questions sur le VPN, j'essaye de configurer le VPN mais a morche pô....

[zedbee]

salut à tous,

je possede actuelement un poste osX serveur 10.3.9.
ainsi qu'un poste en osX 10.4

j'ai configuré le service VPN sur le serveur suite un un tuto d'univers mac ca me semble bien configuré...
mon routeur est une livebox pro (inventel), j'ai configuré le firewall en manuel en configurant les ports comme ceci:
PPTP en TCP sur le port 1723 ouvert
IPSEC en TCP sur le port 500 ouvert
L2TP en TCP sur le port 1701 ouvert

pour chaque protocole, j'ai définit comme adresse d'origine le routeur et comme adresse de destination le serveur osX (des adresses IP locales)

je me connecte via l'outil connexion internet en PPTP,
je met comme adresse de serveur l'adresse IP en distant de ma livebox
j'utilise comme login et mdp ceux de mon compte pour acceder au serveur de fichier en AFP

Quand je me connecte, il m'indique "connexion" dans l'état, mais ne va pas plus loin, au bout du timeout, il m'indique que le serveur ne répond pas.

j'ai ensuite configuré un NAT sur le routeur pour le PPTP en TCP sur le port 1723 pointant sur l'IP du serveur.

Quand je me connecte, il m'indique "négociation" dans l'état mais ca ne va toujours pas plus loin....

j'ai aussi essayé en L2TP via IPsec, mais là même pas de tentative, le serveur ne répond pas instantanément !

mon serveur est bien sur une IP fixe.
j'ai fait attention de ne pas superposer les plages d'IP DHCP avec les plages VPN (j'ai utilisé comme plage VPN la plage des IP de tout les postes du réseau local comprenant le serveur osX)


ou me suis-je planté ?
faut-il vraiment faire un NAT pour rediriger les données sur le serveur ?
n'y a t'il pas une connerie à ne pas oublier ?
le VPN fonctionne t'il bien sur un osX serveur 10.3.9 ou faut il un serveur 10.4 ?

je veux bien un petit coup de pouce, j'ai beau essayer ca marche toujours pas.

merci beaucoup

[vlurk]

Il existe bien des raisons pour lesquelles un VPN peut ne pas fonctionner... Et souvent, c'est là où on ne cherche pas.

Justement, j'ai eu des difficultés la semaine dernière alors que je paramétrais un VPN L2TP/IPSEC entre deux entreprises. Un site (A) utilisait une connexion adsl à l'aide d'un client PPPoE, alors que l'autre (B ) disposait d'une connexion DSL dédié approvisionnée par un routeur Cisco (830 series). Le tunnel fonctionnait à première vue: les clefs étaient bien échangées, la phase 1 et 2 passaient... Mais la différence de MTU de l'interface physique à la base du tunnel présente au site (A) versus celle au site (B ) m'a occasionné un problème bien bizarre: une requête pour echo en ICMP du site B au site A passait sans que le site B ne retourne le "ECHO REPLY".

Après recherche, j'ai trouvé pourquoi : un message sur la mailing list du projet OpenSWAN m'a vraiment éclairé, et il se trouve à cette adresse: http://lists.openswan.org/pipermail/users/...une/009817.html l'extrait important:

If the tunnel MTU's are not equal in both directions then this can lead
to strange behaviour: TCP traffic will usually negotiate MSS values
based on the lower mtu, but only after the local TCP stack on the lan
client has learnt the reduced mtu value. Ping traffic through the large
MTU end can go through to the target machine, but the reply (which is
the same size) cannot get back as it also has DF set.

Après avoir connecté le routeur du site A sur le même type de connexion que le type B, tout a fonctionné. Et j'ai donc un tout autre point de vue sur le problème présenté lors de mon dernier post sur ce thread...

Votre VPN ne fonctionne pas? Peut-être devriez-vous essayez ceci:
Assurez-vous vous que le mtu de votre tunnel est conséquent au réseau qui relie les deux machines hôtes des tunnel. Mieux encore: assurez-vous que le mtu des interfaces physiques à la base de votre tunnel soit identiques et adapté à la taille maximale des paquets qui passeront sur Internet. Malheureusement, l'équipement à ma disposition ne permettait pas trop d'expérimentation de ce côté. Il était impossible de modifier le MTU de l'interface WAN du routeur au site B (un Firebox Edge X5), alors qu'il était impossible de configurer le MTU du tunnel sur les deux appareils (un X5 et un Firebox X500, Fireware 8.3). Mais sinon, je suis à peu près sûr que le changement de connexion internet aurait été inutile.

De plus, pour faire fonctionner un serveur VPN L2TP/IPSEC derrière une passerelle qui fait du NAT, il faut absolument activer les extension NAT-T. Le client aussi doit les supporter, naturellement. C'est vraiment nécessaire.

Pour finir, je suggère une bonne lecture sur le site de Microsoft. C'est peut-être uniquement disponible en anglais, mais cet article résume une très bonne partie des concepts essentiels aux VPNs l2tp/IPSEC. Et bien entendue, il y a une partie dédiée sur le fonctionnement d'IPSEC en environnement NAT. Je souhaite que cela puisse vous aider...

Ce message a été modifié par vlurk - 27 Jul 2006, 18:16.