j'ai créé un VPN "apple" (sur un OSX Serveur, avec les outils d'admin
Apple). Et je m'y connecte à partir d'un client Mac OSX.
Tout marche bien, ça fonctionne et tout et tout.
Seulement : le trafic ne semble pas chiffré ! j'ai fais des TCPdump des
deux cotés, sur ppp0, sur en0, ... tout passe en clair, rien n'est
crypté. Aussi bien en L2TP qu'en PPTP.
In article <1hawtc9.2znsukuw3chsN%, (Xavier) wrote:
patpro ~ Patrick Proniewski wrote:
Seulement : le trafic ne semble pas chiffré ! j'ai fais des TCPdump des deux cotés, sur ppp0, sur en0, ... tout passe en clair, rien n'est crypté. Aussi bien en L2TP qu'en PPTP.
Hein !!! J'ai pas eu cette curiosité, mais ça m'étonne, quand même....
et moi donc... :/ je suis sur d'avoir raté un truc c'est pas possible autrement. Seulement, j'ai pas vraiment été plus loin que l'interface d'admin Apple, et j'ai bien coché tout ce qui peut laisser croire que le traffic est chiffré. J'ai un secret pour L2TP avec IPSEC coché, coté client j'ai du fournir le secret, je me logue, tout fonctionne, mais sur les interfaces je lis en clair dans tcpdump.
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui rentre... A chaque fois je vois du traffic en clair.
patpro
In article <1hawtc9.2znsukuw3chsN%xavier@groumpf.org>,
xavier@groumpf.org (Xavier) wrote:
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
Seulement : le trafic ne semble pas chiffré ! j'ai fais des TCPdump des
deux cotés, sur ppp0, sur en0, ... tout passe en clair, rien n'est
crypté. Aussi bien en L2TP qu'en PPTP.
Hein !!! J'ai pas eu cette curiosité, mais ça m'étonne, quand même....
et moi donc... :/
je suis sur d'avoir raté un truc c'est pas possible autrement.
Seulement, j'ai pas vraiment été plus loin que l'interface d'admin
Apple, et j'ai bien coché tout ce qui peut laisser croire que le traffic
est chiffré. J'ai un secret pour L2TP avec IPSEC coché, coté client j'ai
du fournir le secret, je me logue, tout fonctionne, mais sur les
interfaces je lis en clair dans tcpdump.
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et
sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que
m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui
rentre...
A chaque fois je vois du traffic en clair.
In article <1hawtc9.2znsukuw3chsN%, (Xavier) wrote:
patpro ~ Patrick Proniewski wrote:
Seulement : le trafic ne semble pas chiffré ! j'ai fais des TCPdump des deux cotés, sur ppp0, sur en0, ... tout passe en clair, rien n'est crypté. Aussi bien en L2TP qu'en PPTP.
Hein !!! J'ai pas eu cette curiosité, mais ça m'étonne, quand même....
et moi donc... :/ je suis sur d'avoir raté un truc c'est pas possible autrement. Seulement, j'ai pas vraiment été plus loin que l'interface d'admin Apple, et j'ai bien coché tout ce qui peut laisser croire que le traffic est chiffré. J'ai un secret pour L2TP avec IPSEC coché, coté client j'ai du fournir le secret, je me logue, tout fonctionne, mais sur les interfaces je lis en clair dans tcpdump.
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui rentre... A chaque fois je vois du traffic en clair.
patpro
Patrick Stadelmann
In article , patpro ~ Patrick Proniewski wrote:
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui rentre... A chaque fois je vois du traffic en clair.
C'est peut-être un question bête, mais tu es sûr que c'est déjà sensé être chiffré à ce niveau ?
Patrick -- Patrick Stadelmann
In article <patpro-C15281.15521317022006@localhost>,
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et
sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que
m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui
rentre...
A chaque fois je vois du traffic en clair.
C'est peut-être un question bête, mais tu es sûr que c'est déjà sensé
être chiffré à ce niveau ?
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui rentre... A chaque fois je vois du traffic en clair.
C'est peut-être un question bête, mais tu es sûr que c'est déjà sensé être chiffré à ce niveau ?
Patrick -- Patrick Stadelmann
patpro ~ Patrick Proniewski
In article , Patrick Stadelmann wrote:
In article , patpro ~ Patrick Proniewski wrote:
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui rentre... A chaque fois je vois du traffic en clair.
