Server et VPN débutant - Forums MacBidouille

IPB

Bienvenue invité ( Connexion | Inscription )

Forums MacBidouille > Général > Réseau

Reply to this topic

Start new topic

Server et VPN débutant, Comment faire en sorte que le VPN soit accessible ?

Options

CMJS Voir le profil	4 Sep 2017, 14:41 Message #1
Macbidouilleur d'argent ! Groupe : Membres Messages : 757 Inscrit : 9 Aug 2006 Lieu : Ici, pourquoi ? Membre n^o 65 624	Salut, D'abord, je précise que ceci n'est pas mon métier, mais travaillant dans une petite structure sans gros moyens, j'ai été chargé du serveur parce que je suis celui qui me débrouille le mieux (!). Donc, clairement, j'ai beaucoup de lacunes dans le domaine des réseaux. J'ai un souci depuis quelque temps : je souhaite activer le VPN sur notre Server (v 5 Yosemite). En soi, il me semble que j'ai trouvé comment l'activer, mais il reste invisble depuis l'extérieur (message en m'étant connecté depuis mon domicile du genre "Le serveur VPN n'est pas activé" ou "… n'a pas été trouvé"). Je n'ai pas accès directement au routeur parce que nous avons un contrat "pro" et chaque intervention (port forwarding, modification pool DHCP, etc.) est payante (:-( ). C'est notamment pour ça que j'essaie de bien comprendre les tenants et aboutissants afin de demander une fois pour toutes, si nécessaire, les modifications pertinentes. Voici l'état actuel de ma config au niveau du serveur : Capture_d_____cran_2017_09_04____15.30.47.png ( 89.43 Ko ) Nombre de téléchargements : 15 Le routeur est en 192.168.0.254 et on me dit qu'il y a "full static NAT" vers l'IP 192.168.0.253 (je ne sais pas ce que nous avons comme machine à cette adresse-là… :-( ). Questions : Qu'est-ce qu'un "full static NAT" vers une IP ? Qu'est-ce qui pourrait se trouver en 192.168.0.253 ? Un deuxième routeur ? Dois-je configurer des routes ? Si oui, quoi exactement ? Il me semble avoir lu qqe part que les sous-réseau client et serveur ne doivent pas être les mêmes, mais je n'ai pas de prise ni sur l'un ni sur l'autre… est-ce que la configuration de routes, justement, doit permettre de contourner ce problème ? Merci déjà pour votre aide. Et s'il y a besoin de plus de détails… Ce message a été modifié par CMJS - 4 Sep 2017, 15:05. -------------------- Jean-Marie Schwartz [MacPro Quad-Core Intel Xeon 2,8 GHz • OS 10.10.5 • QuarkXPress 9.5.4.1 et 2017 • Adobe CS5 et CS6 • Linotype FontExplorerX Pro] « A l'école, c'est logique, l'écologie il faudrait l'enseigner : réapprendre la grammaire de l'eau, de l'air ou de la lumière… » (CharlElie Couture, « Les Ours blancs », in Fort Rêveur)

_Panta Voir le profil	4 Sep 2017, 17:44 Message #2
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 796 Inscrit : 24 Dec 2006 Lieu : "Over The Rainbow" Membre n^o 76 401	http://nosnews.fr/2011/04/tuto-creer-un-se...ac-os-x-server/ -------------------- - Macbook Pro M1 Pro 16.2" - Macbook Pro TouchBar 15.4" T1 - 512GB/core i7@2,7Ghz - A VENDRE - Clavier neuf et batterie neuve, changés début 2023 (Garanti 6 mois) - SSD Samsung nVme toujours à 2,5GB/s - Gris sidéral - Macbook Air 13,3" core i5 - iMac 27" core i5 - iPhone14 - Apple Watch 8 - Fbx Delta Devialet

