VPN nomade quand tu nous tiens

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar mi_moun » 13 Nov 2003 16:21

Apres de longues nuits blanches à chercher dans les how to & co ! J’ai décidé de faire appel à un ami… Je m’explique. <BR> <BR>J’aimerai faire un VPN pour que les commerciaux puissent se connecter à mon intranet depuis l’extérieur, et oui c’est bien du VPN Nomade dont je veux parler. Alors, premier réflexe, analyse du matos : Des supers cartes GPRS Sfr. Je décroche mon téléphone pour appeler la cellule spécialisée SFR Data ! ( ça en jette non ? ) Il me donne comme info, pour faire ça il faut un routeur type cisco 3000 ou un checkpoint SP1, le reste nous on sait pas faire ! Autre précision de ce monsieur, sfr à bloquer les ports pptp, ldtp et enfin l2tf. <BR> <BR>Alors voila mon problème, j’ai une installe avec un IPCOP 1.3, avec une DMZ, un routeur la marque RTM (marque plus connus sous le nom de ROUTEUR DE $%#&! !) qui supporte le forward de port et le NAT. J’aimerai ne pas à avoir à changer toute mon installe. Alors que faire … j’ai bien regarder tout les How to & co mais rien qui marche ! Alors pour les plus courageux qui ont lu ce port : voici ma config. <BR> <BR>@ -Routeur - Red 192.168.1.8/24 -- IPCOP -- Green 192.168.20.8/24 -- réseau local <BR> <BR>petite presision sur le fonctionnement du GPRS: <BR> <BR>PC portable ---- serveur DHCP SFR --- Routeur SFR ---- @ <BR>je ne dispose donc pas d'adresse public, donc NAT ! <BR> <BR> <BR>Plus une dmz mais qui ne rentre pas dans le sujet présent pour le moment. <BR> <BR>J’ai essayé de faire mon VPN comme décrit dans un exemple de MNF pour faire un VPN avec une connexion GPRS mais ca ne donne rien, il doit y avoir un truc bien spéciale à faire sur Ipcop je pense ou sur mon client nomade (XP) <BR> <BR>Alors si quelqu’un à deja reussi à faire un VPN de se type, je suis preneur des fichiers de config ! ou sinon, me dire vers quel type de VPN je doit me tourner. <BR> <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>please <IMG SRC="images/smiles/icon_help.gif"> me !
Avatar de l’utilisateur
mi_moun
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Nov 2003 01:00

Messagepar belugha » 13 Nov 2003 17:44

Je ne pense pas que le GPRS soit un obstacle. <BR>Inspire toi de <!-- BBCode auto-link start --><a href="http://vanhees.homeip.net/index.php?module=ContentExpress&func=display&ceid=10" target="_blank">http://vanhees.homeip.net/index.php?module=ContentExpress&func=display&ceid=10</a><!-- BBCode auto-link end --> <BR> <BR>Et post nous le resultat <IMG SRC="images/smiles/icon_wink.gif"> <BR>Bon courage
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar mi_moun » 14 Nov 2003 10:29

bon alors, ca avance, voici la trace d'un ping depuis le nomade: <BR> <BR>Nov 14 08:21:31 ipcop pluto[6079]: | <BR>Nov 14 08:21:31 ipcop pluto[6079]: | *received 56 bytes from 213.223.191.36:682 on eth2 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | a2 df 2c 66 91 5f 91 55 00 00 00 00 00 00 00 00 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | 0c 10 05 00 fb 70 7b 32 00 00 00 38 00 00 00 1c <BR>Nov 14 08:21:31 ipcop pluto[6079]: | 00 00 00 01 01 10 00 01 a2 df 2c 66 91 5f 91 55 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | 00 00 00 00 00 00 00 00 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | **parse ISAKMP Message: <BR>Nov 14 08:21:31 ipcop pluto[6079]: | initiator cookie: <BR>Nov 14 08:21:31 ipcop pluto[6079]: | a2 df 2c 66 91 5f 91 55 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | responder cookie: <BR>Nov 14 08:21:31 ipcop pluto[6079]: | 00 00 00 00 00 00 00 00 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | next payload type: ISAKMP_NEXT_D <BR>Nov 14 08:21:31 ipcop pluto[6079]: | ISAKMP version: ISAKMP Version 1.0 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | exchange type: ISAKMP_XCHG_INFO <BR>Nov 14 08:21:31 ipcop pluto[6079]: | flags: none <BR>Nov 14 08:21:31 ipcop pluto[6079]: | message ID: fb 70 7b 32 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | length: 56 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | ICOOKIE: a2 df 2c 66 91 5f 91 55 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | RCOOKIE: 00 00 00 00 00 00 00 00 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | peer: d5 df bf 24 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | state hash entry 16 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | state object not found <BR>Nov 14 08:21:31 ipcop pluto[6079]: | ***parse ISAKMP Delete Payload: <BR>Nov 14 08:21:31 ipcop pluto[6079]: | next payload type: ISAKMP_NEXT_NONE <BR>Nov 14 08:21:31 ipcop pluto[6079]: | length: 28 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | DOI: ISAKMP_DOI_IPSEC <BR>Nov 14 08:21:31 ipcop pluto[6079]: | protocol ID: 1 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | SPI size: 16 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | number of SPIs: 1 <BR>Nov 14 08:21:31 ipcop pluto[6079]: packet from 213.223.191.36:682: ignoring Delete SA payload: not encrypted <BR>Nov 14 08:21:31 ipcop pluto[6079]: | del: a2 df 2c 66 91 5f 91 55 00 00 00 00 00 00 00 00 <BR>Nov 14 08:21:31 ipcop pluto[6079]: | next event EVENT_SHUNT_SCAN in 34 seconds <BR>Nov 14 08:22:05 ipcop pluto[6079]: | <BR>Nov 14 08:22:05 ipcop pluto[6079]: | *time to handle event <BR>Nov 14 08:22:05 ipcop pluto[6079]: | event after this is EVENT_REINIT_SECRET in 2760 seconds <BR>Nov 14 08:22:05 ipcop pluto[6079]: | inserting event EVENT_SHUNT_SCAN, timeout in 120 seconds <BR>Nov 14 08:22:05 ipcop pluto[6079]: | next event EVENT_SHUNT_SCAN in 120 seconds <BR> <BR> <BR>alors pourquoi il y a des pakects ignorés ? ca viens d'où ? ...
Avatar de l’utilisateur
mi_moun
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Nov 2003 01:00

Messagepar belugha » 14 Nov 2003 10:33

Peux-tu nous donner tes fichiers confs, coté Ipcop et nomade ? <BR>Ensuite, regarde tes logs dans /var/log/secure <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar mi_moun » 14 Nov 2003 11:14

le fichier /var/log/secure est juste au dessus <BR> <BR>ipsec.conf XP: <BR>-------------------------------------- <BR>conn portable <BR> left=213.223.202.3 <BR> leftsubnet=192.168.20.0/24 <BR> right=%any <BR> presharedkey=pass <BR> network=auto <BR> auto=start <BR> pfs=yes <BR>------fin ipsec.conf XP ------------- <BR> <BR> <BR> <BR> <BR>ipsec.conf ipcop: <BR>-------------------------------------- <BR> <BR>config setup <BR> interfaces=%defaultroute <BR> klipsdebug=none <BR> plutodebug=all <BR> plutoload=%search <BR> plutostart=%search <BR> <BR>conn portable <BR> left=213.223.202.3 <BR> compress=no <BR> leftsubnet=192.168.20.0/24 <BR> leftnexthop=%defaultroute <BR> type=tunnel <BR> authby=secret <BR> pfs=yes <BR> right=%any <BR> rightnexthop=%defaultroute <BR> auto=add <BR>------fin ipsec.conf IPCOP ------------- <BR> <BR> <BR>ipsec.conf secret: <BR>------------------------------------- <BR>213.223.202.3 %any : PSK "pass" <BR>------fin ipsec.secret IPCOP ------------- <BR> <BR> <BR><BR><BR><font size=-2></font>
Avatar de l’utilisateur
mi_moun
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Nov 2003 01:00

Messagepar brighton42 » 14 Nov 2003 17:27

Bonjour, <BR> <BR>ta solution m'intéresse. Peux tu me dire comment s'appelle l'offre SFR que tu utilises pour pouvoir faire du VPN avec GPRS? <BR> <BR>Merci
Avatar de l’utilisateur
brighton42
Matelot
Matelot
 
Messages: 1
Inscrit le: 14 Nov 2003 01:00

Messagepar mi_moun » 17 Nov 2003 09:20

pour l'offre SFr je parle de la VMCC (Vodafone mobile connect card) avec un forfait GPRS sur un abo entreprise. Si tu veux des renseignement sur l'offre SFR renseigne toi au pres de ton espace SFR le plus proche !( un peut de pub ne fait jamais de mal !) <BR> <BR> <BR>Bon d'apres les differentes recherches diverses depuis une semaine, mon probleme <BR>vient de mon routeur. <BR> <BR> <BR>En effet je l'utilise en tant que passerelle NAT et non en Bridge, je pense que le probleme vient de la, car Ipsec ne support pas le NAT si je me trompe, sauf encapsulé dans de l'UDP sur le protocol 50 il me semble. Donc il faut que j'active le mode Bridge, et que Ipcop s'occupe de gerer le reste. <BR> <BR>Je vais tester ca aujourd'hui je pense, si mes collégues supportent de ne pas avoir le net pendant 1 heure <IMG SRC="images/smiles/icon_mad.gif"> ! ca va etre dur ! <BR> <BR>Je tiens informé de mes resultats avenir. <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
mi_moun
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Nov 2003 01:00

Messagepar mi_moun » 18 Nov 2003 19:13

bon alors, on avance, enfin je pense ... Alors j'ai passé mon routeur en bridge mais le probleme ... je n'avais pu de connexion internet! ma ligne etait coupé ! Merci FT ! <BR> <BR>Bon sinon, je viens de recuperer ma ligne et j'arrive à me connecter avec mon routeur en mode routeur mais quand je passe en bridge, je n'arrive pas a configurer IPCop ( pour rappel 1.3.0 fix 5) <BR> <BR>Alors pour la config, quand je suis dans le routeur, j'ai le choix entre: <BR>RFC1483 ou PPTP to PPPOA Relaying. Alors j'ai essaier de le metre en more PPTP tp PPPOA puis dans Ipcop de passer mon RED en PPTP. <BR> <BR>bon, ca ne marche po .... <BR> <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Alors si qq'un à reussi à utiliser un routeur Jupiter en mode bridge avec IpCop je serai contant d'avoir la config
Avatar de l’utilisateur
mi_moun
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Nov 2003 01:00

Messagepar Gesp » 18 Nov 2003 20:03

D'abord tu dois savoir par quel protocole tu es connecté au net actuellement au niveau de ton modem/routeur pour pouvoir transposer au niveau d'IPCop. <BR> <BR>Dans le cas général, c'est PPPoA et ou PPPoE, ( rarement PPTP qui était la solution uniquement des premiers clients ADSL). Et PPPoE est le cas le plus courant pour les modems en ethernet. <BR>En général, les clients en PPTP peuvent passer en PPPoE, il suffit de le demander à FT. <BR> <BR>Si tu passes ton routeur en bridge, tu ne peux faire que du PPPoE ou PPTP. <BR> <BR>Peut-être es-tu le monsieur Jourdain de la RFC1483/2684? <BR>PPPoE RFC2516 est un des modes de la RFC1483/2684 donc j'essayerais en RFC1483 dans le routeur et PPPoE sur ethernet dans IPCop. <BR> <BR>Sinon au dessus de RFC1483 il est possible d'utiliser une IP fixe ou DHCP.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mi_moun » 19 Nov 2003 08:33

merci de cette reponse, alors petite precision, ma connexion est en PPPOA et non en PPTP ( FAI: Cegetel ). Je vais tester avec la RFC1483 et PPPOE, avec un peut de chance ... <BR> <BR>Reste aussi à determeiner le mode d'encapsulation: VC MUX ou LLC / SNAP ? Je vais tester avec les deux de toute facon ! <BR> <BR> <BR>Merci encore pour ce commentaire. <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
mi_moun
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Nov 2003 01:00

Messagepar calamarz » 08 Déc 2003 18:43

Bonjour, nous voudrions faire le même test dans ma société, le test au final a-t-il fonctionné ???? Merci
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar rage » 17 Déc 2003 18:08

Salut, <BR> <BR>Dans l'offre SFR, la VMCC est proposé avec un forfait GPRS 5,20,60 ou 300 mo. <BR>Avec la possibilité de demander gratuitement un point d'accès privé, mais ce qui est interessant c'est qu'on peut demander une adresse ip publique pour celui qui en justifie le besoin lors de l'abonnement. Et hop lors de la connection vous avez une adresse publique comme avec nos bon vieux modems....
Avatar de l’utilisateur
rage
Matelot
Matelot
 
Messages: 1
Inscrit le: 17 Déc 2003 01:00
Localisation: LYON

Messagepar calamarz » 19 Déc 2003 18:38

Ok donc apres avec un dyndns.org ou autres on peut etablir un tunnel VPN, quelqun a deja reussit a faire fonctionner ce syteme (GPRS VPN) var la semaine prochaine SFR me passe un carte GPRS alors je voudrais bien faire le test, merci <IMG SRC="images/smiles/icon_bise.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité