VPN MS iptables

Le
vincent
Bonjour,

J'espère etre sur le bon forum, sinon milles excuses.

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en pptp
J'ai un firewall basé sur iptables sur le site central ( lieu du serveur
VPN )
J'ai bien rediriger le port 1723 vers mon serveur VPN win2003.
Cependant il est impossible de se connecter.

Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.


Merci
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
manu
Le #1066195
Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.


Merci
Oui , autoriser les paquets à "emprunter" le port sus-dit.


Annie D.
Le #1066191
vincent wrote:

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en pptp
J'ai un firewall basé sur iptables sur le site central ( lieu du serveur
VPN )
J'ai bien rediriger le port 1723 vers mon serveur VPN win2003.
Cependant il est impossible de se connecter.

Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.


Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

Il existe aussi un patch du noyau dans les extensions de Netfilter pour
faire le suivi de connexion et NAT de PPTP (le tunnel GRE sera vu comme
RELATED). Mais d'après sa doc, outre qu'il est en version beta, il a
quelques inconvénients tels que nécessiter de recompiler iptables pour
que ce dernier soit compatible avec le patch. Cf.
extra/pptp-conntrack-nat du patch-o-matic.

S'il y a de la NAT entre client et serveur, ça marche quand même sans
patch pour une seule connexion. Je n'ai pas testé avec plus.

vincent
Le #1516054
vincent wrote:

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en pptp
J'ai un firewall basé sur iptables sur le site central ( lieu du serveur
VPN )
J'ai bien rediriger le port 1723 vers mon serveur VPN win2003.
Cependant il est impossible de se connecter.

Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.



Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

Il existe aussi un patch du noyau dans les extensions de Netfilter pour
faire le suivi de connexion et NAT de PPTP (le tunnel GRE sera vu comme
RELATED). Mais d'après sa doc, outre qu'il est en version beta, il a
quelques inconvénients tels que nécessiter de recompiler iptables pour
que ce dernier soit compatible avec le patch. Cf.
extra/pptp-conntrack-nat du patch-o-matic.

S'il y a de la NAT entre client et serveur, ça marche quand même sans
patch pour une seule connexion. Je n'ai pas testé avec plus.


Merci,

J'ai rediriger le port 47 et depuis cela fonctionne.

Encore merci


TiChou
Le #1516053
Dans le message *vincent* tapota sur f.c.o.l.configuration :

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en
pptp J'ai un firewall basé sur iptables sur le site central ( lieu du
serveur VPN ) J'ai bien rediriger le port 1723 vers mon serveur VPN
win2003. Cependant il est impossible de se connecter. Y a t-il autre
chose à faire avec iptables que de rediriger le port 1723.


Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT


J'ai rediriger le port 47 et depuis cela fonctionne.


s/port/protocole/

La différence est très importante.

--
TiChou



vincent
Le #1516046
Dans le message *vincent* tapota sur f.c.o.l.configuration :


J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en
pptp J'ai un firewall basé sur iptables sur le site central ( lieu du
serveur VPN ) J'ai bien rediriger le port 1723 vers mon serveur VPN
win2003. Cependant il est impossible de se connecter. Y a t-il autre
chose à faire avec iptables que de rediriger le port 1723.


Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT




J'ai rediriger le port 47 et depuis cela fonctionne.



s/port/protocole/

La différence est très importante.

Oui pardon, j'ai écrit un peu vite.





eXos
Le #1068158
vincent wrote:

Dans le message *vincent* tapota sur f.c.o.l.configuration :


J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en
pptp J'ai un firewall basé sur iptables sur le site central ( lieu du
serveur VPN ) J'ai bien rediriger le port 1723 vers mon serveur VPN
win2003. Cependant il est impossible de se connecter. Y a t-il autre
chose à faire avec iptables que de rediriger le port 1723.


Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT




J'ai rediriger le port 47 et depuis cela fonctionne.



s/port/protocole/

La différence est très importante.

Oui pardon, j'ai écrit un peu vite.

C'est quoi le principe du VPN exactement, ma config :


1pc sous linux mdk
1pc sous winNT derrier un modem routeur firewall

Est-ce possible avec ca ?

Merci pour toutes les infos.





Publicité
Poster une réponse
Anonyme