questions sur le VPN, j'essaye de configurer le VPN mais a morche pô....

[zedbee]

salut à tous,

je possede actuelement un poste osX serveur 10.3.9.
ainsi qu'un poste en osX 10.4

j'ai configuré le service VPN sur le serveur suite un un tuto d'univers mac ca me semble bien configuré...
mon routeur est une livebox pro (inventel), j'ai configuré le firewall en manuel en configurant les ports comme ceci:
PPTP en TCP sur le port 1723 ouvert
IPSEC en TCP sur le port 500 ouvert
L2TP en TCP sur le port 1701 ouvert

pour chaque protocole, j'ai définit comme adresse d'origine le routeur et comme adresse de destination le serveur osX (des adresses IP locales)

je me connecte via l'outil connexion internet en PPTP,
je met comme adresse de serveur l'adresse IP en distant de ma livebox
j'utilise comme login et mdp ceux de mon compte pour acceder au serveur de fichier en AFP

Quand je me connecte, il m'indique "connexion" dans l'état, mais ne va pas plus loin, au bout du timeout, il m'indique que le serveur ne répond pas.

j'ai ensuite configuré un NAT sur le routeur pour le PPTP en TCP sur le port 1723 pointant sur l'IP du serveur.

Quand je me connecte, il m'indique "négociation" dans l'état mais ca ne va toujours pas plus loin....

j'ai aussi essayé en L2TP via IPsec, mais là même pas de tentative, le serveur ne répond pas instantanément !

mon serveur est bien sur une IP fixe.
j'ai fait attention de ne pas superposer les plages d'IP DHCP avec les plages VPN (j'ai utilisé comme plage VPN la plage des IP de tout les postes du réseau local comprenant le serveur osX)


ou me suis-je planté ?
faut-il vraiment faire un NAT pour rediriger les données sur le serveur ?
n'y a t'il pas une connerie à ne pas oublier ?
le VPN fonctionne t'il bien sur un osX serveur 10.3.9 ou faut il un serveur 10.4 ?

je veux bien un petit coup de pouce, j'ai beau essayer ca marche toujours pas.

merci beaucoup

[guilichou]

Hello,

J'ai la même configuration réseaux que toi. Néanmoins deux points importants à noter:

- Le L2TP n'est pas supporté par la Inventel. Il te faut donc paramétrer le client en mode PPTP.

- L'utilisateur avec lequel tu te connecte doit avoir les droits "administrateurs" du serveur sinon la connection est refusée

Ensuite sur la Inventel:

- Partie sécuritée, prendre "personalisé" et ouvrir le port 1723 (que tu rediriges vers le serveur)

- Partie routeur NAT, le port 1723 vers le serveur (mais a priori c ce que tu as fait..)

Enfin, si ca marche toujours pas, moi je crois avoir mis "any" en lieu et place de l'adresse routeur mais ca doit rien changer

Voilà pour commencer...

oups: Je suis en OS X serveur 10.4 mais je pense pas que ca change...

Ce message a été modifié par guilichou - 22 May 2006, 20:21.

[zedbee]

merci bien pour ces infos,

je vais essayer de reconfigurer et je te tiens au jus.

[Duncan83]

j'ai configuré le service VPN sur le serveur suite un un tuto d'univers mac ca me semble bien configuré...

Bonjour,
Tu peux m'indiquer où tu as pu te procurer ce tuto ? Moi j'en ai récupéré un sur un autre site, mais je n'ai pas beaucoup d'infos, et bien sur mon VPN ne fonctionne pas.

Merci

[guilichou]

c'etait sur le magazine UniversMac avril 06

Sinon j'en ai fait un ici, plus détaillé:
Tutorial VPN

[Duncan83]

Merci beaucoup guilichou.

Je connaissait déja bien ce site, car je le visite très régulièrement depuis plusieurs mois, et je le trouve vraiment excellent.

