Je souhaite connecter mon réseau local à celui de mon père. Le but est
que les machines se voient comme si elles appartenaient à un même réseau
local. Nous sommes tous les deux équipés de Freebox.
Toutes les machines tournent avec Mac OS X 10.4 Client.
D'après ce que j'ai compris, ce que je cherche à faire c'est un VPN. Il
y a plusieurs méthodes :
1/ Utiliser /usr/sbin/vpnd mais contrairement à Mac OS X Server, il n'y
a pas de méthode simple pour le configurer. Il fait PPTP ou IPSec. En
supposant que ça marche, est-ce que ça passe à travers une Freebox ?
Le but est ensuite d'ajouter des routes :
client$ sudo route add -net 192.168.0.0/24 gw 192.168.254.254
server$ sudo route add -net 192.168.1.0/24 gw 192.168.254.253
Le problème c'est que ça coïnce déjà à la première ligne (celle avec
pppd). Il me dit :
Mon Nov 12 11:02:24 2007 : set_up_tty, can't set controlling terminal:
Operation not permitted
Mon Nov 12 11:02:24 2007 : Using interface ppp0
Mon Nov 12 11:02:24 2007 : Connect: ppp0 <--> /dev/ttyp2
Mon Nov 12 11:02:55 2007 : LCP: timeout sending Config-Requests
Mon Nov 12 11:02:55 2007 : Connection terminated.
3/ openvpn. J'ai vu qu'il y avait un paquet fink. Mais ça me paraissait
compliqué par rapport à la solution 2.
Est-ce que quelqu'un a une idée de la raison pour laquelle la solution 2
ne fonctionne pas ?
Est-ce que vous avez des conseils ou des suggestions ?
Merci,
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
1/ Utiliser /usr/sbin/vpnd mais contrairement à Mac OS X Server, il n'y a pas de méthode simple pour le configurer. Il fait PPTP ou IPSec. En supposant que ça marche, est-ce que ça passe à travers une Freebox ?
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP), pour la config, il y a ce vieil article d'AFP548 qui porte sur Jaguar Server mais on peut s'en inspirer (il va sûrement te manquer le Startup Item pour le VPN) :
<http://www.afp548.com/articles/Jaguar/vpnd.html>
Pour le Startup Item, je peux fouiller ce soir dans mes archives si tu me le demandes et te le retrouver.
Bon, je n'ai pas réessayé en 10.4.x vu que je ne fais pas de VPN entre clients mais avec un Mac OS X Server qui fait ça très bien sans se prendre la tête.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Julien Salort <lists@juliensalort.org> wrote:
1/ Utiliser /usr/sbin/vpnd mais contrairement à Mac OS X Server, il n'y
a pas de méthode simple pour le configurer. Il fait PPTP ou IPSec. En
supposant que ça marche, est-ce que ça passe à travers une Freebox ?
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il
faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP), pour
la config, il y a ce vieil article d'AFP548 qui porte sur Jaguar Server
mais on peut s'en inspirer (il va sûrement te manquer le Startup Item
pour le VPN) :
<http://www.afp548.com/articles/Jaguar/vpnd.html>
Pour le Startup Item, je peux fouiller ce soir dans mes archives si tu
me le demandes et te le retrouver.
Bon, je n'ai pas réessayé en 10.4.x vu que je ne fais pas de VPN entre
clients mais avec un Mac OS X Server qui fait ça très bien sans se
prendre la tête.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
1/ Utiliser /usr/sbin/vpnd mais contrairement à Mac OS X Server, il n'y a pas de méthode simple pour le configurer. Il fait PPTP ou IPSec. En supposant que ça marche, est-ce que ça passe à travers une Freebox ?
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP), pour la config, il y a ce vieil article d'AFP548 qui porte sur Jaguar Server mais on peut s'en inspirer (il va sûrement te manquer le Startup Item pour le VPN) :
<http://www.afp548.com/articles/Jaguar/vpnd.html>
Pour le Startup Item, je peux fouiller ce soir dans mes archives si tu me le demandes et te le retrouver.
Bon, je n'ai pas réessayé en 10.4.x vu que je ne fais pas de VPN entre clients mais avec un Mac OS X Server qui fait ça très bien sans se prendre la tête.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka
On Mon, 12 Nov 2007 17:11:16 +0100, (Laurent Pertois) wrote:
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP il va être de la revue... -- Nina
On Mon, 12 Nov 2007 17:11:16 +0100, laurent.pertois@alussinan.org
(Laurent Pertois) wrote:
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il
faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP
il va être de la revue...
--
Nina
On Mon, 12 Nov 2007 17:11:16 +0100, (Laurent Pertois) wrote:
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP il va être de la revue... -- Nina
laurent.pertois
Nina Popravka wrote:
On Mon, 12 Nov 2007 17:11:16 +0100, (Laurent Pertois) wrote:
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP il va être de la revue...