CMJS Voir le profil	5 Sep 2017, 08:26 Message #3
Macbidouilleur d'argent ! Groupe : Membres Messages : 757 Inscrit : 9 Aug 2006 Lieu : Ici, pourquoi ? Membre n^o 65 624	Citation (_Panta @ 4 Sep 2017, 18:44) http://nosnews.fr/2011/04/tuto-creer-un-se...ac-os-x-server/ Salut Panta, Merci pour ce lien, mais j'ai déjà lu et appliqué tout ça. Toutes mes recherches sur Server et VPN renvoient des tutoriels où tout paraît si simple. Mais ça coince pour moi quelque part justement et je n'arrive pas à savoir où. A moins que ce ne soit que la question du port à ouvrir ? Mais il me semblait que les ports "classiques" étaient ouverts par défaut, non ? Ou bien je dois demander explicitement un port forward du 192.168.0.254:1723 vers Server (même port ?) Ce message a été modifié par CMJS - 5 Sep 2017, 08:31. -------------------- Jean-Marie Schwartz [MacPro Quad-Core Intel Xeon 2,8 GHz • OS 10.10.5 • QuarkXPress 9.5.4.1 et 2017 • Adobe CS5 et CS6 • Linotype FontExplorerX Pro] « A l'école, c'est logique, l'écologie il faudrait l'enseigner : réapprendre la grammaire de l'eau, de l'air ou de la lumière… » (CharlElie Couture, « Les Ours blancs », in Fort Rêveur)

trouspinette Voir le profil	5 Sep 2017, 11:44 Message #4
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 5 064 Inscrit : 19 Feb 2002 Lieu : BZH Membre n^o 2 083	@CMJS Si tu n'as pas accès au routeur, c'est bof moyen :-( Pour la partie NAT statique, cette terminologie est souvent utilisé lorsque l'on possède plusieurs IP WAN, et qu'une seule sera translaté vers une IP LAN. En gros, et pour résumer : Une adresse IP locale = Une adresse IP publique. Il te faut donc une IP publique, à minima. Ensuite, il faudra, sur le routeur, effectuer les réglages qui vont bien, à savoir translation des ports suivants (L2TP over IPSec) : - Internet Key Exchange (IKE), port UDP 500. - IPSec Network Address Translation (NAT-T) port UDP 4500. - L2TP traffic, port UDP 1701. Et les règles de pare-feu. Un peu de lecture par ici. Citation (CMJS @ 4 Sep 2017, 15:41) Le routeur est en 192.168.0.254 et on me dit qu'il y a "full static NAT" vers l'IP 192.168.0.253 (je ne sais pas ce que nous avons comme machine à cette adresse-là… :-( ). Si tu ne sais pas quelle machine est affectée avec cette @IP, fais supprimer cette règle de NAT au plus vite ! -------------------- Quis custodiet ipsos custodes ? - Lorsqu'un sujet est résolu, merci d'indiquer [Résolu] dans le titre de votre post ! Luttons contre le style SMS !!! iPhone 14Pro Max 256 Go iOS 17• MacBook Pro 16 2019 Core i9 - macOS 12.7.2 - 32 GB RAM - 2 TB • @Orange Linux • OPNSense / pfSense • Une pointe de Windows aussi • Enfocus Switch Expert • callas pdfToolBox

CMJS Voir le profil	6 Sep 2017, 08:27 Message #5
Macbidouilleur d'argent ! Groupe : Membres Messages : 757 Inscrit : 9 Aug 2006 Lieu : Ici, pourquoi ? Membre n^o 65 624	Merci trouspinette ! Je vais essayer de tirer au clair au plus vite cette histoire de redirection sur le 253. On avait il y a quelques mois un switch, je pense, qui avait grillé. On l'a retiré, mais sans doute cette règle est-elle une réminiscence. Je vais également demander la translation des ports comme tu le mentionnes. Pour l'histoire des adresses de sous-réseau : si j'ai bien compris dans mes lectures, quand je suis en sous-réseau 0 ici au boulot et que le client est dans le même sous-réseau 0, ça n'ira pas ? A moins qu'on ne parle que d'un accès en VPN du même côté du routeur ? Mais est-ce que cela a du sens ?) Bon, je m'en vais lire ta lecture conseillée et tirer au clair les autres affaires. Merci encore pour ton aide et ton éclaircissement ! -------------------- Jean-Marie Schwartz [MacPro Quad-Core Intel Xeon 2,8 GHz • OS 10.10.5 • QuarkXPress 9.5.4.1 et 2017 • Adobe CS5 et CS6 • Linotype FontExplorerX Pro] « A l'école, c'est logique, l'écologie il faudrait l'enseigner : réapprendre la grammaire de l'eau, de l'air ou de la lumière… » (CharlElie Couture, « Les Ours blancs », in Fort Rêveur)

trouspinette Voir le profil	6 Sep 2017, 17:59 Message #6
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 5 064 Inscrit : 19 Feb 2002 Lieu : BZH Membre n^o 2 083	Citation (CMJS @ 6 Sep 2017, 09:27) Pour l'histoire des adresses de sous-réseau : si j'ai bien compris dans mes lectures, quand je suis en sous-réseau 0 ici au boulot et que le client est dans le même sous-réseau 0, ça n'ira pas ? A moins qu'on ne parle que d'un accès en VPN du même côté du routeur ? Mais est-ce que cela a du sens ?) Tu as bien lu : il ne faut pas que le masque du sous réseau distant (côté client VPN) soit le même que celui du réseau distant. Lors de l'établissement du VPN, le tunnel va utiliser un sous-réseau différent (et il doit être paramétré ainsi !!!), par exemple 10.0.0.0/24. Mais si le réseau distant est identique au réseau RoadWarrior (client), tes paquets ne sortiront jamais vers le réseau distant. Il existe bien des produits qui font du NAT avant VPN, mais surtout en mode site à site, avec équipements dédiés ( http://nanabozo2.free.fr/docs/infos/netasq...recouvrante.pdf ) En tout état de cause, même sous réseau des 2 côtés = emmerdes assurés... -------------------- Quis custodiet ipsos custodes ? - Lorsqu'un sujet est résolu, merci d'indiquer [Résolu] dans le titre de votre post ! Luttons contre le style SMS !!! iPhone 14Pro Max 256 Go iOS 17• MacBook Pro 16 2019 Core i9 - macOS 12.7.2 - 32 GB RAM - 2 TB • @Orange Linux • OPNSense / pfSense • Une pointe de Windows aussi • Enfocus Switch Expert • callas pdfToolBox

CMJS Voir le profil	7 Sep 2017, 10:35 Message #7
Macbidouilleur d'argent ! Groupe : Membres Messages : 757 Inscrit : 9 Aug 2006 Lieu : Ici, pourquoi ? Membre n^o 65 624	Citation (trouspinette @ 6 Sep 2017, 18:59) En tout état de cause, même sous réseau des 2 côtés = emmerdes assurés... Oh ! Donc il faut changer l'un ou l'autre. Ici, ça voudrait dire passer sur chaque machine pour modifier les IP manuelles ; côté client, ça supposerait que les collègues puissent modifier cela de leur côté (ils s'y connaissent encore moins que moi). et quand tu dis : Citation Lors de l'établissement du VPN, le tunnel va utiliser un sous-réseau différent (et il doit être paramétré ainsi !!!), par exemple 10.0.0.0/24. … ça se paramètre où ? C'est les fameuses routes que je vois dans les paramètres du Server ? Y a-t-il des règles (encore une fois, si j'ai bien lu, on travaille en général pour le VPN avec des adresses en 10.0.0.x, c'est ça ? Merci pour ton aide ! -------------------- Jean-Marie Schwartz [MacPro Quad-Core Intel Xeon 2,8 GHz • OS 10.10.5 • QuarkXPress 9.5.4.1 et 2017 • Adobe CS5 et CS6 • Linotype FontExplorerX Pro] « A l'école, c'est logique, l'écologie il faudrait l'enseigner : réapprendre la grammaire de l'eau, de l'air ou de la lumière… » (CharlElie Couture, « Les Ours blancs », in Fort Rêveur)

trouspinette Voir le profil	7 Sep 2017, 13:12 Message #8
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 5 064 Inscrit : 19 Feb 2002 Lieu : BZH Membre n^o 2 083	Citation (CMJS @ 7 Sep 2017, 11:35) Oh ! Donc il faut changer l'un ou l'autre. Ici, ça voudrait dire passer sur chaque machine pour modifier les IP manuelles ; côté client, ça supposerait que les collègues puissent modifier cela de leur côté (ils s'y connaissent encore moins que moi). Il vaut mieux que tu changes côté Client, ou alors tu refais tout le plan IP côté serveur ;-) Citation et quand tu dis : Lors de l'établissement du VPN, le tunnel va utiliser un sous-réseau différent (et il doit être paramétré ainsi !!!), par exemple 10.0.0.0/24 … ça se paramètre où ? C'est les fameuses routes que je vois dans les paramètres du Server ? Y a-t-il des règles (encore une fois, si j'ai bien lu, on travaille en général pour le VPN avec des adresses en 10.0.0.x, c'est ça ? Tu ne changes rien sur le réglage par défaut du serveur VPN, mais il ne faudra pas que le réseau LAN Client soit identique, rappelle toi ;-) http://nosnews.fr/2011/04/tuto-creer-un-se...ac-os-x-server/ Perso, et si ton routeur le permet, je mettrais le VPN Server en lieu et place dessus. Mais comme tu dis payer pour chaque intervention, pas glop... Ou mieux encore : tu vires le routeur, tu installes un pfSense à la place ! -------------------- Quis custodiet ipsos custodes ? - Lorsqu'un sujet est résolu, merci d'indiquer [Résolu] dans le titre de votre post ! Luttons contre le style SMS !!! iPhone 14Pro Max 256 Go iOS 17• MacBook Pro 16 2019 Core i9 - macOS 12.7.2 - 32 GB RAM - 2 TB • @Orange Linux • OPNSense / pfSense • Une pointe de Windows aussi • Enfocus Switch Expert • callas pdfToolBox

CMJS Voir le profil	8 Sep 2017, 08:42 Message #9
Macbidouilleur d'argent ! Groupe : Membres Messages : 757 Inscrit : 9 Aug 2006 Lieu : Ici, pourquoi ? Membre n^o 65 624	Citation (trouspinette @ 7 Sep 2017, 14:12) Il vaut mieux que tu changes côté Client, ou alors tu refais tout le plan IP côté serveur ;-) C'est bien ce que je craignais comme réponse En fait côté client, c'est juste pas possible… Entre-temps, j'ai compris que l'IP 253 était celle d'un routeur qu'on avait derrière le gateway (d'où le full forward ET du coup la possibilité que nous avions d'ouvrir et rediriger les ports à notre guise…). Ce routeur a grillé il y a quelques mois. Depuis, on travaille sans filet. Le problème est qu'on (moi, en l'occurrence) a alors tout basculer sur sous-réseau 0 sans réfléchir (!). Par après, la téléphonie qui était dans un autre sous-réseau a été passée aussi sur le sous-réseau 0. C'est encore une autre boîte qui gère ça. Je serais tenté de mettre une borne AirPort Extreme en 253 et router mes adresses et ports dessus (il semble qu'il soit en plus en parfaite synergie avec le Server Mac). Ce qui me fait flipper, c'est qu'il faudrait passer sur toutes les machines pour modifier les paramètres (IP manuelles). Citation Tu ne changes rien sur le réglage par défaut du serveur VPN, mais il ne faudra pas que le réseau LAN Client soit identique, rappelle toi ;-) OK, je commence à comprendre Mais surtout, je n'ai donc rien à modifier côté serveur, c'est déjà ça. Citation Ou mieux encore : tu vires le routeur, tu installes un pfSense à la place ! Ah ? Je vais lire tout ça. Merci encore pour ton aide et pour ton temps ! A plus. -------------------- Jean-Marie Schwartz [MacPro Quad-Core Intel Xeon 2,8 GHz • OS 10.10.5 • QuarkXPress 9.5.4.1 et 2017 • Adobe CS5 et CS6 • Linotype FontExplorerX Pro] « A l'école, c'est logique, l'écologie il faudrait l'enseigner : réapprendre la grammaire de l'eau, de l'air ou de la lumière… » (CharlElie Couture, « Les Ours blancs », in Fort Rêveur)

« Sujets plus anciens · Réseau · Sujets plus récents »

Reply to this topic

Start new topic

1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))

0 membre(s) :

Modes d'affichage: Standard · Passer au mode : Linéaire+ · Passer au mode : Arborescent

Suivre ce sujet · Envoyer ce sujet · Imprimer ce sujet · S'abonner à ce forum

Nous sommes le : 24th April 2024 - 06:04

Powered By IP.Board 2.3.6 © 2024 IPS, Inc.