Témoignage VPN et question !

[Mouss-Grd]

Bjour, <BR>Je voudrais publier mon expérience VPN + IPCOP 1.3 plus les fixes et en faire profiter à tous ceux travaillent sur un projet de ce type, ce forum m'a d'ailleurs bcp aidé, merci à tous. <BR> <BR>J'ai terminé le déploiement d'un VPN Ipsec avec Ipcop 1.3 + les 4 fixes et tout semble OK pour l'instant : <BR>- HUB VPN à Paris <BR>- 9 POP VPN sur la France <BR>- 1 POP VPN en Pologne <BR>- 1 DMZ sur le HUB de Paris <BR>- 1 serveur PPTP à Paris sous SME <BR>- Station de monitoring : SME + NAGIOS <BR> <BR>Les temps de réponse sont en moyenne de 120 ms entre HUB -> POP et de 240 ms de POP -> POP (transitant par le HUB) <BR> <BR>Tous les abonnenement ADSL ont été pris chez Ouanadoo, je suis obligé de tout migrer chez 1 autre provider. Le support de Ouanadoo (c'est pas nouveau, est nul !) <BR> <BR>Je conseil à tous ceux tentés par une telle experience d'opter dès le départ pour des abonnement en IP Fixes !!! Les liensVPN ne remontent pas tjours au changement IP tous les 24H chez Ouanadoo et on est obligé des bricoler avec des scripts et dans la crontab. <BR> <BR>Le fixe 3 (je crois) a bcp amélioré la reconexion automatique à de IPcop. <BR> <BR>Le serveur d'accès distant PPTP est fourni par une station SME 5.6 et Nagios et ça marche très bien. <BR> <BR>Si vous avez d'autres questions sur cette expérience, n'hsitez pas ... <BR> <BR>QUESTION : <BR> <BR>Je voudrais interdire sur Paris, dans le sens LAN --> Internet, l'accès aux services à divers services de téléchargements (Edonkey, Emule, etc...) et n'autoriser que les ports 53, 80, 443, 110, 25, 21, 20 en sortie( sur ppp0). Tout est autorisé sur ipsec0 l'interface Ipsec du VPN. <BR> <BR>Losque j'aplique à la fin de mon /etc/rc.d/rc.firewall (juste avant "le exit 0" ) les règles ci-dessous, les connexions externes en PPTP ne marchent plus, ce qui est normal au vu de la configuration ... Quelqu'un aurait-il une idée comment n'ouvrir que ces ports sans bloquer les accès en PPTP ? <BR> <BR> <BR>"" <BR>/sbin/iptables -I FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -j DROP <BR>/sbin/iptables -I FORWARD -i eth0 -o ppp0 -p tcp -s 192.168.1.0/24 -m multiport --dport 53,80,443,110,25,21,20 -j ACCEPT <BR>/sbin/iptables -I FORWARD -i eth0 -o ppp0 -p udp -s 192.168.1.0/24 -m multiport --dport 53,80,443,110,25,21,20 -j ACCEPT <BR> <BR>exit 0 <BR> <BR>"" <BR> <BR>Merci d'avance. <BR>

[elbibelo64]

'lut, <BR> <BR>Y a aps une histoire avec les ports 500 et le protocole esp? <BR> <BR>cf forum.... <BR> <BR>

[antolien]

Il doit en effet avoir un problème si tu ajoute cette règle, tout ce qui vient du lan va être droppé, et les règles pour ipsec vont être shuntées. <BR> <BR>Regardes cette page, ça a été testé, et cela ne changait rien pour les connexions VPN. car les règles pour le VPN sont après. <BR><!-- BBCode auto-link start --><a href="http://antolien.nerim.net/ipcop/policie.htm" target="_blank">http://antolien.nerim.net/ipcop/policie.htm</a><!-- BBCode auto-link end -->

[calamarz]

Ton experience sur le hub VPN peut etre profitable a beaucoup de personnes et qui sait j'aurais peut être le declic pour mon probleme de routage VPN <IMG SRC="images/smiles/icon_biggrin.gif">