Forum Clubic

Yet another Vpn subject

Bien le bonjour à vous tous,

Je m’excuse d’avance pour ce poste rapide, et si il y a besoin, pour le peu de connaissance de ma part.

Je n’ai non pas besoin qu’on me fasse le travail, mais d’une confirmation; je m’explique.

Actuellement stagiaire jusqu’à fin juillet, on m’a demandé de mettre en place un système entre deux entités physiques (2 usines éloignées de quelques dizaines de kilomètres) permettant l’échange privé de fichiers et autre si besoin.

Cela ressemble fortement, vous l’aurez compris, à un tunnel vpn. Ou du moins est-ce la conclusion à laquelle, moi newbie, suis-je arrivé.

Après des premières recherches (sur 2 jours pour tout vous dire), j’ai appris certaines choses:

  • Il existe différents protocoles vpn: à débattre sur lequel utilisé, j’en fais mon affaire, cela fait partie de mon travail.
  • La mise en place d’un réseau “simple” (1 poste client 1 poste serveur) par vpn n’est pas très difficile. Il s’agit de régler 1 ou 2 ports sur la box (s’il y a, sinon régler firewall du serveur ce qui n’est généralement pas bien plus compliqué) puis de régler le poste choisi comme serveur et l’autre poste choisi comme client. Des tutoriels pour ça, on en trouve à la pelle si puis-je dire.
  • Admettons que le PPTP me suffise, protocole simple à mettre en place, que je juge suffisamment sécurisé pour l’entreprise:

Voilà qui se précise. Par exemple, à mon école (je suis toujours en étude) les sessions sont centralisées. Ayant conscience du partage de dossier possible en fonction du compte avec lequel on se connecte en vpn, il me parait simple de modéliser le système de mon école par des dossiers pour chaque utilisateur. Donc sur le disque dur du serveur. Admettons.

Sauf que bien sûr, dans l’entreprise où je suis, il y a bien un pc faisant office de serveur, un “coin où mettre les données en commun”, mais cela s’arrête ici. Les sessions ne sont absolument pas centralisées; si bien que si le patron me demande l’accès aux sessions particulières, ça se complique pour moi.

(Ou non?) Ma question est la suivante: Admettons que je mette en place un serveur vpn et un client vpn. Le serveur est celui de mon entreprise; je n’ai trouvé sur internet (ai-je suffisamment cherché avant de poster?) aucune indication sur le fait qu’on avait aussi accès au réseau local de l’entreprise lorsque l’on est le client par vpn. Est il possible de partager le réseau de l’entreprise? (Style clic droit propriétés des favoris réseaux, partagés? Je vous avoue ne pas y croire.)

Le poste est en fait un peu long, mais je pensais important de vous écrire toute la démarche que j’ai eu, car on voit trop souvent des gens qui viennent poster comme des fleurs, et j’espère vous convaincre ainsi que “j’ai cherché avant de demander bêtement la réponse”.

Merci pour toute aide quelle qu’elle soit.

Cordialement,

Pierre-Louis

Salut,

J’espere ne pas répondre a coté,

oui, tu peux.

En etablissant une connexion vpn tu établie une liaison réseau avec une machine distante.

Une fois cette liaison établie, tes deux machines sont sur un réseau commun. (tout en étant sur leur réseau habituel)
Ils ont tout les deux des ip sur un réseau “virtuel”. Et il communiquent en réseau par ce réseau ^^

Après ca toutes les règles de routage habituelles s’appliquent.

c’est pas du clic droit propriété partager qu’il s’agit, mais des règles de routage à ajouter d’un coté ou de l’autre pour acceder aux réseaux que tu veux.

Ne pense pas au coté applicatif du partage de fichier. Il faut déjà que tes machine communiquent au niveau réseau.

Je te remercie pour ta réponse rapide, je m’en vais donc travailler là dessus; je te tiens au courant de l’avancement.

Merci encore.

(Edit):

J’ai pu effectuer les premiers tests, évidemment ce n’est pas concluant; je me heurte à une non réponse du serveur. Il trouve l’ip, mais j’imagine que la box ne le redirige pas. J’ai pourtant édité les Nat, de façon à ce qu’une ip extérieur sur le port 1723 soit redirigé vers l’ip du serveur sur le port 1723. Normalement, seulement besoin du TCP, mais j’ai mis les deux, au cas ou dirons nous.

C’est une orange. J’ai de plus mis le parefeu sur faible, pour effectuer mes tests. Sur faible, il est dit qu’il faut éditer les règles nat si besoin. Je ne vois pas où ça coince, du moins je n’ai pas l’impression que cela coince coté box…? Qu’en pensez vous?

Plus de détails:
-Pas de firewall logiciel sur le serveur
-Le client bloque à “Vérification du mot de passe…” et finie en disant “pas de réponse du serveur distant”
Edité le 23/06/2010 à 19:47

en effet pour le pptp il faut que tu forward le port tcp 1723 vers l’ip du serveur
mais pptp utilise après ca le protocole GRE (normalement le firewall de la livebox le laisse passer) alors vu que tu as mis en firewall en faible on va dire que c’est ok

et bein tu devrai pouvoir te connecter au serveur ^^

tu as un firewall sur le serveur ?
et coté client tu as des firewall?

j’ai une super technique pour m’aider dans mes diagnostiques réseau: “tu log”

La grande majorité des firewall ont cette super fonction qui est de pouvoir loguer les paquets.

Moi par défaut mon firewall bloque TOUT jusqu’au moindre Ping. Mais il log TOUT.
Puis je regarde les log…“ha tiens un paquet entrant en tcp sur le port 1723, ok toi je t’accepte hop”
“ha tiens un paquet sortant utilisant le protocole GRE(47), ok toi je t’accepte hop”

Ca te permet déjà de savoir si ton serveur “recois la demande” etc…

Edit: pardon j’avais pas vu [quote=""]
-Pas de firewall logiciel sur le serveur
[/quote]
Quand tu dis pas de firewall logiciel coté serveur ca veut dire pas de firewall suplémentaire ou pas de firewall du tout?
C’est un windows ton serveur? celui de windows est désactivé ?
Si pas de firewall + livebox en firewall mini et tu n’arrive pas à établir la connection, je dirai que c’est coté client que ca bloque quelquepart…

le firewall et loguer ca peut quand meme t’aider au diagnostique.
Edité le 23/06/2010 à 20:11

En effet, le poste est sur windows, ce n’est pas “the serveur” de l’entreprise, si tu veux comme je test, (et je suis stagiaire donc bon j’ai pas tellement le droit de tout chambouler en 3 jours!) j’ai pris “un pc qui trainait dans un coin” mis à jour fait mon petit nettoyage, créé le serveur dessus en utilisant ce tuto: www.mon-ip.com…

J’ai vérifié les noms de domaines, l’ip me semble bonne… Là je vois pas… J’vais regarder s’il y a des logs du firewall de la box c’est une très bonne idée! Mais donc oui pas de firewall sur ce windobe (d’ailleurs c’est un xp sp1 donc le firewall… ahah)

EDIT:

J’ai le log sous les yeux, et ça donne pas tant de choses que ça… Je vais aller vérifier que j’ai bien la bonne ip wan mais je pense pas m’être planté là dessus.

Coté log, j’ai des choses de ce genre qui m’étonnent un peu:

Trafic sortant bloqué - NAT out failed First packet in connection is not a SYN packet: TCP 192… on ppp0

Je t’avoue ne pas être sûr de la signification. Je m’aiderais bien par chronologie sauf que l’horloge a l’air toute décalée et HS.
Edité le 23/06/2010 à 20:47

ah les joyeux outils de windows.

en fait pour commencer je n’ai pas trop saisi comment est ton réseau de bout en bout.

tu as donc SERVEUR ----LIVEBOX----INTERNET----LIVEBOX---- CLIENT ?