Par contre je n'avais pas vu que la partie VPN de la config d'OS X server avait été mise à jour.

Merci pour ton aide.

[Duncan83]

Guilichou,

je crois que j'ai besoin de ton aide malgré ton tuto. En clair, tout fonctionne bien en PPTP, et le test de connexion locale (sur IP privé) réussi. Mais si je teste la connexion distance (j'ai une ip fixe, et je teste mon client en pointant cette ip) , le serveur ne me répond pas instantanément. Soit j'ai un pb de config NAT, soit il est impossible de tester "en local" une connexion distante.

Par contre, la connexion L2TP echoue en local comme en distant. Je suppose que mon modem/routeur ne supporte pas ce protocole (Zyxel Prestige 600)

A noter que j'ai ouvert les ports 500, 1701 et 1723 sur mon FW dans OS X Server, et j'ai activé la redirection NAT de ces ports vers l'adresse ip privée de mon serveur.

Merci pour ton aide.

PS: je trouve le forum responsable.info particulièrement interessant et pro, mais n'étant pas dans le domaine éducatif (et encore moins en Suisse), je n'ose pas intervenir.

[guilichou]

Alors:

Quels est la plage d'adresses IP que la Livebox distribue? Quel est la plage IP de L2TP? Plage IP de PPTP?

Creer un compte sur le serveur qui possède les droits administrateurs.

Teste et donne-moi le résultat:
- Connexion PPTP depuis un poste client qui est en reseaux LOCAL.

- Connexion L2TP depuis un poste client qui est en reseaux LOCAL.
( A noter, il faut que tu fasses configuration->"Modifications les configurations". Là ne pas oublier le mot de passe "commun" que tu as mis dans le serveur au cas où tu ais oublié )


A noter: Tu ne peux pas faire une connexion VPN distante sur ton serveur depuis chez toi. Il te faut demander a un ami ou à moi a la limite en message prive.

Donne moi deja ces resultats...

[senzex]

A noter: Tu ne peux pas faire une connexion VPN distante sur ton serveur depuis chez toi.

Je l'ai pourtant déjà fait, lors de mon premier essai de mise en place du VPN d'OSX.
mais j'avais deux cartes réseaux, peut-être deja, je crois, je ne sais plus, ça fait longtemps. bref,

NUMERO 0:
Utilise l'interface en anglais sur OSX Server. (il y a du bug dans les versions en français - parait que c'est mieux sur 10.4 mais j'ai TOUJOURS utilisé OsXServer en English…

NUMERO 1:
si tu n'as pas configuré les DNS sur ton OsXServer… tu vas en chi…

NUMERO2
Assures toi que les "dates et heures" du server et client sont bien synchro. (pour kerberos un delta de 4-6min et les tentatives echouent. cela peut peut-être, avoir un impact aussi avec ta connection.

NUMERO3
Si tu as 2 hubs/switchs qui trainent (ou qu'on peut te preter) C cool car dans ce cas tu en mets un sur ton inventel et un pour ton lan; Et Si tu mets une seconde carte Ethernet dans ton server (5-6€ pour 100 BaseTX - largement suffisant pour une connection via internet), alors tu pourras faire tes tests en local LAN et en remote à l'exterieur.

( comme ça en te faisant une config 'Inventeldirect' sur ton client tu pourras simuler un accès par l'extérieur de ton server… )

A) Ton Built-IN Ethernet -> LAN, tu changes rien.
sauf pour la partie VPN.

ta carte Ethernet/PCI -> se sera ton WAN (acces INternet - VPN).

NUMERO4
Si ce n'est pas deja fait : activer DHCPServer et NAT sur le Server.
########
donc:
ton routeur est branché sur la carte PCI ethernet 10/100 Mbps pour l'acces Internet,
et ton switch & autres ordis sur ton Ethernet-Integre 1000MBps .

ainsi:
pour que l'exterieur (donc Inventel et Internet) se connecte dans ton LAN (carte integre) il faut passer par le carte PCI ETHERNET.
ça à l'air compliqué mais en fait c'est super simple. D'ailleurs c'est l'exemple que donne apple dans le petit manuel fourni avec OsX Server…
######

recapitulatif:

INVENTEL
|
Switch -> & client sur le switch coté WAN pour pre-test du VPN (gateway client = Inventel)
|
Server - VPN (cote WAN PCI/ethernet) - gateway Server WAn=Inventel
Server (cote LAN built-in ethernet)
|
Switch
|
Clients coté LAN (DNS/gateway client cote LAN = Server)


Good luck.

NB:
je cite : "le User doit avoir les droits d'admin sur le server"
Cela m'etonne grave… je ne me souviens pas avoir eu ce genre de necessité. cependant là tout de suite je ne peux pas checker, mais je suis qd meme etonné, car sur tous les server que j'utilise ou config, il n'y a qu'un seul compte admin. Moi meme je suis admin sur mon poste (client) mais en aucun cas sur le server ! et pourtant je me connecte sans pb ! et n'en ai jamais eu… donc ce point me semble leger, car des users avec les droits d'admin sur un server c'est pas bon du tout ! enfin c'est mon avis et mon experience…
@+

Ce message a été modifié par senzex - 26 May 2006, 21:55.

[guilichou]

Merci senzex!

Je vais effectivement essayer de refaire des tests plus poussé sur l'accès VPN... Je vous tiendrais au courant Lundi. Il est vrai que les droits administrateurs m'embêtais un peu mais j'ai des idées pour contourner.

Je vous tiens au courant

[Duncan83]

Alors:
Quels est la plage d'adresses IP que la Livebox distribue? Quel est la plage IP de L2TP? Plage IP de PPTP?

plages IP : 172.16.4.100 à 172.16.4.100, tant pour L2TP que PPTP
(au fait, chez moi je suis sue free, et à mon bureau je suis sur wanadoo)

Creer un compte sur le serveur qui possède les droits administrateurs.

C'est fait

Teste et donne-moi le résultat:
- Connexion PPTP depuis un poste client qui est en reseaux LOCAL.

- Connexion L2TP depuis un poste client qui est en reseaux LOCAL.
( A noter, il faut que tu fasses configuration->"Modifications les configurations". Là ne pas oublier le mot de passe "commun" que tu as mis dans le serveur au cas où tu ais oublié )

PPTP en local : accès ok, validation user ok
L2TP en local : accès ko : le serveur ne répond pas

A noter: Tu ne peux pas faire une connexion VPN distante sur ton serveur depuis chez toi. Il te faut demander a un ami ou à moi a la limite en message prive.

Donne moi deja ces resultats...

A noter que depuis chez moi, (pas depuis mon bureau, en connexion réellement distante), la configuration PPTP recoit bien une réponse du serveur, mais la validation user échoue, (je me demande bien pourquoi). Je suppose que je dois configurer mon FW client/local en ouvrant les mêmes ports (500,1701 et 1723).

Par contre, la connexion L2TP ne trouve pas le serveur, même comportement qu'en connexion locale...

Merci Guilichou pour ton aide et pour le temp que tu y consacres...

[guilichou]

Question:
Pour le L2TP, est-ce que le client possède bien le mot-de-passe partagé?

Est la plage de distribution L2TP et la plage de distribution PPTP sont bien différentes? (ex: 192.168.1.10 à 192.168.1.5 pour le L2TP, 192.168.1.20 à 192.168.1.25 pour le PPTP)

switcher:
- Merci de donner au moins 2 adresses (perso j'en met tjrs 5 pour PPTP et 5 pour L2TP) dans les plages car lors d'une deconnexion VPN, l'IP utilisé n'est pas immédiatement libéré (d'apres mon expérience...)

- Pour la validation de l'utilisateur, mets pour l'instant les droits admin à ton utilisateur. (Je vais chercher a trouver la solution pour ne pas mettre completement les droits admin...)

- Oui il faut ouvrir les ports sur ton routeur.

Ce message a été modifié par guilichou - 27 May 2006, 18:25.

[guilichou]

Alors:

Merci de retirer les droits administrateurs aux utilisateurs dont vous souhaitez qu'ils puissent accéder aux VPN.
En effet comme le disait senzex c pas terrible...

Faire comme présenté ci-après:

- Ouvrir "Gestionnaire de groupe de travail", créer un nouveau GROUPE que vous appelez "vpn-users".
Dans ce groupe, insérer les utilisateurs ayant droits à l'accès VPN.

- Ouvrir "Admin Serveur", cliquer sur le nom de votre serveur, puis "réglages" (en bas à droite), puis "Accès" en haut à droite...
- Choisir "VPN", puis cliquer sur "Autoriser uniquement les utilisateurs...", cliquer sur le bouton "+" en bas et ajouter le groupe "vpn-users".

Voilà, ca doit marcher. Lorsque vous avez un utilisateur qui nécessite un accès VPN, il suffit de l'ajouter au groupe "vpn-users".

J'ai bien testé la méthode (interne et externe) et ca marche nickel....

Ce message a été modifié par guilichou - 28 May 2006, 21:17.

[guilichou]

Alors vous en êtes où?
Ca marche votre connexion VPN?

[Duncan83]

Ben en ce qui me concerne, je recontre toujours les mêmes problèmes:

- La connexion L2TP ne trouve absolument pas le serveur VPN, que ce soit en local ou à distance.

- La connexion PPTP fonctionne parfaitement en local, mais à distance, le serveur VPN est bien vu, mais la négociation échoue après 1 minute.

L'utilisateur qui se connecte est administrateur, j'ai bien 2 plages distinctes de 5 adresses IP privées pour les 2 types de connexion.

Par contre, peut-être un indice, mon serveur DHCP est désactivé. Mes clients se connectent avec une IP privée fixe, et sont correctement identifiés par le serveur Open Directory. Je n'ai pas une envie démesurée d'activer mon serveur DHCP uniquement pour une connexion VPN, mais si je n'ai pas d'autre choix...

Ce message a été modifié par switcher - 30 May 2006, 09:42.

[zedbee]

je reviens sur le post, après l'avoir lancé, malgrès toute les infos passées et le super tutoriel donné par "guilichou", je n'ai toujours pas résolu mon problème.

dans mon cas, même en essayant de me connecter en VPN (PPTP) en local ne fonctionne pas. Il m'indique une erreur d'authentification.
Comparé au tutoriel, la seule différence est que mon service "open directory" est activé, il serait bien possible que le problème vienne de là. Je vais essayer de comprendre comment ca marche... je ne pense pas que ce soit du au service DNS qui n'était pas activé, je l'ai activé mais rien n'a changé.

je repars donc au combat....
en tout cas, merci déjà pour toutes ces infos.

[vlurk]

- La connexion PPTP fonctionne parfaitement en local, mais à distance, le serveur VPN est bien vu, mais la négociation échoue après 1 minute.

Ça, c'est vraiment le symptome d'un routeur qui ne réussit pas correctement à implémenter un forward du protocol PPTP. Le plus souvent, c'est la manipulation des paquets du protocol GRE (General Routing Encapsulation, IP procotol #47) qui pose problème. Si ton modem pouvait être branché à même l'interface réseau de ton serveur, cela fonctionnerait sans doute.

- La connexion L2TP ne trouve absolument pas le serveur VPN, que ce soit en local ou à distance.

J'ai vu dans ce thread que certains ouvraient le port de contrôle l2tp (le 1701) en TCP, mais c'est normalement en UDP que ça se passe. De même pour le port 500 (IKE - Internet Key Exchange). De plus, si tu utilises les extensions NAT-T d'IPSec, cela requiert généralement le port 4500 en UDP également.

Ensuite, L2TP requiert également 2 protocoles particulier:
1- ESP, ou Encapsulating Security Payload, IP protocol #50
2- AH, ou Authentication Header, IP Protocol #51

Encore là, si tu parviens à faire fonctionner en local mais pas à distance, il faut tourner tes soupçons vers le routeur.

Bonne chance avec vos VPNs les gars!

[Duncan83]

vlurk,

Merci pour tes infos et tes conseils. JE vais vérifier tout ça ce w.e et je te tiens informé de mes avancées.

A propos du routeur, j'ai un modem/routeur qui redirige toutes les flux vers mon serveur (os X server 10.4), et c'est le serveur qui NAT les requêtes de clients. Mais les options de configuration NAT sur os X server sont vraiment ligth.

[vlurk]

[...] qui redirige toutes les flux vers mon serveur [...]

Justement, il n'est peut être pas capable de redigérer tous les protocoles correctement.

J'ai même déjà vu des modem/routeurs incapable de correctement NATer (LAN -> WAN) une connexion VPN! C'est arrivé chez un de mes amis alors que je lui installais OpenVPN (client) pour qu'il puisse jouer en LAN à des jeux avec quelques autres personnes et moi. Son modem/routeur DSL n'avait même pas l'air si vieux (je pourrais lui redemander le model exacte, mais actuellement je ne m'en souviens plus). Lorsque j'ai configuré son modem/routeur en mode bridge et initié la connexion PPPoE directement à partir de Windows: tout a passé. Il faut dire que je n'ais pas cherché bien loin cette fois là: le problème était peut être d'un tout autre ordre. Mais honnêtement, j'en doute encore.

Ce message a été modifié par vlurk - 9 Jun 2006, 15:42.

[zedbee]

re à tous.

je suis toujours en carafe avec mon VPN.
Grace à toutes vos infos, je suis allé un peux plus loin, mais j'ai un vrai problème sur mon 10.3.9 serveur.
quand je tente de me connecter en local via l'adresse du serveur, il me dit "l'authentification a échouée".
j'ai bien verifié tout mes paramètres rien qui me paraisse anormal. j'essaye de me connecter en local avec le log et le pass du serveur, en PPTP.
Dans l'historique de connexion du VPN sur le serveur je vois bien qu'il y a eu une tentative de connexion, mais elle echoue.
en résumé, j'attaque bien le serveur je tappe bien sur le service VPN, mais il ne m'autorise pas ???

le vilain....

je me pose une question, j'ai le service "open directory" activé ne serais-ce pas la source de mon problème?
y'a t'il une liaison entre celui ci et l'authentification du VPN ?
Faut-il définir un paramètre particulier sur le compte administrateur pour se connecter en VPN ?
ne serais ce pas due au fait que mon serveur est en 10.3.9 et pas en 10.4 ??

là je ne comprends plus....
je ne suis pas pointu sur l'administration du serveur, il y a forcément un truc que je n'active pas bien....
mais quoi ?

[Kiryu]

Petit problème inexpliquable avec mon VPN aussi, j'ai essayer d'en installer un vu que je part longtemp aux US et que j'en aurais assez besoin.

Comme vous tous j'ai utiliser le serveur L2TP via IPSec de OSX Server (10.4.7). Je me connecte en utilisant le client de MacOSX 10.4.7 client.

Le VPN marche très bien en local, aucun souci.
Il marche aussi très bien en loopback depuis mon réseau local

Dès que je me connecte ailleurs, j'essaie de me connecter mais le client ne trouve même pas le serveur??!
C'est d'autant plus curieux que, j'ai bien sur activé le routage de tout les ports utiles (d'ailleurs, même l'essai en DMZ n'a rien changé), et que le VPN passtrough est activé sur le routeur (linksys WRT54G).

