VPN MS iptables

Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.


Merci
Oui , autoriser les paquets à "emprunter" le port sus-dit.

vincent wrote:

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en pptp
J'ai un firewall basé sur iptables sur le site central ( lieu du serveur
VPN )
J'ai bien rediriger le port 1723 vers mon serveur VPN win2003.
Cependant il est impossible de se connecter.

Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.

Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

Il existe aussi un patch du noyau dans les extensions de Netfilter pour
faire le suivi de connexion et NAT de PPTP (le tunnel GRE sera vu comme
RELATED). Mais d'après sa doc, outre qu'il est en version beta, il a
quelques inconvénients tels que nécessiter de recompiler iptables pour
que ce dernier soit compatible avec le patch. Cf.
extra/pptp-conntrack-nat du patch-o-matic.

S'il y a de la NAT entre client et serveur, ça marche quand même sans
patch pour une seule connexion. Je n'ai pas testé avec plus.

vincent wrote:

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en pptp
J'ai un firewall basé sur iptables sur le site central ( lieu du serveur
VPN )
J'ai bien rediriger le port 1723 vers mon serveur VPN win2003.
Cependant il est impossible de se connecter.

Y a t-il autre chose à faire avec iptables que de rediriger le port 1723.

Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

Il existe aussi un patch du noyau dans les extensions de Netfilter pour
faire le suivi de connexion et NAT de PPTP (le tunnel GRE sera vu comme
RELATED). Mais d'après sa doc, outre qu'il est en version beta, il a
quelques inconvénients tels que nécessiter de recompiler iptables pour
que ce dernier soit compatible avec le patch. Cf.
extra/pptp-conntrack-nat du patch-o-matic.

S'il y a de la NAT entre client et serveur, ça marche quand même sans
patch pour une seule connexion. Je n'ai pas testé avec plus.

Merci,

J'ai rediriger le port 47 et depuis cela fonctionne.

Encore merci

Dans le message <news:409E6ADA.7040304@free.fr>,
*vincent* tapota sur f.c.o.l.configuration :

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en
pptp J'ai un firewall basé sur iptables sur le site central ( lieu du
serveur VPN ) J'ai bien rediriger le port 1723 vers mon serveur VPN
win2003. Cependant il est impossible de se connecter. Y a t-il autre
chose à faire avec iptables que de rediriger le port 1723.

Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

J'ai rediriger le port 47 et depuis cela fonctionne.

s/port/protocole/

La différence est très importante.

--
TiChou

Dans le message <news:409E6ADA.7040304@free.fr>,
*vincent* tapota sur f.c.o.l.configuration :

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en
pptp J'ai un firewall basé sur iptables sur le site central ( lieu du
serveur VPN ) J'ai bien rediriger le port 1723 vers mon serveur VPN
win2003. Cependant il est impossible de se connecter. Y a t-il autre
chose à faire avec iptables que de rediriger le port 1723.

Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

J'ai rediriger le port 47 et depuis cela fonctionne.

s/port/protocole/

La différence est très importante.

Oui pardon, j'ai écrit un peu vite.

vincent wrote:

Dans le message <news:409E6ADA.7040304@free.fr>,
*vincent* tapota sur f.c.o.l.configuration :

J'essaie de mettre en place un VPN sous Windows 2003, client Winxp. en
pptp J'ai un firewall basé sur iptables sur le site central ( lieu du
serveur VPN ) J'ai bien rediriger le port 1723 vers mon serveur VPN
win2003. Cependant il est impossible de se connecter. Y a t-il autre
chose à faire avec iptables que de rediriger le port 1723.

Oui. Le protocole PPTP a deux composantes :
- la connexion de contrôle utilisant le port TCP 1723
- le tunnel GRE utilisant le protocole IP 47

Il faut autoriser les deux composantes, par exemple (rajouter vos
habituelles restrictions basées sur les interfaces, adresses source et
destination, suivi de connexion...) :

iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

J'ai rediriger le port 47 et depuis cela fonctionne.

s/port/protocole/

La différence est très importante.

Oui pardon, j'ai écrit un peu vite.

C'est quoi le principe du VPN exactement, ma config :

1pc sous linux mdk
1pc sous winNT derrier un modem routeur firewall

Est-ce possible avec ca ?

Merci pour toutes les infos.