vpn et adresse ip - Windows & Software
Marsh Posté le 13-06-2006 à 08:16:53
merci bybeu mais si je fais ca il ne se connecte pas et me dis " erreur 678 Il n'yavait pas de reponse"
Marsh Posté le 13-06-2006 à 08:20:31
normal, va falloir configurer le routeur, autoriser le flux vpn à travers le firewall, rediriger les ports vers ton serveur vpn
edit : port TCP 1723
Marsh Posté le 13-06-2006 à 08:42:05
Baf - flop, tu as l'ai de t'y connaître. Tu as vu ma question "Ping farceur"?
Marsh Posté le 13-06-2006 à 10:03:17
merci baf -flop mais si on a desactivé le firewall du routeur ca devrait pas marcher tout seul?
Marsh Posté le 13-06-2006 à 10:09:26
come18 a écrit : merci baf -flop mais si on a desactivé le firewall du routeur ca devrait pas marcher tout seul? |
Il fait laisser passer le port, mais aussi le router vers le serveur vpn. Donc si tu coupes juste le firewall, mais que tu ne fais pas de routage, ca ne servira à rien.
Marsh Posté le 13-06-2006 à 10:51:00
Zut ca ne marche toujours pas...
est ce que cette configuration de routeur est bien la bonne ?
Marsh Posté le 13-06-2006 à 12:34:14
C'est dans NAT settings* que tu dois rediriger 1723TCP de l'extérieur vers 192.168.1.147 (si 147 est bien l'adresse de ton serveur VPN)
*peut-être page Virtual Servers"
Marsh Posté le 13-06-2006 à 12:35:55
ET pis moi, j'aurais plutôt mis cette entrée (ton snap) dans une liste WAN-to-LAN, pas le contraire...mais je ne connais pas ce routeur
Marsh Posté le 13-06-2006 à 13:26:13
merci bybeu pour ces reponses, effectivement j'avais vu l'erreur...
j'ai ete configuré dans virtual servers les bons ports, mais ca marche pas non plus... malheureusement
Marsh Posté le 13-06-2006 à 13:30:58
Quand tu dis ca fonctionne pas via le virtual serveur, tu as testé depuis l'extérieur de ton réseau ? Car ton routeur a certaine la protection contre l'ipspoofing qui empêche d'utiliser l'adresse wan à l'intérieur du lan.
Marsh Posté le 13-06-2006 à 13:33:08
effectivement, je ne l'ai pas testé en dehors du reseau... Je vais faire ca pour voir...
Marsh Posté le 13-06-2006 à 13:45:47
On a pas le cul sorti des ronces !!!!
Tu maîtrises côté serveur Windows 2003? Tu as une seule ou deux cartes réseau?
Marsh Posté le 14-06-2006 à 08:08:50
heu, pas trop... Il n'arrive pas a se connecter lorsque je suis en dehors du réseau.
Marsh Posté le 14-06-2006 à 08:16:48
Tu attaques par l'adresse IP publique?
Ton serveur 2003 est en domaine?
Les droits d'accès "Appel entrant" sont définis au niveau User et/ou Stratégies d'accès distant?
EDIT: Si oui aux 2 points ci-dessus je te conseille de ne pas accorder à "Administrateur" le droit d'appel.
Tu utilises Radius ou pas pour l'authentification?
Marsh Posté le 14-06-2006 à 08:31:56
Client VPN XP?
PPTP?
Si oui, je te conseille MSCHAP v2 + MPPE 128 bits exclusivement et des deux côtés
Pour L2TP/IPSec j'ai pas de conseil
Marsh Posté le 14-06-2006 à 08:40:46
client VPN: windows2000
pptp
MSCHAP v2 sur le client mais je sais pas trop comment on specifie MPPE 128 bits et pour ce qui est du server je crois bien avoir spécifié MSCHAP v2 + MPPE 128 bits
Marsh Posté le 14-06-2006 à 08:46:59
heu je sais pas si ca peut aider mais dans windows server2003, dans routage et acces distants, j'ai le nom de mon server avec ecrit (local) à coté...
Marsh Posté le 14-06-2006 à 08:50:55
je gere les droits avec une strategie d'acces distant, je définis les utilisateurs qui ont le droit de se connecter
Marsh Posté le 14-06-2006 à 09:08:02
C'est à dire que dans leur profil individuel, tu as autorisation définie "Suivant stratégies", qu'ils sont membres d'un groupe de sécurité, et que dans la stratégie, tu as autorisé l'accès uniquement à ce groupe?
Ton domaine c'est du 2000 ou 2003 natif? impératif pour gérer l'accès via stratégies d'accès distant.
Marsh Posté le 14-06-2006 à 09:11:04
désolé de poser cette question mais je ne suis pas un pro (tu avais du remarquer) :
Comment on sait si le domaine est du 2000 ou 2003 natif?
Marsh Posté le 14-06-2006 à 10:39:30
Sur un DC ou une machine équipée de l'adminpack.msi (dispo dans le CD 2003 ou le SP1 décompressé), Outils d'admin, Utilisateurs et Ordinateurs AD, Propriétés du Domaine, Augmenter le niveau fonctionnel du domaine (irréversible).
Marsh Posté le 14-06-2006 à 11:02:58
ok il est 2003,
mais je pense que c est plutot un probleme de redirection de port etant donné que la connexion vpn marche tres bien en local...
comment peut on verifier que les paquets envoyés sur l'adresse ip publique sont bien renvoyés vers l'adresse locale du serveur a l'interieur du reseau?
Marsh Posté le 15-06-2006 à 12:53:04
dans les filtres d'entrée du routeur, tu dois aussi ajouter une autorisation pour le protocole 47 (GRE) pour PPTP
..... et 50 pour L2TP/IPSec (si tu réussis à faire marcher ça, ça m'intéresse), ainsi que 500 UDP et 4500 UDP dans le NAT (tes virtual servers, je crois) mais ton routeur le supporte-t-il???? en plus depuis XP SP2, il y a un blème: il faut traffiquer le registre client pour l'autoriser à attaquer des serveurs VPN MS qui sont derrière un parefeu (rien à faire du côté serveur..... à part s'arracher les poils du cul au microscope pour monter une PKI....mais c'est peut-être pas indispensable si les clients font partie du domaine. Si c'est pour des clients hors domaine, il te faut, d'après mes recherches et essais, une PKI non pas d'"Entreprise", mais "Autonome"...voir l'aide des "Services de Certificats" )
Marsh Posté le 15-06-2006 à 13:01:37
ça serait pas plus simple de virer la fonction par feu du routeur matériel et de tout gérer sous win serv2003, je dis ça car actuellement j'ai un win serv2003 qui me sert pratiquement tous les services
mais je suis dans l'optique de virer mon routeur matériel pour fait tourner mon serv en serveur RRAS, ca éviterai plein de pb notamment de configurer et logiciellement et au niveau du routeur matériel
nan ?
Marsh Posté le 15-06-2006 à 13:19:49
C'est peut être risqué...il te faudrait alors une deuxième carte réseau (sauf si on peut mettre deux adresses sur la même carte, ça je sais pas, une publique et une privée, et puis batailler avec les règles de filtrage du VPN)...ou un deuxième serveur avec modem ADSL configuré en "bastion Internet" (l'expression est de MS je crois) dans une DMZ ou directement sur le net. Ton serveur qui fait tout, je connais ça, je suis dans ce cas, mais je craindrais un max de le mettre direct sur le Net (je suis pas assez fort en routage et autres filtrages IP): imagine, ne serait-ce qu'autoriser tout le traffic au niveau de ton parefeu !!!! Ça doit être faisable avec les filtres IP tant des connexions MS que du VPN...mais bon, à voir. De toute façon, la cointe que j'indiquais au sujet de SP2 ne vaut que pour L2TP/IPSec et est dûe au fait que les gürüs réseau ont détecté une faille de sécurité dans cette configuration (VPN derrière le NAT) où des erreurs d'"association de sécurité" (je répète connement sans comprendre, j'en suis pas encore arrivé là) pourraient se produire (lors de connexions simultannées, je crois).
Ça marche ou pas ..au fait?
Marsh Posté le 15-06-2006 à 13:25:44
N'oublie pas d'interdire à "Administrateur" le droit d'accès distant (changer le nom me semble insuffisant), d'avoir deux ou trois comptes dans le groupe admins du domaine) et d'activer dans le registre du serveur la désactivation des comptes en cas d'échec d'authentification (la stratégie de sécurité du domaine ne concerne pas les connexions RAS)
Marsh Posté le 16-06-2006 à 12:21:48
ca marche pour moi!!!!
c'etait un probleme de redirection de ports sur le routeur...
merci a tous en tout cas!
Marsh Posté le 16-06-2006 à 12:37:21
"et d'activer dans le registre du serveur la désactivation des comptes en cas d'échec d'authentification (la stratégie de sécurité du domaine ne concerne pas les connexions RAS)"
...ça je ne suis pas sûr que ça soit toujours d'actualité dans 2003, mais ça permet de spécifier des paramètres de verrouillage de comptes différents (plus restrictifs) des généraux (qui par défaut régissent tant les connexions LAN que RAS en l'absence des clefs de registre spéciales pour RAS).... pffff va encore falloir que j'explore les stratégies de sécurité pour voir si c'est pas déjà prévu en GUI plutôt qu'en regedit.
Tu pourrais être plus précis sur ta résolution pour aider d'autres tâcherons de l'info?
Marsh Posté le 12-06-2006 à 22:52:43
Bonjour à tous, j'ai configuré une liaison vpn entre un server (windows server 2003) et un pc (windows 2000),
cela fonctionne tres bien sauf que je suis en local et que l'adresse que je rentre pour ma connection vpn est 192.168.0.XXX soit donc une adresse en local... Comment faire pour que la connexion puisse se faire via internet..
merci beaucoup