Pfff, elle est chiante celle-là :)
Vive un Linksys ou mon Netgear (bien vieux, il a plus de 3 ans d'ailleurs) qui eux au moins ont les bonnes options (y en a d'autres quand même).
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka <Nina@nospam.invalid> wrote:
On Mon, 12 Nov 2007 17:11:16 +0100, laurent.pertois@alussinan.org
(Laurent Pertois) wrote:
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il
faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP
il va être de la revue...
Pfff, elle est chiante celle-là :)
Vive un Linksys ou mon Netgear (bien vieux, il a plus de 3 ans
d'ailleurs) qui eux au moins ont les bonnes options (y en a d'autres
quand même).
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
On Mon, 12 Nov 2007 17:11:16 +0100, (Laurent Pertois) wrote:
Pour la Freebox, ça devrait, enfin, si elle est en mode routeur il faudra voir les ports à rediriger (en PPTP c'est le 1723 en TCP
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP il va être de la revue...
Pfff, elle est chiante celle-là :)
Vive un Linksys ou mon Netgear (bien vieux, il a plus de 3 ans d'ailleurs) qui eux au moins ont les bonnes options (y en a d'autres quand même).
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Anonyme
Laurent Pertois wrote:
Nina Popravka wrote:
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP il va être de la revue...
Pfff, elle est chiante celle-là :)
Bof, de toute façon, le PPTP, c'est *mal*... :-) Enfin, c'est plutôt moche... :-)
L2TP/IPSec rules...
-- Anonyme ( jayce <@> mosx.org ) ********* MosX.org <http://www.mosx.org/> ********* (MosX.net renaît sous le nom MosX.org...)
A priori, elle laisse pas passer le protocole 47 (GRE), donc pour PPTP il va être de la revue...
Pfff, elle est chiante celle-là :)
Bof, de toute façon, le PPTP, c'est *mal*... :-) Enfin, c'est plutôt moche... :-)
L2TP/IPSec rules...
-- Anonyme ( jayce <@> mosx.org ) ********* MosX.org <http://www.mosx.org/> ********* (MosX.net renaît sous le nom MosX.org...)
laurent.pertois
Anonyme wrote:
Bof, de toute façon, le PPTP, c'est *mal*... :-) Enfin, c'est plutôt moche... :-)
Je sais, je sais...
L2TP/IPSec rules...
Ce qui n'est pas forcément plus simple, àmha.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Anonyme <jayce@mosx.org> wrote:
Bof, de toute façon, le PPTP, c'est *mal*... :-) Enfin, c'est plutôt
moche... :-)
Je sais, je sais...
L2TP/IPSec rules...
Ce qui n'est pas forcément plus simple, àmha.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Bof, de toute façon, le PPTP, c'est *mal*... :-) Enfin, c'est plutôt moche... :-)
Je sais, je sais...
L2TP/IPSec rules...
Ce qui n'est pas forcément plus simple, àmha.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Anonyme
Laurent Pertois wrote:
L2TP/IPSec rules...
Ce qui n'est pas forcément plus simple, àmha.
Bon, et vu l'enfilade sur fcoms et admin-ml, je suis mal placé pour te contredire... :-)
Mais si on n'a que des macs sur toute la chaine, c'est super simple, 3 ports à ouvrir.
-- Anonyme ( jayce <@> mosx.org ) ********* MosX.org <http://www.mosx.org/> ********* (MosX.net renaît sous le nom MosX.org...)
On Tue, 13 Nov 2007 09:51:20 +0100, (Laurent Pertois) wrote:
Ce qui n'est pas forcément plus simple, àmha.
C'est clair que derrière du NAT, c'est uniquement avec OpenVPN qu'on est à peu près sûr de pas être emmerdé... -- Nina
laurent.pertois
Anonyme wrote:
Mais si on n'a que des macs sur toute la chaine, c'est super simple, 3 ports à ouvrir.
Ca dépend, moi je fais de l'authentification Kerberos ;-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Anonyme <jayce@mosx.org> wrote:
Mais si on n'a que des macs sur toute la chaine, c'est super simple, 3
ports à ouvrir.
Ca dépend, moi je fais de l'authentification Kerberos ;-)
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Mais si on n'a que des macs sur toute la chaine, c'est super simple, 3 ports à ouvrir.
Ca dépend, moi je fais de l'authentification Kerberos ;-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
laurent.pertois
Nina Popravka wrote:
On Tue, 13 Nov 2007 09:51:20 +0100, (Laurent Pertois) wrote:
Ce qui n'est pas forcément plus simple, àmha.
C'est clair que derrière du NAT, c'est uniquement avec OpenVPN qu'on est à peu près sûr de pas être emmerdé...
Ah bah, avec mon Mac OS X Server v10.4 et des clients Mac plus le routeur qui redirige bien tout et fait du passthrough, ça passe plutôt bien. Mais évidemment, je dis ça sans compter certains hotspots qui ne laissent passer que du 80 et du 443, évidemment.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka <Nina@nospam.invalid> wrote:
On Tue, 13 Nov 2007 09:51:20 +0100, laurent.pertois@alussinan.org
(Laurent Pertois) wrote:
Ce qui n'est pas forcément plus simple, àmha.
C'est clair que derrière du NAT, c'est uniquement avec OpenVPN qu'on
est à peu près sûr de pas être emmerdé...
Ah bah, avec mon Mac OS X Server v10.4 et des clients Mac plus le
routeur qui redirige bien tout et fait du passthrough, ça passe plutôt
bien. Mais évidemment, je dis ça sans compter certains hotspots qui ne
laissent passer que du 80 et du 443, évidemment.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
On Tue, 13 Nov 2007 09:51:20 +0100, (Laurent Pertois) wrote:
Ce qui n'est pas forcément plus simple, àmha.
C'est clair que derrière du NAT, c'est uniquement avec OpenVPN qu'on est à peu près sûr de pas être emmerdé...
Ah bah, avec mon Mac OS X Server v10.4 et des clients Mac plus le routeur qui redirige bien tout et fait du passthrough, ça passe plutôt bien. Mais évidemment, je dis ça sans compter certains hotspots qui ne laissent passer que du 80 et du 443, évidemment.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka
On Tue, 13 Nov 2007 14:05:07 +0100, (Laurent Pertois) wrote:
Ah bah, avec mon Mac OS X Server v10.4 et des clients Mac plus le routeur qui redirige bien tout et fait du passthrough, ça passe plutôt bien. Mais évidemment, je dis ça sans compter certains hotspots qui ne laissent passer que du 80 et du 443, évidemment.
Mouais... Y a des trucs surréalistes, avec IPSec et le NAT. J'ai un client chez lequel y a un Zywall qui accueille un tunnel IPSec, les clients sont des mecs qui bossent chez eux, derrière des box en général, et un client IPSec (the greenbow). Le client gère très bien le NAT-T, y a une case à cocher, il se démerde, ça fonctionne comme ça depuis 3 ans au moins sans se poser de question. Ils ont aussi pris des clés 3G, normalement ça fait pareil, le mec avec sa clé a une adresse privée, bref l'équivalent du gars derrière sa box. Ben pour que ça tombe en marche avec les clés 3G, il a aussi fallu que j'indique explicitement au Zywall qu'il fallait qu'il prenne en compte NAT-T... Va comprendre... -- Nina
On Tue, 13 Nov 2007 14:05:07 +0100, laurent.pertois@alussinan.org
(Laurent Pertois) wrote:
Ah bah, avec mon Mac OS X Server v10.4 et des clients Mac plus le
routeur qui redirige bien tout et fait du passthrough, ça passe plutôt
bien. Mais évidemment, je dis ça sans compter certains hotspots qui ne
laissent passer que du 80 et du 443, évidemment.
Mouais...
Y a des trucs surréalistes, avec IPSec et le NAT.
J'ai un client chez lequel y a un Zywall qui accueille un tunnel
IPSec, les clients sont des mecs qui bossent chez eux, derrière des
box en général, et un client IPSec (the greenbow). Le client gère très
bien le NAT-T, y a une case à cocher, il se démerde, ça fonctionne
comme ça depuis 3 ans au moins sans se poser de question.
Ils ont aussi pris des clés 3G, normalement ça fait pareil, le mec
avec sa clé a une adresse privée, bref l'équivalent du gars derrière
sa box. Ben pour que ça tombe en marche avec les clés 3G, il a aussi
fallu que j'indique explicitement au Zywall qu'il fallait qu'il prenne
en compte NAT-T... Va comprendre...
--
Nina
On Tue, 13 Nov 2007 14:05:07 +0100, (Laurent Pertois) wrote:
Ah bah, avec mon Mac OS X Server v10.4 et des clients Mac plus le routeur qui redirige bien tout et fait du passthrough, ça passe plutôt bien. Mais évidemment, je dis ça sans compter certains hotspots qui ne laissent passer que du 80 et du 443, évidemment.
Mouais... Y a des trucs surréalistes, avec IPSec et le NAT. J'ai un client chez lequel y a un Zywall qui accueille un tunnel IPSec, les clients sont des mecs qui bossent chez eux, derrière des box en général, et un client IPSec (the greenbow). Le client gère très bien le NAT-T, y a une case à cocher, il se démerde, ça fonctionne comme ça depuis 3 ans au moins sans se poser de question. Ils ont aussi pris des clés 3G, normalement ça fait pareil, le mec avec sa clé a une adresse privée, bref l'équivalent du gars derrière sa box. Ben pour que ça tombe en marche avec les clés 3G, il a aussi fallu que j'indique explicitement au Zywall qu'il fallait qu'il prenne en compte NAT-T... Va comprendre... -- Nina
