Pb et besoin d'aide pour mise en place de VPN pptp xp<=>xp

Pb et besoin d'aide pour mise en place de VPN pptp xp<=>xp - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 04-12-2009 à 16:32:42    

Bonjour à tous
 
Je vous expose ma requête à propos de la mise en place d'un VPN (en pptp si possible) en espérant y voir plus claire grâce à vous
et ceci après avoir déjà au préalable consulté plusieurs forum et fait plusieurs tests infructueux
 
L'architecture réseau à laquelle je m'interresse est en origine ainsi:
 
S1----R1----R2---- internet ----RR1----RR2----C1
 
puis pour fixer les choses on a
 
S1 : 192.168.3.500
R1 : 192.168.3.1 et 192.168.0.100
R2 : 192.168.0.1 et 90.X.Y.Z
 
RR1 : 89.I.J.K et 192.168.5.1
RR2 : 192.168.5.100 et 192.168.1.1
C1  : 192.168.1.140
 
S1 est en XP pro et C1 en XP home
 
 
Comme j'ai pu le lire sur différents forum et de manière identique, j'ai donc créé une connexion entrante VPN xp sur S1 pour la partie serveur et  
 
sur C1 une connexion entreprise VPN
 
sur R1,R2,RR1 et RR2 j'ai mis en place des règles de NAT pour répliquer les ports 1723 (TCP) et 47 (uDP) des adresses publiques vers les privées du S1 d'un coté et C1 de l'autre
 
j'ai aussi dit coté serveur (S1) que je reservais pour le tunnel les IP 192.168.3.140 et 192.168.3.141
et coté client (C1) j'ai aussi precisé pour le protocole tcp que je voulais l'adresse 192.168.3.140
 
Sur S1 un utilisateur est défini tintin34 qui a les droits admin et un mot de passe
 
Sur C1 j'ai un analyseur de flux qui me filtre les paquets qui sont acceptés sur C1 (ou refusé suivant une prédéfinition d'IP)
 
coté serveur on va dire que les firewalls sont éteinds (pour le moment)
coté client sur C1 il ya un firewall mais dans les règles avancées il n'est appliqué ue pour la connexion internet et non pour la nouvelle connexion VPN (du nom de VPN_S1)
 
voilà en gros l'architecture en precisant que j'ai fait des test infructeux sans explication en supprimant R1 et RR1 et aussi uniquement avec la supression de R1
 
Dans tous les cas la connexion se passe ainsi
1 sur C1 la connexion internet est active et lancement en sumaltanée de la connexion VPN_S1
2 je rentre tintin34 et son mot de passe
3 appel de l'hote distant par un nom de domaine (soit 90.X;Y.Z une fois résolu)
4 verification des mots de passes
 
5 très brève connexion puis deconnexion et erreur 769 ou 721
 
 
Dans le même temps sur l'analyseur de flux sur C1 je vois bien une premiere connexion avec un flux de paquets avec en port destination 1723 et un port source local sur le protocole TCP et ensuite je vois une quantité de messages avant l'erreur de 5° comprenant l'adresse 90.X.Y.Z (et l'ip locale de C1 en réponse) sur le protocole GRE (et non plus TCP) avec rien en port source et rien en destination
 
1) Est-ce que quelqu'un peut m'aider à avancer?
 
le routeur RR1 a une option pptp passtrough activée
le routeur R1 j'ai rien vu (c'est livebox sagem mais j'ai vu à droite et gauche qu'on peut l'utliser en VPN pptp en "natan" le port 1723)
 
2) pourquoi cette brève connexion et puis "machine pas accessible erreure 769" (où se situe le pb de NAT?)
3) R2 ou RR2 poseraient ils un problème lié au protocol GRE (qui ne serait pas comptatible pour l'un ou les deux) (dans ce cas que faire pour une autre solution VPN?)
4) sur les 4 routeurs il y a possibilité de port trigger, est ce que ca doit être implémenté (pour le port 47 entre autre et sur quels routeurs) pour faire avancer le problème
5) Le fait que aucun autre utilisateur est été créé sur S1 autre que tintin34 (qui est admin) est il en cause
6) les DMZ de certains routeurs doivent-elles etre mises en jeu? j'avais compris suivant l'avis général que non
7) le fait que le serveur S1 soit en XP pro SP1 et C1 en XP Home SP3 aurait il une influence
 
8) sinon si je ne peux pas utiliser le vpn XP pptp que puis-je faire pour réaliser un VPN sur cette architecture entre S1 et C1?
 
merci a tous ceux qui pourront m'aider ou participer à ce poste sur une ou plusieurs questions posées afin que la situation d'echec actuelle puisse évoluée et que certaines de ces questions trouvent une réponse afin dans ecarter les pistes éventuelles
 

Reply

Marsh Posté le 04-12-2009 à 16:32:42   

Reply

Marsh Posté le 04-12-2009 à 17:08:35    

heu! :( pour le 500 dans les Ip c'est une faute de typo désolé, je sais bien qu'en base 10 chaque octet des 4 ne va qu'à 255 (et non 500)
 
mettez ce que bon vous semble 50 par exemple pour rappeler le 500

Reply

Marsh Posté le 05-12-2009 à 13:40:57    

Personne n'a des idées?
 
Je reste à la disposition, si vous avez besoin d'informations complémentaires pour m'aider
 
en attendant vos propositions, j'ai mis en place cette autre configuration où j'ai supprimé les routeurs intermédiaires R1 et RR2
 
La connexion ne se fait toujours pas
 
et je ne vois plus de paquets revenir sur C1 en provenance de R2 (90.X.Y.Z).
 
Il y a pourtant une règle de NAT en TCP de R2 vers S1 sur le port 1723
(idem coté routeur client avec en plus l'option Passtrough activée)
 
Je pense que un des problèmes se situe surement sur le Routeur R2 (livebox) ou niveau du retour des paquets en provenance de S1
 
je suis allé dans les configurations avancées/parefeu (qui est en mode normale ou entrée est rejetée et sortie acceptée - mais ca marche pas plus en mode minimal ou sortie et entrée accepté)
 
Dans les configurations avancées/pare feu/ je suis allé dans filtrage avancé et là j'ai défini deux règles une entrée sut tcp:1723 et GRE de l'adresse publique de RR1 vers celle de R2
 
l'autre en sortie sur les mêmes protocoles de l'adresse de S1 vers TOUTES adresses
 
J'ai en plus été dans configuration avancée/pare feu/translation port dynamique et ajouté une règle et indiqué une règle de déclanchement de port sur les données entrantes
 
en indiquant:
-- ports sortant de déclanchement TCP:1723 et GRE
-- ports entrant à ouvrir:              TCP:1723 et GRE
 
quelqu'un voit il comment je dois paramétrer cette foutu livebox?
 
j'ai vu sur un forum dédié à la livebox un tutorial qui semble dire qu'on peut mettre un serveur vpn pptp derrière une LB

Reply

Marsh Posté le 05-12-2009 à 14:42:17    

J'ai oublié de préciser dans mon dernier message que j'avais journalisé les règles
 
et en regardant les log sur la livebox, on voit un passage avec succès de l'adresse publique de RR1 vers R2 livebox mais une erreur de NAT en provenance de l'ip privée de S1
 
Je pense que le problème est sur le retour et le passage de GRE dans le port TCP:1723, et la recupération des ports locaux utilisés  
 
car C1 recoit bien un message disant que les ports ont été ouverts que l'adresse publique de R2 a ete trouvée et que S1 verifie l'authentification puis erreur (temps trop long pour la réponse retour)
 
quelqu'un voit il avec ces nouvelles précisions où pourait etre les problèmes?  
 
entre autre sur le paramètrage de la livebox (sagem je crois)
 
 
Maintenant j'ai ceci dans les log de la livebox
Heure                      Evénement      Type d'événement                Détails
 
Dec 5 19:33:05 2009  Trafic sortant   Bloqué-NAT out failed           ICMP type 3 code 2 90.X.Y.Z->89.I.J.K                                                                                                      on ppp0
Dec 5 19:33:05 2009  Trafic entrant Accepté-Advanced Filter Rule  GRE 89.I.J.K  ->  90.X.Y.Z on ppp0
 
ca peut aider quelqu'un?  
est ce le routeur  R2(livebox) qui bloque?  
j'ai rajouté une règle d'acceptation icmp (réponse à l'echo) sortante en provenance de l'ip de S1 mais j'ai toujours ce blocage
 
la règle est mal ecrite? que faudrait il que je fasse?
 
ou bien c'est sur le routeur RR1 qu'il faut ajouter une autre règle?
 :pt1cable: help! si possible merci d'avance


Message édité par tintin34 le 05-12-2009 à 20:25:21
Reply

Marsh Posté le 05-12-2009 à 22:38:13    

Ils sont véhiculés sur quels ports ces paquets ICMP?
 
Si j'ai bien compris le type3 correspond a une destination innaccessible?
c'est donc RR1 qui fait pas ce qu'il faut?

Reply

Marsh Posté le 05-12-2009 à 23:06:37    

d'après ce lien le message d'erreur signifierait:
http://www.commentcamarche.net/con [...] /icmp.php3
 
protocole pas accessible
bon pourquoi pas
 
un peu d'aide pour voir où ca va pas serait pas de refus ;)
 
je me demande si ca vient du serveur vpn sur S1 avec les 2 adresses ip reservées pour le VPN
 
ou si ca vient d'une mauvaise redirection d'un des deux routeurs R2(livebox) ou RR1 (netgear)
 
ou encore si ca pourrait venir d'un pare feu (sur R2 ou sur C1) mais en les coupant ca change rien à priori (à moins d'une boulette de ma part :( )

Reply

Marsh Posté le 06-12-2009 à 11:53:14    

personne ne voit quesqu'il se passe?
 
quelle règle de NAT il manquerait?
 
j'ai vu ca dans un forum mais je ne sais pas si c'est pertinant ni ce qu'il faut faire avec ca ou encore si ca va pas ouvrir une brèche dans le tunnel
Des avis supplémentaires seraient le bien venu afin que j'y vois plus clair
 
 
ISAKMP: UDP, port 500 (incoming1 and outgoing2)
ESP: IP, protocol 50 (incoming1 and outgoing2)
Encapsulated ESP : UDP, port 1972 (incoming1 and outgoing2)
HTTPS: TCP port 443 (outgoing2)
 
 
ces règles sont elles a mettre dans :

  • Configuration avancée/parefeu/translation dynamique
  • ou dans configuration avancée/parefeu/filtrage avancé (j'ai essayé d'écrir des règles dans cette option, mais toujours cette même erreure de NAT sur les paquets sortants et ICMP)


  • ou encore dans configuration basic/serveur lan    (où ne trouve que UDP et TCP pour faire du NAT alors que dans la configuration avancé tous ces protocoles existent)


Message édité par tintin34 le 06-12-2009 à 12:22:42
Reply

Marsh Posté le 06-12-2009 à 20:16:54    

85 visites pas une idée? quel est le problème j'ai pas posté dans la bonne catégorie?
 
il manque des précisions pour pouvoir m'aider?
 
vu la popularité des vpn pptp je dois pas etre le seul dans ma situation, certains ont bien quelques idées pour répondre ou ou exposer des idées sur tous les éléments que j'ai déjà donnés,
 
Non?

Reply

Marsh Posté le 07-12-2009 à 10:17:48    

Personne ne voit pourquoi le "firewall" de R2(livebox) rale à propos d'une erreure de NAT sur trafic sortant?
 
Du reste (si on coupe le firewall de la livebox le message existe aussi)
 
Je croyais que seul le port 1723 devait etre en NAT sur R2
vers l'adresse privée de S1 ou vers celle qu'il utilisera pour le VPN?
 
y a t'il d'autre ports à rediriger sur cette livebox?
vu que c'est du trafic sortant qui semble bloqué, cela veut il dire il manque une redirection sur RR1? (il y a 1723 en tcp) mais en faut -il d'autres?


Message édité par tintin34 le 07-12-2009 à 10:18:54
Reply

Marsh Posté le 08-12-2009 à 10:41:09    

sur un forum où je suis tombé par hasard hier où l'on parle de la livebox uniquement, beaucoup se sont mis à rencontrer subitement des problèmes innexpliqués concernant leurs adresses de NAT avec la livebox SAgem
 
et d'un coup leur jeux en reseau, ou d'autres leur serveur FTP ou Web encore se sont mis à plus marcher produisant la même erreure que je vous ai signalé avoir plus haut
 
certains avancent sans que ca est pu etre confirmé ou infirmé que ce pourrait être du à la mise à jour automatique du firmeware, qu'orange à fait sans prévenir, et qui se termine par 26014A (c'est bien celui là que j'ai aussi sur cette livebox), serait buguée
 

  • Est ce que des personnes ici ont eu la même erreur?
  • est ce que vous pensez que le problème que je rencontre s'explique justement par ce firmeware?
  • si oui comment faire pour remettre le précédant ou bien une nouvelle version qui serait meilleure?
  • sinon comment je peux m'y prendre pour localiser ce qui provoque cette erreur dans le journal de la livebox?

Reply

Marsh Posté le 08-12-2009 à 10:41:09   

Reply

Marsh Posté le 13-12-2009 à 15:41:39    

Après avoir remis à zero la livebox et changé le thème orange par le OpenRG, puis remis des règles de transmission de port
 
je vois dans le journal maintenant (après erreure 678 maintenant), les infos suivantes
 
Dec 13 15:22:50 2009 Trafic entrant Connection opened 813d1c00 TCP 90.X.Y.Z 1723 <--> 90.X.Y.Z 1723 [89.I.J.K 2254 ] CLOSED/SYN_SENT ppp0 Incoming  
 
Dec 13 15:22:50 2009 Trafic entrant Accepté - Advanced Filter Rule TCP 89.I.J.K:2254->90.X.Y.Z:1723 on ppp0
 
Donc là visiblement le paquet d'innitiation arrive sur la livebox, le parefeu l'accèpte semble t'il avec la règle avancée d'authorisation entrante (tout accepter en provenance de 89.I.J.K en paquet state full)
 
mais après on dirait que le paquet est pas forwardé 192.168.0.100 sur le port 1723
 
sinon il me semble que dans le journal on verait une autre ligne entrante où 90.X.Y.Z serait rempalcée 192.168.0.100
 

  • quelqu'un peut il m'aider (où m'indiquer des tests à réaliser pour faire avancer le probleme)?


  • est ce que c'est la livebox qui essait (par dns ou autre) de chercher 192.168.0.100 vers l'exterrieur au lieu de le chercher vers l'interrieur?


  • quelqu'un sait il me dire à nouveau l'ensemble des paramètres que je dois mettre su la livebox afin de voir si j'ai bien tout  ecrit comme il faut et voir pourquoi maintenant les premiers paquets de vont plus vers le reseau interne coté serveur vpn

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed