[RESOLU] Quoi laisser passer par IPTABLES pour VPN

[ggbce]

Bonjour,

J'en suis à mes premières expériences avec le VPN... un début à tout

J'ai un serveur de domaine Windows Server 2003 dans mon entreprise qui gère mon AD et le partage des fichiers/imprimantes. J'ai des clients en Windows 2000 Pro qui voudraient travailler à partir de chez eux via un réseau VPN. Jusque là ça và, car j'ai trouvé comment faire sans problème. Le serveur est activé comme serveur VPN et le client à le logiciel client VPN (intégré à Windows).

Là où je bloque c'est avec mon serveur de partage de connexion à Internet, c'est un PC en Linux (Red Hat) que j'ai monté mes propres tables de routage manuellement avec IPTABLES.

Je veux savoir quels sont les ports entrants (provenant de Internet vers mon serveur VPN) qui doivent être redirigés et vice-versa.

*J'ai cherché avec Google mais c'est pas très clair et souvent le PC étant le serveur VPN est directement sur le Web dans les exemples.

Merci

[ggbce]

Bon pour le moment j'ai trouvé ceci:

En mode PPTP:

Il faut le port TCP 1723

Il faut le Protocol IP 47

En mode IPSec:

Il faut le port UDP 500

Il faut le Protocol IP 50

Il faut le Protocol IP 51

-----------------------------------------

Si je ne me trompe pas, Windows Server 2003 utilise le mode PPTP de base. Donc je devrait configurer IPTABLES uniquement pour relayer le port TCP 1723 ... et le Protocol IP 47.

La je sais pas du tout comment rediriger correctement le tout !

Pour la partie du TCP ça devrait ressembler à ça, mais je suis pas sur encore. Je me base sur comment je fais entrer mes ports pour du VNC:

/sbin/iptables -A PREROUTING -t nat -p tcp -d mon.ip.internet --dport 1723 -j DNAT --to 192.168.1.12
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 1723 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Puis pour rediriger un protocol IP j'ai pas la moindre idée !!!

-----------

NOTE: pour le moment j'ai fais un test "local" et mon client VPN peut se connecter au serveur VPN (il s'authentifie sans problème), donc il reste à faire passer le tout via mon partage de connexion protégé avec mon IPTABLES.

[gauret]

Il faut noter que le PPTP est un protocole grave pas sécurisé, sauf si tu recompile ton noyau pour avoir un patch qui t'autorise à utiliser un algo sur lequel il y a des brevets logiciels (détenus par nos amis de Redmond).

Et IPSEC, ben, sous windows....... laisse tomber avec le client intégré.

Un bon VPN multiplateforme qui marche vraiment bien, c'est OpenVPN. Sur leur site il y a un howto très complet qui dit aussi quels ports ouvrir dans le firewall.

[ggbce]

Merci de tes conseils Gauret (je veux en discuter après avoir au moins réussi la base... même si pas très sécure)

... Et c'est réalisé ! Voici ce que j'ai configuré dans IPTABLES sur mon PC qui partage la connexion:

iptables -A FORWARD -p gre -d 192.168.1.12 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -d 192.168.1.12 -j ACCEPT
iptables -A PREROUTING -t nat -p gre -d mon.ip.internet -j DNAT --to-destination 192.168.1.12
iptables -A PREROUTING -t nat -p tcp --dport 1723 -d mon.ip.internet -j DNAT --to-destination 192.168.1.12:1723

Youhou !!! Ça marche, mais pas à 100% Et la j'ai un p'tit problème qui est probablement un p'tit peu plus Redmond, mais je pose quand même la question (SVP pas me changer de forum, car je reviens sur OpenVPN ensuite).

Mon problème étrange:

Sur mon poste client VPN en Windows 2000 je peux parcourir le Voisinage réseau et voir les serveurs disponibles sur mon réseau local où mon serveur VPN est situé. En réalité j'ai simplement 2 serveurs qui sont mes DC en AD. SRV1 contient les données et partage les imprimantes et SRV2 est simplement comme backup DNS, DHCP, DC et est également mon serveur VPN. Je peux accéder aux partages disponibles sur SRV2 et également sur mes serveurs qui font partir d'un WORKGROUP présent sur ce réseau.

Ex.: \\SRV2\PARTAGE

Mais sur mon serveur principal (SRV1) que je vois bien dans le voisinage réseau, je ne vois pas ses partages sur mon client VPN ...? Le seul partage visible est \\SRV1\Usagers car mon dossier "Mes Documents" est une redirection dans la GPO vers \\SRV1\Usagers\%username%\Mes Documents. De plus il est vide ... Il m'est impossible d'accéder à mes partages sur ce PC.

Auriez-vous une idée ? (Je veux au moins réussir à bien faire un VPN avant de passer à OpenVPN que je vais surement avoir beaucoup d'autres questions)

Merci encore