VPN avec Mdk SNF et IPCop ??

[Trracer]

Bonjour, <BR> <BR>J'ai a faire fonctionner une liaison VPN entre mes deux controlleur de domaine (win2000). Ces derniers etant connecte au net via un firewall Mandrake SNF 7.2. <BR>Seulement voila, apparemment la SNF ne gere pas le VPN ! Pas de module ip_masq_pptp, rien... J'ai lu le howto vpn masquerading, mais cela commence par "compilez le noyau". Ce qui ne m'enchante franchement pas (d'autant que je ne sais pas quelles options a ete choisie par Mandrake lors de la compilation de leur machin...). <BR>Mes questions sont les suivantes : <BR>Y'a-t-il moyen de faire du routage pptp avec la mdk SNF ? <BR>Si non, peut-on le faire avec IPCop ? (sur le site d'IPCop il parle de serveur VPN (freeS/Wan), mais pas de masquerading de serveur VPN...) <BR>Y'a-t-il quelque chose qui puisse le faire autre qu'une distrib reparametre a la main (pas envie de passer un temps dingue la dessus :/ ) ? <BR> <BR>Merci <IMG SRC="images/smiles/icon_help.gif">

[phimi]

C'est possible avec Ipcop et son module pptp mais il faut en plus forwarder quelques ports vers ton serveur Windows 2000. Je pense qu'il s'agit des ports UDP 500 et 1701 et TCP 1723.

[Trracer]

Ah que voila une reponse interessante ! C'est justement ce que je voulais savoir: si ipcop avait le fameux module pptp. <BR>Bon je crois que Mandrake va definitivement etre elimine au profit d'ipcop... <BR> <BR>Merci ! <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Ah si, une autre question, ipcop utilise ipvsadm pour le routage des ports ou ipchain ? (la snf utilise ipvsadm et ça pose quelques problemes avec le ftp passif - ipvsadm ne supportant pas les intervalles de ports...)

[phimi]

Il utilise la commande "ipmasqadm portfw ..." pour forwarder les ports.

[Trracer]

Merci phimi <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Je viens d'installer ipcop sur une machine de test mais j'ai decidemment des problemes avec le vpn... <BR> <BR>Le module ip_masq_pptp est bien present, j'ai forwarde le port 1723 vers le serveur RAS (win2k), mais cela ne veut rien savoir <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Voici les commandes que j'ai essaye : <BR> <BR>ipchains -A forward -p tcp -s $host_pptp -d $any 1723 -j MASQ <BR>ipchains -A forward -p 47 -s $host_pptp -d $any -j MASQ <BR>ipmasqadm portfw -a -P tcp -L $ip 1723 -R $host_pptp 1723 <BR>ipfwd --masq $host_pptp 47 & <BR> <BR>avec : <BR>$host_pptp = serveur vpn (win2k - 192.168.0.xxx) <BR>$any = 0/0 <BR>$ip = ip public <BR> <BR>Mais cela ne passe pas... Quelqu'un a-t-il un lien vers une explication (pas le howto vpn masquerading ! je commence a avoir des indigestion a force de le lire et le relire !) ou mieux quelqu'un chez qui ça marche et qui pourrait me donner la marche a suivre ?? <BR> <BR>Merci !! <BR> <IMG SRC="images/smiles/icon_help.gif">

[phimi]

Salut Trracer <BR> <BR>Je viens de finir mes test pour voir comment ca marchait. C'est tjs OK. <BR>Rien de spécial coté W2K (default) <BR>Alors j'ai : <BR>1) par l'interface WEB, forwardé les ports UDP 500 et 1701 vers le W2K. <BR>2) par l'interface WEB, forwardé le port TCP 1723 vers le W2K. <BR>C'est pareil si on utilise ipmasqadm portfw ... <BR>3) par l'interface WEB (external service access) ouvert ces 3 ports (pour ALL pour commencer) <BR> <BR>Il ne reste plus qu'a "masquériser" le protocol GRE avec : <BR>/usr/sbin/ipfwd --masq 192.x.x.x 47 & <BR>192.x.x.x étant ton W2K <BR> <BR>Comme ca, cela devrait marcher tout seul...

[Trracer]

C'est bon !! <BR>Je ne sais pas pourquoi les premiers coups ça ne marchait pas (j'ai fais exactement la meme manip), mais maintenant ça roule <IMG SRC="images/smiles/icon_smile.gif"> Impec !!! <BR> <BR>Merci phimi <IMG SRC="images/smiles/icon_smile.gif">

[Trracer]

Ah je crois que j'ai parle trop vite, ça marche avec un client sous win2000 mais pas avec win98 ! <BR>Bon bein je suppose que win98 est encore un truc bizarre et que ça va etre galere pour le faire fonctionner... Rhaaa <IMG SRC="images/smiles/icon_cussing.gif">

[phimi]

Je sais pas. Ca fonctionne aussi avec XP. <BR>Quel est l'erreur ? <BR>Est ce un MS Win98 Second Edition ? <BR>Y'a des updates a faire pour le VPN pour les versions antérieures. <BR>Autrement est ce que ces W98 sont dans un domaine? Sous Me/9x on ne peut pas se valider dans un domaine local et faire une connection dans un autre domaine par VPN. <IMG SRC="images/smiles/icon_confused.gif">

[Trracer]

Bon ça marche ! J'ai reinstalle trois fois de suite la mise a jours dial-up de win98 et ça s'est mis a fonctionner ! Va comprendre quelque chose a cet OS de fou <IMG SRC="images/smiles/icon_eek.gif"> <BR>Bon maintenant y'a plus qu'a s'attaquer au ftp passif (et a modifier les script de ipcop, parce que j'ai pas envie d'ouvrir les ports passif a la main !) <BR> <BR>Merci phimi <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_bise.gif"> (ce smiley est excellent <IMG SRC="images/smiles/icon_lol.gif"> )

[Trracer]

Bon ça a l'air de marcher comme il faut ! Enfin !! <BR>J'ai modifie les scripts pour gerer l'ouverture de port 'à la chaine' pour le ftp passif (oui je suis feignant !). Et rajoute un script pour avoir les stats de transfert dans le mois (c'est pratique, surtout quand il y a des quota de transfert...). <BR> <BR>Mais j'aurais une autre question ! (et oui encore !). Le vpn forwarding fonctionne donc correctement. De l'exterieur je me connecte sur le serveur de domaine win2000 de ma boite. Le tout en dhcp, pas de probleme <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Mais est-il possible d'activer le vpn de ipcop en meme temps que le vpn forwarding (uniquement pptp pour cette derniere) ? <BR> <BR>En fait je conserverais le serveur vpn win2000 pour les connection mobile (road warrior c'est ça ?) et je connecterais de façon 'persistante' deux sites distant avec le serveur vpn de ipcop. <BR> <BR>Merci !! <IMG SRC="images/smiles/icon_up.gif">

[Trracer]

Oserais-je un <IMG SRC="images/smiles/icon_up.gif"> ? Et ben oui j'ose : <IMG SRC="images/smiles/icon_up.gif">