan va être droppé, et les règles pour ipsec vont être shuntées. <BR> <BR>Regardes cette page, ça a été testé, et cela ne changait rien pour les connexions VPN. car les règles pour le VPN sont après. <BR><!-- BBCode auto-link start --><a href="http://antolien.nerim.net/ipcop/policie.htm" target="_blank">http://antolien.nerim.net/ipcop/policie.htm</a><!-- BBCode auto-link end -->
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar calamarz » 22 Oct 2003 11:18

Ton experience sur le hub VPN peut etre profitable a beaucoup de personnes et qui sait j'aurais peut être le declic pour mon probleme de routage VPN <IMG SRC="images/smiles/icon_biggrin.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron