Problème de config PPTP server

Post new topic   Reply to topic    DD-WRT Forum Index -> Matériels à base de Broadcom
Author Message
Okary
DD-WRT Novice


Joined: 02 Apr 2011
Posts: 1

PostPosted: Sat Apr 02, 2011 10:21    Post subject: Problème de config PPTP server Reply with quote
Bonjour,


Voici mon problème.
J'ai un routeur Linksys WRT54-GL. Hier soir, j'ai réussi à configurer le routeur pour qu'il passe par un VPN.
J'essaye maintenant de configurer le routeur pour pouvoir accéder à mon réseau depuis l'exterieur en passant par internet.
J'ai essayé de suivre ce tuto :
http://www.dd-wrt.com/wiki/index.php/PPTP_Server_Configuration

En server IP, j'ai mis une adresse ip différente du routeur car c'est ce qu'il demande dans le tuto.
J'a forwardé les ports 1723 et 1792 vers l'adresse IP du routeur comme il dit.
J'ai activé pptp dans vpn passthrough ? est ce qu'il fallait le faire ?
J'ai activé le DDNS pour actualiser l'adresse du routeur.
Mais quand j'essaye de me connecter depuis l'exterieur, j'ai une erreur 619.

Vous avez des idées ?

Merci
Sponsor
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Tue Apr 05, 2011 10:11    Post subject: Reply with quote
tu dois forwarder les ports suivant jusqu'a ton serveur:
1723 tcp
1701 tcp
500 udp

attention il peut y avoir des soucis fonction de ton opérateur.
(exemble: freebox= activer le mode routeur)

l'ip du serveur PPTP doit etre la meme que l'adresse lan de ton routeur hébergeant le service. Les IP distribuées aux client pptp doivent, elles, etre en dehors de la plage dhcp Lan.

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Squale
DD-WRT User


Joined: 03 Sep 2006
Posts: 67

PostPosted: Tue Apr 05, 2011 14:48    Post subject: Reply with quote
@yzy-oui-fi,

C'est toi le cador, mais il me semble que tu le joues un peu large sur ce coup.

D'après le peu que je sais, pour une liaison PPTP, seul le port 1723 TCP et UDP est nécessaire.
nb : et celà marche du feu de Dieu

Par contre pour L2TP se serait le 1701, là aussi en TCP et UDP. Inutile pour PPTP.

Le port 500 UDP c'est pour ISAKMP. Je pense pas que ce soit utile ici.

Cordialement:
nb : donc je ne route pas du tout le 1792, et j'emploi, comme le préconise yzy-oui-fi, la même IP que l'adresse LAN du routeur (sur ce sujet, le Wiki est des plus abscons)
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Tue Apr 05, 2011 15:02    Post subject: Reply with quote
oui pour l2tp(1701), mais pour ipsec (500 udp) c'est nécessaire a pptp (Gre).

Nota: Si tu mets en doutes les réponses qui marchent depuis belle lurette(avant meme de les avoir essayés) et que tu préfères ta solution avec erreur 619....Libre a toi, perso j'ai aucun soucis de connexion pptp, j'ai pas la prétention d'etre un cador, juste quelqu'un qui a beaucoup plus expérimenté dd-wrt en phase prod que le commun des mortels....Smile

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Squale
DD-WRT User


Joined: 03 Sep 2006
Posts: 67

PostPosted: Tue Apr 05, 2011 16:56    Post subject: Reply with quote
Heu, confusion : l'erreur 619 est de notre ami Okary

Si on emploi le client Microsoft, il utilise (au moins) GRE (qu'il faudra savoir laisser passer côté serveur) donc pas d'IPSEC et pas besoin de port 500. Suffit de faire la manip pour valider.

Pour ma part, le PPTP est en fonction 10 à 12 h par jour depuis un peu plus de 1 an (avec le Bureau à distance) ... quasi jamais de coupure.
Cordialement
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Tue Apr 05, 2011 17:40    Post subject: Reply with quote
Pardon si j'ai confondu.

pour Gre c'est le port 47 mais avec le VPN passthrough c'est implicite.

Aulieu de dénigré ma proposition, que proposes tu pour solutioner le problème?

Bon alors afin de faire avancer le sujet, il y a des paramétres avancés a mettre en place coté client quand il ne s'agit pas d'un routeur sous dd-wrt.

- autorisé l'encryption 40 bit
- require mppe.

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Squale
DD-WRT User


Joined: 03 Sep 2006
Posts: 67

PostPosted: Tue Apr 05, 2011 21:41    Post subject: Reply with quote
Hou la, la ... je ne dénigrais rien du tout mais tentais d'apporter ma pierre à l'édifice.

Je résume : le port 1723 mais pas seulement en tcp (donc tcp et udp), le 1701 inutile en PPTP, le 1792 proposé par Okary inutile, et à mon avis le 500 inutile (du moins avec un client Microsoft)
Le PPTP dans la zone passthrough, bien sûr.
l'IP ne semblant pas statique (utilisation de DDNS), bien vérifier que l'on touche bien la bonne IP.

Pour le protocole 47 dit GRE (c'est souvent son blocage qui provoque l'erreur 619 d'après ce que j'ai vu en clientèle), il faudrait que Okary nous dise où il en est. Le firewall côté client est à mettre en doute (à supprimer pour faire les essais), savoir quel est le box/modem en tête de réseau (car par exemple une freebox V5 en mode routeur ne laisse pas passer le GRE et il faut bien la passer en mode bridge, une V6 ne supporte pas le mode bridge et là il faut mettre le routeur DD-WRT dans une DMZ ...)

Nous ne savons rien sur le client employé mais si c'est celui présent sur XP, Vista ou 7 alors oui, il faut le cryptage 40 bits et mmpe.
Toujours s'il s'agit d'un client Microsoft et en essayant d'être complet :
- Demander un nom et un mot de passe (la réponse sera les info mises dans la section Chap-secrets)
- Inclure le domaine d'ouverture de session Windows
- Le type de réseau VPN sera mis sur Automatique (ce qui permet avec le même client de toucher les protocoles PPTP, L2TP, SSTP et IKEv2)
- On exige le chiffrement (et on se déconnecte si le serveur refuse)
- L'authentification demande d'autoriser les protocoles CHAP et Microsoft CHAP version 2 (MS-CHAP v2)
- Les couches IPv4 sont bien sûr paramétrées pour demander une IP et obtenir les DNS depuis le serveur

J'emploie par comodité, et sans savoir si c'est un impératif absolu, un subnet différent pour les réseaux serveurs et clients (pour faire court, 5 machines en 192.168.5.x établissent des tunnels sur des installations en clientèle qui sont, très généralement, en 192.168.1.x)
C'est Microsoft qui, de façon entièrement automatique, se charge d'établir le routage qui va bien (et qui met en place des métriques qui sont à priori assez fûtées). Donc, du moins avec 2 subnet distincts, le traffic vers le réseau distant est bien routé au travers du tunnel

Seule "astuce", du moins si on continue la projection de ce que veux faire Okary après l'établissement du tunnel en pensant qu'il veux prendre la main à distance sur l'un de ces postes (c'est la notion de Bureau à distance) ... est de bien penser à invalider l'utilisation de la passerelle distante qui est malheureusement activée par défaut. Si on ne l'invalide pas, l'ensemble du traffic depuis le poste client est routé au travers du tunnel et donc en particulier, notre propre traffic Internet (et là on a des performances qui s'écroulent vilain bien sûr). Ce réglage se fait dans les paramètres du Remote Desktop Connection (c'est blanc ou noir sous XP, mais beaucoup plus fin sous Windows 7).

Voili, voilou ...
Squale
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Tue Apr 05, 2011 23:15    Post subject: Reply with quote
c'est bien, mais le lien vers le Wiki devrait suffir coté réglage windaube :D

http://www.dd-wrt.com/wiki/index.php/VPN_%28tutorial%29

note que PPTP c'est du TCP, donc 1723 en UDP surtout sur un serveur PPTP hébergé par Linux (comme DD-WRT) ca ne sert strictement a rien.

Quote:
J'emploie par comodité, et sans savoir si c'est un impératif absolu, un subnet différent pour les réseaux serveurs et clients (pour faire court, 5 machines en 192.168.5.x établissent des tunnels sur des installations en clientèle qui sont, très généralement, en 192.168.1.x)


Ceci n'est absolument pas conseillé si ton routeur serveur PPTP doit router des données vers les réseaux clients. Dans la pratique avec dd-wrt on donne la meme ip que l'ip lan au serveur PPTP avec une plage ip client en dehors de la plage dhcp lan.

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Squale
DD-WRT User


Joined: 03 Sep 2006
Posts: 67

PostPosted: Wed Apr 06, 2011 10:04    Post subject: Reply with quote
yzy-oui-fi wrote:
note que PPTP c'est du TCP, donc 1723 en UDP surtout sur un serveur PPTP hébergé par Linux (comme DD-WRT) ca ne sert strictement a rien.

Alors Wikipedia prétend que 1723 UDP est utile, Mais ok, la RFC2637 ne fait mention que de TCP

Quote:

Ceci n'est absolument pas conseillé si ton routeur serveur PPTP doit router des données vers les réseaux clients. Dans la pratique avec dd-wrt on donne la meme ip que l'ip lan au serveur PPTP avec une plage ip client en dehors de la plage dhcp lan.

Je ne comprends rien à ce paragraphe.
"on donne la meme ip que l'ip lan au serveur PPTP" ... ne serait-ce pas exactement ce que j'ai dit avec "et j'emploi, comme le préconise yzy-oui-fi, la même IP que l'adresse LAN du routeur"
Et c'est sur ce sujet que je trouve le Wiki abscons puisque de nombreuses contributions prétendent qu'il faut au contraire une adresse différente (et ce qu'Okari semble avoir fait)

Mais il est fort possible que tu déconseilles mon architecture, que je reprécise.

Le serveur PPTP (DD-WRT par exemple mais n'importe quelle Windows version pro également) se trouve, généralement, dans un réseau de type 192.168.1.x. A ce titre il a une adresse dans ce subnet et la partie serveur PPTP est paramétrée pour distribuer une plage d'adresse 192.168.1.a-b, plage a-b en dehors de la plage DHCP de ce réseau pour éviter tout conflit.

C'est côté client (nous sommes généralement dans un autre lieu physique) que j'utilise un autre subnet. 192.168.5.x en l'occurrence.
Le poste utilisé pour établir la liaison PPTP est donc affublé à la fois d'une adresse locale de type 192.168.5.z ET d'une adresse de type 192.168.1.a qui lui à été donnée dynamiquement par le serveur PPTP distant. Le traffic pour les adresses 192.168.5.x est local alors que celui pour une adresse 192.168.1.x doit être passé dans le tunnel.

En espérant avoir été plus clair.
Déconseilles-tu quelque chose ?

Cordialement
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Wed Apr 06, 2011 12:57    Post subject: Reply with quote
Je déconseille les explications peu clair et/ou a rallonge...:D

dans ton post précédent j'avais compris (et je pense pas etre le seul) que tu parlais de la liaison pptp et besoin serveur, et non pas du serveur pptp et du Lan client. j'avais donc compris que tu parlais de différente classe ip coté serveur.

Pour Wikipédia meme si c'est trés complet, ce n'est pas systématiquement écrit par des personnes ayant un doctorat dans le domaine qu'ils abordent. En clair il peut y avoir des erreurs.

Je maintiens donc PPTP sous Linux= 1723 TCP....PAS UDP.

Et comme les routeurs DD-WRT sont sous Linux....:D

Ce que je déconseille personnelement c'est l'emploi du subnet CLasse C 192.168.1.* pour toute architecture customisée. Il y a trop de risque de collision (tout les routeurs DD-WRT,OpenWRT, Tomato, PFsense ainsi que la plupart des box et modem...meme les windaubes serveur, ont 192.168.1.1 comme ip par défaut). Donc choisir un autre subnet pour des développements réseaux est judicieux. Perso je prend des subnet de Classe A(10.0.0.0), mais tout le monde n'a pas ce besoin, le simple fait de remplacer le 3eme octet solutionera plein de problèmes de collision futur (ex: 192.168.2.*)

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Matériels à base de Broadcom All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum