Impossible de monter VPN avec ADSL 9TELECOM - Blocage ports?

[keraden]

Bonjour à tous,

J'avais depuis quelques temps un VPN Road Warrior (PSK) qui fonctionnait très bien depuis un poste en Windows XP avec les Supports Tools et un IPCOP 1.4.6 connecté en Ethernet sur une NeufBox.
Je ne l'ai pas utilisé pendant quelques temps et lorsque j'ai voulu le réutiliser, ça ne fonctionnait plus, sans raison apparentes. J'ai fait des tests de connexion depuis une ligne RTC à côté de l'IPCOP sans succès

J'ai commencé par réinstaller les services IPSEC sur le poste en Windows XP.
Sans succès, j'ai décidé de réinstaller mon IPCOP, mais toujours les mêmes mauvais résultats.

J'ai ensuite installé sur le poste en XP Pro, Sentinel SSH en version 1.3.22. J'ai suivi le tutoriel pour la création d'un tunnel VPN en RoadWarrior vers IPCOP 1.4.6 basé sur l'échange de certificat.
J'ai suivi la procédure de bout en bout pour la partie cliente sur le poste en Windows XP et la partie IPCOP.
Mais impossible de monter le tunnel.

Ne comprenant pas d'ou cela pouvait provenir, j'ai lancé la commande suivante sur mon IPCOP : tcpdump -a -i ppp0 src <adresse WAN sur accès RTC>. Sur l'interface ppp0, je vois arriver les paquets ICMP, les paquets HTTP et HTTPS, mais pas les paquets de connexions lorsque j'essaie de monter le tunnel.
J'ai fait des tests de connexions avec les paquets nécessaires pour monter un tunnel IPSEC (ex : telnet IPCOP 50) :
TCP 4500 NAT-T
TCP 47 GRE
TCP 50 ESP
TCP/UDP 500 IKE
TCP 51 AH
Je ne vois arrivé sur l'interface ppp0 que les paquets TCP 4500.

J'ai fais des recherches sur le forum et je n'ai rien trouvé concernant des blocages de ports par l'opérateur 9TELECOM. Je n'ai trouvé personne qui avait monté un serveur VPN derrière un accès ADSL 9TELECOM.

Suis-je sur la bonne piste ? Je vais essayer de contacter 9TELECOM demain.
Pourriez-vous m'aider ou m'indiquer si vous avez réussi à faire fonctionner un VPN road Warrior avec ma configuration ?

Merci d'avance

[HaM]

Personnelement je n'ai jamais eu de pb avec Neuf et le VPN, cependant tu devrais regarder le NAT-traversal Les lignes ADSL sont montées avec un NAT en cascade ça peut parfois poser problème pour le VPN.
Mais je ne suis pas sur de ce que j'avance alors corrigez moi si je me trompe

[keraden]

Salut HaM,

merci pour l'intérêt que tu as montré à mon post.
Je vois sur ton profil que tu es branché derrière un accès FREE. As-tu testé des serveurs VPN derrière une NeufBox.
Je viens d'avoir le support qui m'a confirmé que des firmwares étaient en cours de déploiement sur les neufbox pour laisser passer certains flux.
Ils m'ont proposé de faire le test ce soir avec un modem classique.
Je vous tiens au courant.

A+

[funky-loran]

Salut KERADEN,

Mon FAI est NEUF et j'ai un serveur VPN standard sur une ipcop 1.4.6.
Je me connecte au serveur via SSH Sentinel 1.322 sous XP ou 2000.
Je l'ai installé en suivant le tuto.
J'ai reussi à connecter le client sous FREE vers mon IPCOP sous 9online.
J'utilise le wifi sur poste client portable et dans certains lieux ça ne passe pas (ex: aéroports, etc..), probablement bloqué par leur firewall..

Si tu veux des précisions n'hésite pas.
Loran

[keraden]

Salut funky-loran,

utilises-tu la 9Box ou un autre modem Ethernet ADSL derrière ton accès ?

Je teste un autre modem en ce moment : COMTREND CT-562.

Merci pour ta réponse

A+

[sioca]

as tu ouvert les ports sur l'ipcop ?

[keraden]

Salut sioca,

penses-tu qu'il faille que j'autorise ces flux là sur IPCOP :
TCP 4500 NAT-T
TCP 47 GRE
TCP 50 ESP
TCP/UDP 500 IKE
TCP 51 AH

Mais à destination de quelle adresse IP ? Le tunnel se monte sur l'interface rouge ????

Merci pour votre aide

[Gesp]

Comment est configuré la neufbox?

Est-ce qu'elle fait du nat?

[sioca]

Créer un VPN ou meme activer la fonction VPN n'implique pas l'ouverture des ports. Il faut les ouvrir dans : "pare-feu/accès extétieurs"

[jdh]

Le VPN ne peut s'établir par les bons ports ne sont pas ouverts !

Il s'agit juste d'un détail qui fait toute la différence ! keraden indique les traffics suivants :

TCP 4500 NAT-T
TCP 47 GRE
TCP 50 ESP
TCP/UDP 500 IKE
TCP 51 AH

Or il s'agit de

UDP 4500 pour NAT-T
IP 47 pour GRE
IP 50 pour ESP
UDP 500 pour IKE
et IP 51 pour AH.

Les ports 500 et 4500 sont en UDP. GRE, ESP et AH utilise des paquets de type IP.

La confusion c'est que IP c'est les paquets de transports. Ensuite TCP, UDP sont des sous-protocoles de IP comme ESP, AH ou GRE. On confond le n° de protocole IP et les ports compléments des 2 sous-protocoles IP les plus classiques TCP (de n° 6) et UDP (de n° 18).

Je ne peux que suggérer le magnifique et très complet site http://www.frameip.com/.[/url]

[keraden]

Bonsoir à tous et merci pour l'intérêt que vous portez à mon post.

Depuis mon premier message, j'ai fait beaucoup de tests, toujours sur des IPCOP 1.4.6 et derrière des FAI différents.
Voici le constat :
un VPN RoadWarrior depuis un poste en Windows XP (Supports Tools) en Pre Shared Key (PSK) fonctionne nickel vers les accès :
-Wanadoo (testés 2 IPCOP et accès différents)
- Free (1 IPCOP)
Sur ces ipcops, j'ai simplement générer les certificats SYTEME et RACINE et créer un tunnel RoadWarrior par PSK avec un nom enregistré dans un DNS Dynamique (no-ip.com). Je n'ai autorisé aucun service externes !

J'ai créer la même chose sur mon IPCOP derrière mon accès Neuf Telecom et impossible de monter le tunnel. En réalisant un TCPDUMP sur l'interface ppp0, je vois bien arrivé les packets ISAKMP, mais la réponse ne repart pas. Je suis maintenant persuadé que Neuf Telecom bloque certains ports.Sur les autres accès (Wanadoo, Free), je vois les réponses aux paquets ISAKMP et les échanges ESP.

Je suis équipé avec une NeufBox TrioC. Je vais contacter le support Neuf et voir si un firmware pour cette p... de 9Box ne corrigerait pas le problème.

A bientôt

[keraden]

Conclusion :

après avoir fait les tests derrière un autre accès N9uf Telecom, et avoir eu le support au téléphone, j'ai eu la confirmation : IMPOSSIBLE DE MONTER UN TUNNEL VPN DERRIERE UN ACCES NEUF TELECOM !!!
Le support m'a confirmé en ligne que ces flux n'étaient pas autorisés.

Je crois que je vais changer d'opérateur, mais vers lequel aller ? Je n'ai pas l'utilité de la télé chez FREE ....

Je suis désabusé ....

Vos conseils sur les opérateurs ADSL sont les bienvenus

A+

[Les_Marches]

Hello,

je te conseille http://www.grenouille.com/ pour observer les stats des différentes offres des FAI.