C'est peut-être un question bête, mais tu es sûr que c'est déjà sensé être chiffré à ce niveau ?
oui, c'est certain, mais je commence à entrevoir une boulette de ma part, je vais approfondir un peu ce WE.
a suivre.
patpro
In article <Patrick.Stadelmann-D34C7E.18453917022006@individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <patpro-C15281.15521317022006@localhost>,
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et
sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que
m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui
rentre...
A chaque fois je vois du traffic en clair.
C'est peut-être un question bête, mais tu es sûr que c'est déjà sensé
être chiffré à ce niveau ?
oui, c'est certain, mais je commence à entrevoir une boulette de ma
part, je vais approfondir un peu ce WE.
J'ai fait les même tcpdump sur le serveur et sur le client, sur ppp0 et sur en0, de mon IP vers l'IP du serveur VPN, de mon IP vers l'IP que m'attribue le serveur VPN, sur tout ce qui sort, sur tout ce qui rentre... A chaque fois je vois du traffic en clair.
C'est peut-être un question bête, mais tu es sûr que c'est déjà sensé être chiffré à ce niveau ?
oui, c'est certain, mais je commence à entrevoir une boulette de ma part, je vais approfondir un peu ce WE.
a suivre.
patpro
patpro ~ Patrick Proniewski
Bon bon bon...
j'ai eu le temps d'approfondir un peu : le problème persiste. J'ai pensé un moment que ma méthodologie était douteuse : j'ai fait mes tests sur le même réseau que celui vers le quel le VPN était ouvert.
Ce soit j'ai changé ça : hop, connexion GPRS, puis connexion au VPN sur une machine du boulot. Ça change des trucs. Par exemple je n'ai plus accès au service de la machine qui fait serveur VPN. Mais j'ai bien accès aux machines derriere, et j'ai bien la preuve que mes paquets passent par le VPN.
Seulement, une fois de plus, le traffic n'est pas chiffré. sur la machine qui fait serveur VPN :
tcpdump -X -s 250 -i ppp0 src or dst host MON-IP-VIA-VPN and port not 22
me retourne bien tout le trafic en clair (pour une page web par exemple.
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou pas encore encodé à cet endroit.
Qu'en pensez vous ?
patpro
Bon bon bon...
j'ai eu le temps d'approfondir un peu : le problème persiste.
J'ai pensé un moment que ma méthodologie était douteuse : j'ai fait mes
tests sur le même réseau que celui vers le quel le VPN était ouvert.
Ce soit j'ai changé ça : hop, connexion GPRS, puis connexion au VPN sur
une machine du boulot. Ça change des trucs. Par exemple je n'ai plus
accès au service de la machine qui fait serveur VPN. Mais j'ai bien
accès aux machines derriere, et j'ai bien la preuve que mes paquets
passent par le VPN.
Seulement, une fois de plus, le traffic n'est pas chiffré.
sur la machine qui fait serveur VPN :
tcpdump -X -s 250 -i ppp0 src or dst host MON-IP-VIA-VPN and port not 22
me retourne bien tout le trafic en clair (pour une page web par exemple.
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en
sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou
pas encore encodé à cet endroit.
j'ai eu le temps d'approfondir un peu : le problème persiste. J'ai pensé un moment que ma méthodologie était douteuse : j'ai fait mes tests sur le même réseau que celui vers le quel le VPN était ouvert.
Ce soit j'ai changé ça : hop, connexion GPRS, puis connexion au VPN sur une machine du boulot. Ça change des trucs. Par exemple je n'ai plus accès au service de la machine qui fait serveur VPN. Mais j'ai bien accès aux machines derriere, et j'ai bien la preuve que mes paquets passent par le VPN.
Seulement, une fois de plus, le traffic n'est pas chiffré. sur la machine qui fait serveur VPN :
tcpdump -X -s 250 -i ppp0 src or dst host MON-IP-VIA-VPN and port not 22
me retourne bien tout le trafic en clair (pour une page web par exemple.
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou pas encore encodé à cet endroit.
Qu'en pensez vous ?
patpro
laurent.pertois
patpro ~ Patrick Proniewski wrote:
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou pas encore encodé à cet endroit.
Qu'en pensez vous ?
Que je soupçonne ça aussi, oui, il faudrait regarder ailleurs sur le réseau, sur ta passerelle par exemple et voir ce qui y passe. Là, tu es sur ta machine et tout passe par ce lien interne, je ne vois pas ce qui chiffrerait en amont (avant d'envoyer par ppp0) ou en aval (après être sorti du même endroit).
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en
sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou
pas encore encodé à cet endroit.
Qu'en pensez vous ?
Que je soupçonne ça aussi, oui, il faudrait regarder ailleurs sur le
réseau, sur ta passerelle par exemple et voir ce qui y passe. Là, tu es
sur ta machine et tout passe par ce lien interne, je ne vois pas ce qui
chiffrerait en amont (avant d'envoyer par ppp0) ou en aval (après être
sorti du même endroit).
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou pas encore encodé à cet endroit.
Qu'en pensez vous ?
Que je soupçonne ça aussi, oui, il faudrait regarder ailleurs sur le réseau, sur ta passerelle par exemple et voir ce qui y passe. Là, tu es sur ta machine et tout passe par ce lien interne, je ne vois pas ce qui chiffrerait en amont (avant d'envoyer par ppp0) ou en aval (après être sorti du même endroit).
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patpro ~ Patrick Proniewski
In article <1haxi5y.1vk77kw1366321N%, (Laurent Pertois) wrote:
patpro ~ Patrick Proniewski wrote:
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou pas encore encodé à cet endroit.
Qu'en pensez vous ?
Que je soupçonne ça aussi, oui, il faudrait regarder ailleurs sur le réseau, sur ta passerelle par exemple et voir ce qui y passe. Là, tu es sur ta machine et tout passe par ce lien interne, je ne vois pas ce qui chiffrerait en amont (avant d'envoyer par ppp0) ou en aval (après être sorti du même endroit).
oui, j'étais parti du principe que ça se passait comme sur FreeBSD : trafic passant par l'interface réseau gif, et tcpdump montrant sur gif le trafic chiffré. <http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html> Mais sur Mac OS X l'interface gif ne sert pas quand on établi un VPN.
Par ailleurs j'ai bien tenté de monter un VPN entre le powerbook en airport derriere mon G5 (routeur) à destination du serveur VPN de mon taff, mais la connexion ne se fait pas (je n'ai pas encore cherché pourquoi, sans doute le FW du G5). Je voulais justement faire un tcpdump sur le G5 pour valider que le trafic est chiffré au delà de l'interface PPP du powerbook et avant d'arriver sur l'interface PPP du serveur VPN.
Je vais tenter de faire ce test pendant le WE.
patpro
In article <1haxi5y.1vk77kw1366321N%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en
sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou
pas encore encodé à cet endroit.
Qu'en pensez vous ?
Que je soupçonne ça aussi, oui, il faudrait regarder ailleurs sur le
réseau, sur ta passerelle par exemple et voir ce qui y passe. Là, tu es
sur ta machine et tout passe par ce lien interne, je ne vois pas ce qui
chiffrerait en amont (avant d'envoyer par ppp0) ou en aval (après être
sorti du même endroit).
oui, j'étais parti du principe que ça se passait comme sur FreeBSD :
trafic passant par l'interface réseau gif, et tcpdump montrant sur gif
le trafic chiffré.
<http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html>
Mais sur Mac OS X l'interface gif ne sert pas quand on établi un VPN.
Par ailleurs j'ai bien tenté de monter un VPN entre le powerbook en
airport derriere mon G5 (routeur) à destination du serveur VPN de mon
taff, mais la connexion ne se fait pas (je n'ai pas encore cherché
pourquoi, sans doute le FW du G5).
Je voulais justement faire un tcpdump sur le G5 pour valider que le
trafic est chiffré au delà de l'interface PPP du powerbook et avant
d'arriver sur l'interface PPP du serveur VPN.
In article <1haxi5y.1vk77kw1366321N%, (Laurent Pertois) wrote:
patpro ~ Patrick Proniewski wrote:
Je pense qu'il y'a un souci dans mon test, je teste en entrée ou en sortie de ppp0, mais il est possible que le trafic soit déjà décodé, ou pas encore encodé à cet endroit.
Qu'en pensez vous ?
Que je soupçonne ça aussi, oui, il faudrait regarder ailleurs sur le réseau, sur ta passerelle par exemple et voir ce qui y passe. Là, tu es sur ta machine et tout passe par ce lien interne, je ne vois pas ce qui chiffrerait en amont (avant d'envoyer par ppp0) ou en aval (après être sorti du même endroit).
oui, j'étais parti du principe que ça se passait comme sur FreeBSD : trafic passant par l'interface réseau gif, et tcpdump montrant sur gif le trafic chiffré. <http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html> Mais sur Mac OS X l'interface gif ne sert pas quand on établi un VPN.
Par ailleurs j'ai bien tenté de monter un VPN entre le powerbook en airport derriere mon G5 (routeur) à destination du serveur VPN de mon taff, mais la connexion ne se fait pas (je n'ai pas encore cherché pourquoi, sans doute le FW du G5). Je voulais justement faire un tcpdump sur le G5 pour valider que le trafic est chiffré au delà de l'interface PPP du powerbook et avant d'arriver sur l'interface PPP du serveur VPN.
Je vais tenter de faire ce test pendant le WE.
patpro
patpro ~ Patrick Proniewski
bon bon bon
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il circule sur le réseau : il est bien chiffré. ouf, soulagement :)
patpro
bon bon bon
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN
qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il
circule sur le réseau : il est bien chiffré. ouf, soulagement :)
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il circule sur le réseau : il est bien chiffré. ouf, soulagement :)
patpro
laurent.pertois
patpro ~ Patrick Proniewski wrote:
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il circule sur le réseau : il est bien chiffré. ouf, soulagement :)
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu depuis longtemps :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN
qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il
circule sur le réseau : il est bien chiffré. ouf, soulagement :)
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu
depuis longtemps :-)
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il circule sur le réseau : il est bien chiffré. ouf, soulagement :)
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu depuis longtemps :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patpro ~ Patrick Proniewski
In article <1hayjmj.1gvods1fluy05N%, (Laurent Pertois) wrote:
patpro ~ Patrick Proniewski wrote:
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il circule sur le réseau : il est bien chiffré. ouf, soulagement :)
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu depuis longtemps :-)
pas forcément, un ptit dérapage de la 10.4.5, c'est toujours possible ;)
patpro
In article <1hayjmj.1gvods1fluy05N%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN
qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il
circule sur le réseau : il est bien chiffré. ouf, soulagement :)
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu
depuis longtemps :-)
pas forcément, un ptit dérapage de la 10.4.5, c'est toujours possible ;)
In article <1hayjmj.1gvods1fluy05N%, (Laurent Pertois) wrote:
patpro ~ Patrick Proniewski wrote:
apres ouverture comme il faut de mon FW de passerelle, j'ai fait un VPN qui passe au travers, et j'ai pu faire un tcpdump du traffic tel qu'il circule sur le réseau : il est bien chiffré. ouf, soulagement :)
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu depuis longtemps :-)
pas forcément, un ptit dérapage de la 10.4.5, c'est toujours possible ;)
patpro
laurent.pertois
patpro ~ Patrick Proniewski wrote:
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu depuis longtemps :-)
pas forcément, un ptit dérapage de la 10.4.5, c'est toujours possible ;)
Mouais, pour le PPTP je ne sais plus d'où vient l'implémentation, pourquoi pas. Pour le L2TP, c'est du racoon, ils ont mis une interface graphique.
Et puis, quand tu vois comment les perfs tombent avec le VPN par rapport à la même connexion sans, tu te dis qu'il doit les triturer les paquets ;-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu
depuis longtemps :-)
pas forcément, un ptit dérapage de la 10.4.5, c'est toujours possible ;)
Mouais, pour le PPTP je ne sais plus d'où vient l'implémentation,
pourquoi pas. Pour le L2TP, c'est du racoon, ils ont mis une interface
graphique.
Et puis, quand tu vois comment les perfs tombent avec le VPN par rapport
à la même connexion sans, tu te dis qu'il doit les triturer les paquets
;-)
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
En même temps, si ça n'avait pas été le cas je pense que ça se serait vu depuis longtemps :-)
pas forcément, un ptit dérapage de la 10.4.5, c'est toujours possible ;)
Mouais, pour le PPTP je ne sais plus d'où vient l'implémentation, pourquoi pas. Pour le L2TP, c'est du racoon, ils ont mis une interface graphique.
Et puis, quand tu vois comment les perfs tombent avec le VPN par rapport à la même connexion sans, tu te dis qu'il doit les triturer les paquets ;-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.