Posted: Sat Apr 02, 2011 10:21 Post subject: Problème de config PPTP server
Bonjour,
Voici mon problème.
J'ai un routeur Linksys WRT54-GL. Hier soir, j'ai réussi à configurer le routeur pour qu'il passe par un VPN.
J'essaye maintenant de configurer le routeur pour pouvoir accéder à mon réseau depuis l'exterieur en passant par internet.
J'ai essayé de suivre ce tuto :
http://www.dd-wrt.com/wiki/index.php/PPTP_Server_Configuration
En server IP, j'ai mis une adresse ip différente du routeur car c'est ce qu'il demande dans le tuto.
J'a forwardé les ports 1723 et 1792 vers l'adresse IP du routeur comme il dit.
J'ai activé pptp dans vpn passthrough ? est ce qu'il fallait le faire ?
J'ai activé le DDNS pour actualiser l'adresse du routeur.
Mais quand j'essaye de me connecter depuis l'exterieur, j'ai une erreur 619.
C'est toi le cador, mais il me semble que tu le joues un peu large sur ce coup.
D'après le peu que je sais, pour une liaison PPTP, seul le port 1723 TCP et UDP est nécessaire.
nb : et celà marche du feu de Dieu
Par contre pour L2TP se serait le 1701, là aussi en TCP et UDP. Inutile pour PPTP.
Le port 500 UDP c'est pour ISAKMP. Je pense pas que ce soit utile ici.
Cordialement:
nb : donc je ne route pas du tout le 1792, et j'emploi, comme le préconise yzy-oui-fi, la même IP que l'adresse LAN du routeur (sur ce sujet, le Wiki est des plus abscons)
Heu, confusion : l'erreur 619 est de notre ami Okary
Si on emploi le client Microsoft, il utilise (au moins) GRE (qu'il faudra savoir laisser passer côté serveur) donc pas d'IPSEC et pas besoin de port 500. Suffit de faire la manip pour valider.
Pour ma part, le PPTP est en fonction 10 à 12 h par jour depuis un peu plus de 1 an (avec le Bureau à distance) ... quasi jamais de coupure.
Cordialement
Hou la, la ... je ne dénigrais rien du tout mais tentais d'apporter ma pierre à l'édifice.
Je résume : le port 1723 mais pas seulement en tcp (donc tcp et udp), le 1701 inutile en PPTP, le 1792 proposé par Okary inutile, et à mon avis le 500 inutile (du moins avec un client Microsoft)
Le PPTP dans la zone passthrough, bien sûr.
l'IP ne semblant pas statique (utilisation de DDNS), bien vérifier que l'on touche bien la bonne IP.
Pour le protocole 47 dit GRE (c'est souvent son blocage qui provoque l'erreur 619 d'après ce que j'ai vu en clientèle), il faudrait que Okary nous dise où il en est. Le firewall côté client est à mettre en doute (à supprimer pour faire les essais), savoir quel est le box/modem en tête de réseau (car par exemple une freebox V5 en mode routeur ne laisse pas passer le GRE et il faut bien la passer en mode bridge, une V6 ne supporte pas le mode bridge et là il faut mettre le routeur DD-WRT dans une DMZ ...)
Nous ne savons rien sur le client employé mais si c'est celui présent sur XP, Vista ou 7 alors oui, il faut le cryptage 40 bits et mmpe.
Toujours s'il s'agit d'un client Microsoft et en essayant d'être complet :
- Demander un nom et un mot de passe (la réponse sera les info mises dans la section Chap-secrets)
- Inclure le domaine d'ouverture de session Windows
- Le type de réseau VPN sera mis sur Automatique (ce qui permet avec le même client de toucher les protocoles PPTP, L2TP, SSTP et IKEv2)
- On exige le chiffrement (et on se déconnecte si le serveur refuse)
- L'authentification demande d'autoriser les protocoles CHAP et Microsoft CHAP version 2 (MS-CHAP v2)
- Les couches IPv4 sont bien sûr paramétrées pour demander une IP et obtenir les DNS depuis le serveur
J'emploie par comodité, et sans savoir si c'est un impératif absolu, un subnet différent pour les réseaux serveurs et clients (pour faire court, 5 machines en 192.168.5.x établissent des tunnels sur des installations en clientèle qui sont, très généralement, en 192.168.1.x)
C'est Microsoft qui, de façon entièrement automatique, se charge d'établir le routage qui va bien (et qui met en place des métriques qui sont à priori assez fûtées). Donc, du moins avec 2 subnet distincts, le traffic vers le réseau distant est bien routé au travers du tunnel
Seule "astuce", du moins si on continue la projection de ce que veux faire Okary après l'établissement du tunnel en pensant qu'il veux prendre la main à distance sur l'un de ces postes (c'est la notion de Bureau à distance) ... est de bien penser à invalider l'utilisation de la passerelle distante qui est malheureusement activée par défaut. Si on ne l'invalide pas, l'ensemble du traffic depuis le poste client est routé au travers du tunnel et donc en particulier, notre propre traffic Internet (et là on a des performances qui s'écroulent vilain bien sûr). Ce réglage se fait dans les paramètres du Remote Desktop Connection (c'est blanc ou noir sous XP, mais beaucoup plus fin sous Windows 7).
note que PPTP c'est du TCP, donc 1723 en UDP surtout sur un serveur PPTP hébergé par Linux (comme DD-WRT) ca ne sert strictement a rien.
Quote:
J'emploie par comodité, et sans savoir si c'est un impératif absolu, un subnet différent pour les réseaux serveurs et clients (pour faire court, 5 machines en 192.168.5.x établissent des tunnels sur des installations en clientèle qui sont, très généralement, en 192.168.1.x)
note que PPTP c'est du TCP, donc 1723 en UDP surtout sur un serveur PPTP hébergé par Linux (comme DD-WRT) ca ne sert strictement a rien.
Alors Wikipedia prétend que 1723 UDP est utile, Mais ok, la RFC2637 ne fait mention que de TCP
Quote:
Ceci n'est absolument pas conseillé si ton routeur serveur PPTP doit router des données vers les réseaux clients. Dans la pratique avec dd-wrt on donne la meme ip que l'ip lan au serveur PPTP avec une plage ip client en dehors de la plage dhcp lan.
Je ne comprends rien à ce paragraphe.
"on donne la meme ip que l'ip lan au serveur PPTP" ... ne serait-ce pas exactement ce que j'ai dit avec "et j'emploi, comme le préconise yzy-oui-fi, la même IP que l'adresse LAN du routeur"
Et c'est sur ce sujet que je trouve le Wiki abscons puisque de nombreuses contributions prétendent qu'il faut au contraire une adresse différente (et ce qu'Okari semble avoir fait)
Mais il est fort possible que tu déconseilles mon architecture, que je reprécise.
Le serveur PPTP (DD-WRT par exemple mais n'importe quelle Windows version pro également) se trouve, généralement, dans un réseau de type 192.168.1.x. A ce titre il a une adresse dans ce subnet et la partie serveur PPTP est paramétrée pour distribuer une plage d'adresse 192.168.1.a-b, plage a-b en dehors de la plage DHCP de ce réseau pour éviter tout conflit.
C'est côté client (nous sommes généralement dans un autre lieu physique) que j'utilise un autre subnet. 192.168.5.x en l'occurrence.
Le poste utilisé pour établir la liaison PPTP est donc affublé à la fois d'une adresse locale de type 192.168.5.z ET d'une adresse de type 192.168.1.a qui lui à été donnée dynamiquement par le serveur PPTP distant. Le traffic pour les adresses 192.168.5.x est local alors que celui pour une adresse 192.168.1.x doit être passé dans le tunnel.
En espérant avoir été plus clair.
Déconseilles-tu quelque chose ?
Je déconseille les explications peu clair et/ou a rallonge...:D
dans ton post précédent j'avais compris (et je pense pas etre le seul) que tu parlais de la liaison pptp et besoin serveur, et non pas du serveur pptp et du Lan client. j'avais donc compris que tu parlais de différente classe ip coté serveur.
Pour Wikipédia meme si c'est trés complet, ce n'est pas systématiquement écrit par des personnes ayant un doctorat dans le domaine qu'ils abordent. En clair il peut y avoir des erreurs.
Je maintiens donc PPTP sous Linux= 1723 TCP....PAS UDP.
Et comme les routeurs DD-WRT sont sous Linux....:D