[Informatique] tunnel VPN - Besoin d'aide

boul · Juillet 27, 2009, 9:10

Bonjour,

alors voilà, j’ai passé des heures, sur google, sur ces satanées machines, et une fois de plus, je ne trouve pas la solution finale. Et comme d’habitude, je sais qu’ici je risque de trouver les spécialistes qui me donneront la solution

Sur la machine serveur
===============

Il s’agit d’un win xp Pro Service Pack 2

J’ai créé le serveur vpn apparemment de manière correcte. Mon parefeu Windows intègre bien automatiquement les règles d’exception pour laisser passer ce qu’il faut en VPN (Connexion entrante VPN L2TP port 1701 et PPTP port 1723).

Les partages avancés et la sécurité avancée sont configurés correctement pour que l’utilisateur de la machine cliente accède à ses dossiers (tests effectués en lan par accès réseau)

Sur le routeur sur lequel est connecté le serveur
===============================

il s’agit d’un SpeedTouch Thomson Alcatel

j’effectue les redirection NAT pour les protocoles tcp et gre correctement il me semble (vous verrez, j’arrive à me connecter à la machine, donc je suppose que c’est bon) : en résumé

- le port 1723 provenant du routeur (de l’extérieur - outside) vers 192.168.1.102:1723 (adresse de mon serveur vpn avec le meme port) pour le protocole tcp

- le port 1 provenant du routeur (de l’extérieur - outside) vers 192.168.1.102:1 (adresse de mon serveur vpn avec le meme port) pour le protocole gre (47) : (pourquoi 1, j’en sais rien, j’ai configuré avec telnet parce que l’interface web de mon routeur ne propose pas le protocole gre, j’ai vu qu’il fallait rien mettre pour le port sur un site, j’ai rien mis, ça m’a mis 1 par défaut → Question : aurai-je du mettre 0 pour ouvrir TOUS les ports sur le protocole gre ? j’ai essayé, mais ça me le refuse si je mets 0)

Sur la machine cliente
==============

Il s’agit d’un win xp pro Service Pack 2

J’installe le client Windows apparemment correctement (après plusieurs essais)

j’ai paramétré la connexion en PPTP.

Je fais la connexion, ça se connecte, je m’authentifie, ça me dit “bravo mec t’es connecté” (enfin un truc du genre)

et là, j’essaie d’accéder aux dossiers partagés et… tadam… … …

Je ne vois pas la machine dans le voisinage réseau, j’arrive meme pas à la pinger avec l’adresse locale, je n’arrive pas à utiliser le réseau local. Donc soit je ne sais pas faire et je n’arrive pas à trouver comment faire, soit ce que j’ai fait est mal fait et je ne trouve pas comment bien faire…

En conclusion
=========

ça parle à quelqu’un ?

merci d’avance à tous ceux qui pourront me donner des pistes

tt-deef87b3d3d1b4a22815939a48775a6d · Juillet 28, 2009, 10:44

Yep ça me parle un chouille.

Ce qui me gratte dans ton message, c’est le coup du port 1.
En effet GRE, c’est du pur protocol IP et pas un port over TPC/UDP donc normalement tu devrais pas avoir de port derrière ton IP.

Sauf si c’est un truc spécifique de ton modem routeur.

Lorsque tu te connectes tu vois bien des flux IP GRE et TCP 17… ? (Wireshark est ton ami)

boul · Juillet 28, 2009, 5:42

Merci Lutin Rouge

Alors j’ai trouvé, mais peut être pourras tu me donner quelques précisions. Et il me reste un problème.

Solution
=====

Donc en fait, je ne peux accéder au serveur en tapant son nom dans l’explorateur, là ça ne marche pas (\ordinateur ou \ordinateur\partage ne fonctionne pas).

Par contre, en tapant l’IP du serveur \192.168.1.23, là j’obtiens les ressources partagées et je peux y accéder. Cet à ce moment qu’apparait dans le voisinage réseau l’IP du serveur avec les ressources et uniquement à ce moment.

Première point
=========

L’IP du serveur visible depuis le poste client est 192.168.1.23 que j’obtiens en regardant les propriétés de la connexion VPN.

Dans mon LAN du serveur, le serveur VPN a une adresse de 192.168.1.102.

Pourquoi les IP sont-elles différentes ? c’est le serveur VPN qui les réattribue avec un DHCP qui lui est propre ? on a 2 réseaux en parallèles ?

Question
======

Au bout d’un moment, la connexion est perdue du fait que le routeur réinitialise la connexion du FAI. ça me fait cela dès que je me connecte en VPN depuis un poste client.

Pourquoi ? y a t-il une protection du routeur contre des accès illicites en fonction d’accès extérieurs qui lui semblent louche ? une protection particulière ?

Autre Question
=========

Pourquoi n’a t-on pas accès aux noms des ordinateurs (\ordinateur) ? Je croyais que c’était comme si l’on était sur le lan du serveur.

Question concernant WireShark
====================

J’ai créé une règle de filtrage pour vérifier les accès. Je ne suis pas spécialiste :

tcp.port == 1723 or gre (et j’ai essayé aussi tcp.port == 1723 or gre.proto)

je n’ai pas de lignes comportant le protocole gre dans la colonne protocole. Par contre j’ai des lignes comportant le protocole “PPP COMP” quand je mets gre et qui disparaissent si j’enleve gre du filtre.

Est-ce équivalent ?

tt-deef87b3d3d1b4a22815939a48775a6d · Juillet 29, 2009, 5:13

boul dit:Merci Lutin Rouge
Première point
=========
L'IP du serveur visible depuis le poste client est 192.168.1.23 que j'obtiens en regardant les propriétés de la connexion VPN.
Dans mon LAN du serveur, le serveur VPN a une adresse de 192.168.1.102.
Pourquoi les IP sont-elles différentes ? c'est le serveur VPN qui les réattribue avec un DHCP qui lui est propre ? on a 2 réseaux en parallèles ?

Rappelle moi ce que tu souhaites faire :
- tu as deux réseaux avec deux passerelles VPN et tu veux monter un tunnel entre les deux (réseau à réseau)
- tu as un réseau avec un serveur VPN et tu veux qu'un poste se connecte à ton réseau en utilisant le tunnel ? (poste à réseau)
Parce que je suis un peu perdu là.

boul dit:
Question
======
Au bout d'un moment, la connexion est perdue du fait que le routeur réinitialise la connexion du FAI. ça me fait cela dès que je me connecte en VPN depuis un poste client.
Pourquoi ? y a t-il une protection du routeur contre des accès illicites en fonction d'accès extérieurs qui lui semblent louche ? une protection particulière ?

J'attends la réponse à la première question pour répondre.

boul dit:
Autre Question
=========
Pourquoi n'a t-on pas accès aux noms des ordinateurs (\\ordinateur) ? Je croyais que c'était comme si l'on était sur le lan du serveur.

Alors là c'est Windows et je suis loin de connaitre mais je regarderai du côté des système de résolutions :
- Active Directory
- WINS
Est ce que ce sont des machines dans un domaine controller ? Dans un local group ?

boul dit:
Question concernant WireShark
====================
J'ai créé une règle de filtrage pour vérifier les accès. Je ne suis pas spécialiste :
tcp.port == 1723 or gre (et j'ai essayé aussi tcp.port == 1723 or gre.proto)
je n'ai pas de lignes comportant le protocole gre dans la colonne protocole. Par contre j'ai des lignes comportant le protocole "PPP COMP" quand je mets gre et qui disparaissent si j'enleve gre du filtre.
Est-ce équivalent ?

Oui je pense. Encore une fois je ne suis pas un expert de Windows mais je pense que le protocol exact de tunnelling de Windows c'est du PPTP.

Et le PPTP revient à créer un tunnel PPP le tout encapsulé dans du GRE pour assurer le transport.

Du coup je pense que Wireshark lorsque tu lui demande d'afficher les flux GRE (ip.proto == 47 ou bien encore gre), il t'affiche les trames et il les comprends et les décodes comme étant du PPP.

boul · Juillet 30, 2009, 1:51

Merci pour ces précisions

L’objectif est de poste à réseau.

Réseau à réseau je ne savais pas que l’on pouvait, ça pourrait m’intéresser mais plus tard.

pour wireshark, je pense effectivement qu’il décode ainsi.

tt-deef87b3d3d1b4a22815939a48775a6d · Juillet 30, 2009, 5:45

Ben en fait je suis pas sur que le protocole windows permette de faire du réseau à réseau.

Il va falloir surement passer par des produits tierce.

boul · Juillet 31, 2009, 10:50

Merci pour toutes ces réponses.

Il ne me reste plus qu’à comprendre le pourquoi des reconnexion du modem routeur au bout d’un moment (impliquant le changement d’ip ce qui fait perdre la liaison vpn). Je continue d’investiguer