Comment se fait-il qu'une connexion en loopback marche très bien mais pas à l'extérieur???! Si quelqu'un à une idée génial, je prend

[vlurk]

Il existe bien des raisons pour lesquelles un VPN peut ne pas fonctionner... Et souvent, c'est là où on ne cherche pas.

Justement, j'ai eu des difficultés la semaine dernière alors que je paramétrais un VPN L2TP/IPSEC entre deux entreprises. Un site (A) utilisait une connexion adsl à l'aide d'un client PPPoE, alors que l'autre (B ) disposait d'une connexion DSL dédié approvisionnée par un routeur Cisco (830 series). Le tunnel fonctionnait à première vue: les clefs étaient bien échangées, la phase 1 et 2 passaient... Mais la différence de MTU de l'interface physique à la base du tunnel présente au site (A) versus celle au site (B ) m'a occasionné un problème bien bizarre: une requête pour echo en ICMP du site B au site A passait sans que le site B ne retourne le "ECHO REPLY".

Après recherche, j'ai trouvé pourquoi : un message sur la mailing list du projet OpenSWAN m'a vraiment éclairé, et il se trouve à cette adresse: http://lists.openswan.org/pipermail/users/...une/009817.html l'extrait important:

If the tunnel MTU's are not equal in both directions then this can lead
to strange behaviour: TCP traffic will usually negotiate MSS values
based on the lower mtu, but only after the local TCP stack on the lan
client has learnt the reduced mtu value. Ping traffic through the large
MTU end can go through to the target machine, but the reply (which is
the same size) cannot get back as it also has DF set.

Après avoir connecté le routeur du site A sur le même type de connexion que le type B, tout a fonctionné. Et j'ai donc un tout autre point de vue sur le problème présenté lors de mon dernier post sur ce thread...

Votre VPN ne fonctionne pas? Peut-être devriez-vous essayez ceci:
Assurez-vous vous que le mtu de votre tunnel est conséquent au réseau qui relie les deux machines hôtes des tunnel. Mieux encore: assurez-vous que le mtu des interfaces physiques à la base de votre tunnel soit identiques et adapté à la taille maximale des paquets qui passeront sur Internet. Malheureusement, l'équipement à ma disposition ne permettait pas trop d'expérimentation de ce côté. Il était impossible de modifier le MTU de l'interface WAN du routeur au site B (un Firebox Edge X5), alors qu'il était impossible de configurer le MTU du tunnel sur les deux appareils (un X5 et un Firebox X500, Fireware 8.3). Mais sinon, je suis à peu près sûr que le changement de connexion internet aurait été inutile.

De plus, pour faire fonctionner un serveur VPN L2TP/IPSEC derrière une passerelle qui fait du NAT, il faut absolument activer les extension NAT-T. Le client aussi doit les supporter, naturellement. C'est vraiment nécessaire.

Pour finir, je suggère une bonne lecture sur le site de Microsoft. C'est peut-être uniquement disponible en anglais, mais cet article résume une très bonne partie des concepts essentiels aux VPNs l2tp/IPSEC. Et bien entendue, il y a une partie dédiée sur le fonctionnement d'IPSEC en environnement NAT. Je souhaite que cela puisse vous aider...

Ce message a été modifié par vlurk - 27 Jul 2006, 18:16.

[Anouar]

Avez-vous autorisé GRE ou ESP dans le firewall

GRE pour le PPTP (ip 47)
ESP pour le L2TP (ip 50)

gre et esp ne sont pas des ports, mais des protocoles comme udp, tcp, icmp,..
les deux sont disponible dans le firewall dans admin serveur

J'utilise le vpn de mac os x serveur depuis 10.3, 10.5.3 aujourd'hui avec un serveur radius
sans aucun problèmes derrière un firewall pix ou avec le firewall de mac os x server

! en aucun cas l'utilisateur vpn ne doit être admin, pensé sécurité

si je peux aider