Pas compris :frowning: ta livebox te log ce qui transite dedans ?? je veux la meme ^^

Pas compris… Ah tu veux dire que tu n’utilise pas un nom dns pour attaquer l’ip du serveur.

(ps: la livebox integre une fonction dyndns qui marche très bien)

Pas compris ou tu as obtenu le log. mais par déduction la seule chose qui peut vouloir nater quelque chose ce serai ton serveur.
Le fait de cocher la case “autoriser les correspondants appelants a acceder à mon réseau local” ca dois activer le nat sur ce qui sort sur le réseau local…

Sans avoir le plan d’adressage de tes réseaux je ne pourrai pas non plus t’aider a diagnostiquer.

Enfin perso j’essairai déjà une chose. Ne coche pas la case "autoriser blabla… et donne des adresses totalement différentes de ton plan d’adressage coté serveur aux clients qui se connectent. Genre 10.0.0.5 a 10.0.0.50

Ce ne sera pas la configuration finale mais ca mettra déjà hors de cause une erreur sur l’adressage.
Edité le 23/06/2010 à 21:37

Tu as bien deviné, la box possède un log.

Si tu veux, il m’est difficile de tester le vpn donc j’ai agi de cette façon: j’utilise un logiciel d’accès à distance (gratuit pour utilisation personnelle, mais payant pour utilisation commerciale…) qui me sert à dépanner le pc dirons nous, c’est très temporaire. Cela me permet si besoin de faire des réglages sur le serveur ou la box.

Maintenant, hier soir j’étais chez moi dans un appartement d’étudiant, avec un hotspot freewifi (et pourtant oui, j’ai réussi à initier la connexion, véritable exploit.), là je suis dans l’autre entreprise (il y en a 2 espacées de 20 ou 30 kms…) c’est mon pc portable qui joue le rôle de client, ce qui me permet de faire le client un peu partout pour mes tests.

Dans les logs de la box il n’y a que 2 types de choses: les “paramètres initiaux changés” inutiles donc, log qui retient le faite que j’ai modifié les param, et les “trafic sortant bloqués” qui je pense bien êtres dûs à moi lorsque j’initialise une connexion vpn. Ce que j’ai cru en comprendre hier soir, c’est que le serveur recevrait bien mes “appels” mais ne pourrait pas répondre car bloqué par la box. A prendre avec des pincettes tout de même, ce que la box interceptait était sur des ports différents du 1723, pas trop compris. Je réécris ici un message complet de la box dès que j’ai le temps.

Du coté serveur, tu as une box orange, reliée à un switch, et tout le reste des pc standards reliés au switch aussi.
Dont celui qui joue pour moi le rôle de serveur. l’adresse du réseau interne à cette entreprise est du type 192.168.1.X .
Seule chose effectuée, redirection sur la box orange, de ce qui vient en externe sur le port 1723, vers 192.168.1.13 (adresse de mon serveur) toujours via le port 1723.

Pas de nom dns en effet. J’ai remarqué qu’il y a cette option sur la box, serait-elle à mois que je me serais empressé d’appuyer sur tous les boutons (sisi je t’assure), mais vu que les gens de l’entreprise en ont besoin dans l’immédiat, “moins j’y touche mieux elle se porte” j’imagine? Bref je règle d’abord le problème vpn, pour la dns je verrai plus tard.

Encore merci pour ton aide

EDIT:

Trafic sortant : bloqué - Nat out failed

First packet in connection is not a SYN packet: TCP
192.168.1.11:1062->80.86.106.140:80 on pp0

Bon, déjà c’est pas mon poste, ensuite le port est foireux, et pour finir j’ai pas l’impression que ça coincide avec le moment où moi je fais quelque chose. J’ai plutôt tendance à me demander si c’est pas un cheval de troie vu qu’il essaye plusieurs ports. C’est un peu random comme truc là.

L’Ip wan n’est pas fixe (ah bah ça s’bien dommage tiens.) donc en tout cas je serai bien obligé de creer un dns au final. Bien vu.

Tu parles d’une case à décocher, j’ai bien vu un “autoriser des gens distants par internet à se connecter via vpn” mais je sais pas si c’est ça dont tu souhaiterais la désactivation pour test. J’en doute un petit peu.

EDIT 2:

Au cours de ma journée, toujours à chercher le pourquoi du comment, je découvre que le pptp peut être capricieux et qu’il se peut que le firewall (ou box) du client soit en cause. En effet, il semblerait qu’il faille aussi régler le firewall du client. Cela ne m’arrange pas. Je tombe alors sur OpenVpn, qui est conseillé justement puisqu’il n’a pas besoin de régler le firewall du client. “Génial!”

Je viens donc de tout configurer, je crèe un Nat 1194 sur la box du serveur pour rediriger le client vers le serveur sur le réseau. Et à toute les configurations NAT que je tente, ça a l’air de marcher, ensuite je vais dans le log, et j’obtiens un joli “Firewall configuration failed” bien sûr il m’est impossible de me connecter via le client.

EDIT 3:

Connexion réussie, alors faut pas trop me demander comment. J’utilise toujours OpenVpn, à savoir que la box est une livebox pro V2 et qu’elle pose souvent problème pour le NAT d’après google. Et quand est ce que ça a marché? En changeant le niveau du fire wall. J’étais en moyen, je suis passé en faible: ça a marché. Je suis repassé en moyen: ça marche encore. Allez chercher pourquoi…

Je m’attache maintenant à pinguer et autre
Edité le 24/06/2010 à 14:23

j’ai remarqué que ma livebox met parfois une ou deux minutes avant que les modifications au niveau parefeu soient vraiment opérationelles…

tiens nous au jus :slight_smile:

Bon, résultats de la journée:

Liaison opérationnelle entre 2 PC (client serveur) éloignés de quelques kilomètres, par ssl grâce à OpenVpn.
J’accède aux données du serveur, et ça c’est cool!

Maintenant, je m’interroge sur le débit. Il m’a l’air louche. J’ai fait mes petites recherches, sur le net ça parle mtu, comme quoi il est pas forcément adapté. Mais les topics datent parfois de l’époque du 56k alors je doute un peu sur leur véracité à l’heure actuelle…
Qu’en penses tu?

La connect du client c’est genre du 300ko/sec en dl, et la connect du serveur ça doit être minimum du 100ko/sec en up je pense.
A titre indicatif, j’ai fait des tests de dl d’un fichier depuis le serveur, je dl 3 mo en… 1 minute 30. Mouais.

Alors après, est ce que c’est un réglage ou simplement le ssl? Je continue de chercher…

300ko??? ca fait du 2400kbps c’est plutot bien lol !

je pense que tu voulais dire 300kb/s

1octet = 8bit

ne pas oublier cetaines choses, quand on a une adsl 8Mega on par de 8mega bits secondes “en download” !
en upload c’est loin d’être autant!!!
il ya plein de site qui te permettent de tester ta bande passante il suffit de tapper “test bande passante” sur google
mais ils ne proposent pas tous le test de ton upload.

et en liaison vpn le download d’un coté est limité par la capacité de download de sa propre connection mais surtout >
par la capacité d’upload de l’autre coté!!

si tu veux tester ton débit au travers de la liaison vpn utilise iperf iperf.fr…

sur un pc tu lance: iperf -s
squr l’autre pc tu lance: iperf -c “ipdupcd’avant”

Rien de nouveau, juste pour dire que j’ai pas oublié le poste héhé. Ah si j’ai établie un pont vendredi entre le réseau local de l’entreprise et le réseau vpn. Du coup avec mon portable je peux actuellement accéder à tout le réseau de l’entreprise B.

Question, n’étant pas retourné à l’entreprise B je n’ai pu testé, mais j’ai evidemment accès à mon portable (qui joue le rôle du client) de là bas non? Du coup, n’est -il pas plus simple de réaliser un pont entre le client et le reste de l’entreprise A, (si c’est possible?) plutôt que de faire un serveur vpn dans l’autre sens?

sisi, tout est très bien expliqué dans l’aide d’openvpn ici:

openvpn.net…

Super, ça me laisse de quoi m’amuser =p!

Je te remercie pour toute ton aide, à partir de là je pense me débrouiller de mon coté, je reviendrais probablement histoire de terminer l’histoire de mon petit stage, et de mettre un terme au topic. Encore une fois merci, je te tiens donc au courant sur le fin mot de l’histoire.

Rebonjour, après 2 semaines sans poste je relance le topic pour terminer une bonne fois pour toute ce réseau.
En effet mon directeur en vue de l’avancement relativement correct de mon projet, m’a , histoire de patienter, donner quelqu’autres petites choses à faire (telles que de la création de sites webs ou de l’installation d’imprimantes industrielles…).
Je peux enfin me remettre au projet principal cette semaine qu’il me tarde cependant de terminer.

J’étais parti avec OpenVPN et dev TAP pour la connexion en pont, qui facilitait pas mal je trouvais la mise en réseau du subnet serveur 1 avec le réseau vpn. Cependant, étant donner que je souhaite faire communiquer 2 subnets, il faudrait faire des retouches “en profondeur” sur les réseaux comme changer les adresses des subnets (qui doivent être identiques si j’ai bien compris.), ce que je ne puis me permettre.

Finalement, j’ai choisi donc l’option routage, qui est peut être moins propre, mais me permet (normalement?) de ne pas retoucher en profondeur aux réseaux.

D’après le Howto d’OpenVpn, les seuls routages à faire seraient sur le conf du serveur. Je ne comprends pas pourquoi. Si le routage est la redirection d’adresse ip, ne serait il pas par exemple important que sur mon pc client, j’écrive que l’ip 192.168.1.10 (subnet d’en face) doit passer par le serveur vpn 10.8.0.1? (puisque ce dernier est sur le réseau 192.168.1.0/24) ou ai-je louper quelque chose dans ma logique?

Je crois sinon comprendre que le serveur envoie le routage nécessaire au client une fois connecté, mais ça n’a pas l’air opérationnel…

J’essaye donc d’accéder au serveur depuis mon client vpn: \10.8.0.1 pas de problème.
Logiquement, s’il y a eu routage, alors je peux accéder au subnet par son adresse 192.168.1.0 non?
Chose incomprise: dans le log d’openvpn de mon client, le routage apparait et place 10.8.0.5 à coté de 192.168.1.0 Du coup, je tente le coup, \10.8.0.5. Aucune réaction.

Auriez vous quelques conseils sur le routage?

Merci d’avance!

tu peux envoyer la conf du serveur et la conf du client?

j’ai pas tout relu il y en a trop ^^

tu as un réseau x.x.x.x d’un coté avec un serveur vpn en z.z.z.z

un réseau y.y.y.y de l’autre

un client du reseau y.y.y.y se connecte au serveur vpn et recois donc une ip z.z.z.z en plus de son ip y.y.y.y

x,y,z sont des réseaux différents

Coté serveur tu dois avoir ca dans ta conf:
push “route x.x.x.x masque d’x” (pour indiquer aux clients quand ils se connectent qu’ils peuvent acceder au reseau x.x.x.x)

tu dois aussi avoir:
route y.y.y.y masque d’y (pour indiquer a openvpn que le reseau y existe)

mais il faut aussi lui mettre:
iroute y.y.y.y masque d’y (pour indiquer a la machine cliente que ce réseau est routable via openvpn)
(pas sur qu’on puisse le mettre directement dans la conf du serveur ou bien s’il faut passer obligatoirement par un fichier de configuration sur le serveur propre a chaque clé client comme indiqué dans le how-to)

mais envoie nous tes conf et les adressage de tes réseaux ce sera plus parlant.

a++
Edité le 19/07/2010 à 18:40

Donc d’après ce que tu me dis si je comprends bien, il n’y a bien que du coté de la conf serveur qu’il y a des choses à rajouter?
Parce qu’au moment ou un client se connecte, le serveur lui transmet les informations sur les routes.
iroute, en effet j’ai suivi le howto d’OpenVPN donc j’ai un fichier à part au doux nom de mon client.

Pour les fichiers de conf je me suis permis d’enlever les commentaires de base, c’est du coup plus clair et plus concis.

Autre petit problème, je n’accède plus au net dès que je suis connecté au vpn. Je n’avais pas ce problème en dev tap, j’avais cru lire sur internet qu’il fallait désactiver quelque chose dans les options internet connexions d’IE, mais j’ai pas l’impression d’y avoir quoi que ce soit de visible ici…

EDIT: en fait je pense que le problème est plutôt au niveau du routage.

REDIT:

Routage

push “route 192.168.1.0 255.255.255.0”
;route 192.168.0.0 255.255.255.0
;push “route 192.168.0.0 255.255.255.0”

Avec cette configuration là je ne plante plus. Je crois me souvenir avoir lu que de mon coté je dois rediriger pour la passerelle. Ce que je n’aurais pas à faire après car à titre définitif le client doit être installé sur la passerelle. (PC connecté en permanence à internet par un modem adsl, faisant office de serveur de L’entreprise. MAIS client du réseau vpn)

Pour l’instant je m’attache surtout à essayer de comprendre pourquoi je ne puis accéder aux ordinateurs du subnet d’en face (192.169.1.0). Sur ce subnet on a une redirection du type 10.8.0.0 doit retourner sur 192.168.1.99 ce qui est l’ip du serveur vpn sur le subnet d’en face.

La console coté client me donne:

En fait j’imagine que c’est logique. Pour l’instant je ne suis qu’un client sur le réseau, tant que je ne suis pas la passerelle, si je ne fais pas de redirection ça ne marchera pas non…?
Edité le 20/07/2010 à 10:09

retire tes 3 lignes de routage,

met juste
push “route réseauduserveur”
route reseauduclient

et enfin
iroute réseauduclient

dans le fichier correspondant au client (d’après ta conf ce fichier est dans un dossier nommé ccd dans le dossier d’openvpn puisque tu lui a mis un chemin relatif:

client-config-dir ccd

j’ai donc mis:

push “route 192.168.1.0”
route 192.168.0.0

puis iroute 192.168.0.0

Depuis le client je ne puis toujours pas pinger une adresse en 192.168.1.x.

  • Mon fichier dans lequel la commande iroute est disponible n’a pas de format. En faut-il un?

  • Le routage effectué sur la passerelle internet (orange box) du réseau du serveur: 10.8.0.0 ==> 192.168.1.99
    192.168.0.0 ==> 192.168.1.99

Coté serveur il y a donc:

Le serveur n’est pas la passerelle, mais il y a
Un routage de la passerelle
Un routage sur le conf serveur d’openvpn

Coté client:

Le client n’est pour l’instant pas la passerelle, de plus,
pour l’instant pas de routage de la passerelle, cela peut il poser problème? (Car je considérais que cela ne poserait problème que dans un sens…)

Tests effectués:

Coté client: ping 192.168.1.99 sans effet, 192.168.1.10 pareil.
Coté réseau du serveur, depuis une des machines (par accès à distance): ping 192.168.0.4 aucun effet.

Merci encore pour votre aide…
Edité le 20/07/2010 à 16:35

push “route 192.168.1.0 255.255.255.0”
route 192.168.0.0 255.255.255.0

puis iroute 192.168.0.0 255.255.255.0

pour l’instant ne met pas en place des regles de routage sur ton orangebox

pour l’instant essaie juste de pinguer l’ip locale du serveur depuis le client vpn
Edité le 20/07/2010 à 17:52