Faire passer du L2TP au travers d'ipcop

par **FuN_KeY** » 03 Déc 2005 02:56

Bonjour

J'ai actuellement un server Win 2k3 qui fait office de server VPN PPTP/L2TP IPSec. Le probleme, est qu'entre lui et le net se trouve mon firewall&router IPCop. Je cherche a savoir si IPCop dispose d'un VPN passtrough qui me permetrais de transferer le traffic ipsec vers ma mon server win2k3 qui est sur GREEN.
Pour ce qui est du PPTP, j'ai simplement transferer le port 1723 vers mon server et tou roule, mais pour le L2TP je seche...

Apres nombreuses lecture j'ai redirigé:
GRE
4500 UDP
1701 UDP
500 UDP
Mais rien n'y fait; je n'arrive pas à a obtenir une connexion en passant par le net (en local ca fonctionne parfaitement).

Merci

par **yarglaheu** » 05 Déc 2005 11:56

Bonjour,

PPTP c'est 1723 en TCP
L2TP c'est 1701 en UDP

J'ai un client ou seul le port TCP/1723 est ouvert, et les connexions fonctionnent

par **FuN_KeY** » 07 Déc 2005 11:22

Merci, mais pour ce qui est du PPTP c'est tout bon; la redirect marche impec sur le TCP1723.

La ou je seche c'est au niveau du L2TP; pas moyen d'avoir la liaison depuis l'exterieur, malgrés mes multiples redirections de ports...

par **FuN_KeY** » 13 Déc 2005 02:32

Un petit up ? :oops:

par **bhk** » 28 Déc 2005 01:54

Ouaip, j'ai essayé aussi... il y a un numéro de protocole spécial à faire passer (qui n'est pas affiché dans le GUI)

Si mes souvenirs sont bons :

il faut faire passer le protocole n° 115 (L2TP) et, éventuellement le 50(IPSEC), vers ta machine qui fait office de "serveur VPN", le tout... ...en mode console ;-)

.

Désolé de ne pas écrire tout de suite les commandes à taper... ...je vais me coucher !

par **kinaï** » 11 Jan 2006 16:49

J'ai un problème identique, je cherche à publier un serveur VPN L2TP/IPSEC situé derriére un IPCOP 1.4.10.

Au sein de l'interface graphique, j'ai ouvert :

UDP 1701 pour L2TP
UDP 500 pour IKE

l'interface graphique ne me permet pas de translater ESP et AH (protocole 50 et 51), seul GRE (47), tcp et udp sont disponible. Je souhaiterais savoir comme je peux activer cette translation sachant qu'elle doit se faire sur une adresse ip qui n'est pas celle par défaut de IPCOP.

Merci de votre aide,
kinaï

par **kinaï** » 16 Jan 2006 13:34

par **FuN_KeY** » 16 Jan 2006 15:18

Et re UP

Sinon, pour ceux qui sont dans la meme galere que moi; j avais il trouver qqch de potentiellement interessant. Je n'ai pas tester personnelement, mais de ce que j'ai compris c'est sensé faire ce que nous recherchons.

N'ayant pas bookmark l'URL sur mon portable, je vais essayer de la poster ce soir; si j oublie pas. Cette solution est helas loin d etre la plus simple... J'aurais de loin prefere un simple port/traffic forward

par **FuN_KeY** » 16 Jan 2006 21:56

Chose promise, chose due... Voila l'url.
Je n'ai pas pu tester perso, mais si qqun se lance j'apprecierais bien volontier un feedback!
http://koeppe-net.de/l2tp-howto.txt

par **kinaï** » 17 Jan 2006 11:49

L'idée est bonne mais à quoi bon utilisé l2TP si c'est pour desactiver IPSEC ... autant faire du PPTP.
Je cherche à forwarder ESP au travers de IPCOP, mais personne ne semble savoir comment on fait !!!

par **Franck78** » 17 Jan 2006 12:18

kinaï a écrit:Je cherche à forwarder ESP au travers de IPCOP, mais personne ne semble savoir comment on fait !!!

Simplement que ce n'est pas prévu dans le GUI d'IPCop. Forward basique tcp/udp avec port, ou GRE. Mais pas ESP, AH, etc...

A toi de rajouter ça ("iptables -A CUSTOMFORWARD ..." ) dans rc.firewall.local

Bye

par **kinaï** » 17 Jan 2006 12:24

Je suis légérement newbie sur la manipulation IPTABLES.
Je cherche à forwarder ESP depuis une IP qui n'est pas celle par défaut de IPCOP (alias)

je pensais ajouter :

iptables -A CUSTOMFORWARD -d IPSERVEURVPN -p esp -j ACCEPT

mais la ca prend l'IP par défaut et si je fait :

iptables -A CUSTOMFORWARD -d IPSERVEURVPN -p esp -i eth0:1 -j ACCEPT

il me dit que je n'ai pas le droit de mettre ":"

alors là je suis bloqué et je ne sais pas comment faire ...

Merci,

par **Franck78** » 17 Jan 2006 12:43

-i c'est l'interface réseau réèlle. A son niveau, il n'y a pas d'IP, seulement de la mac-address et des data!

Utilise -s IPSOURCE si tu veux limiter les clients.

-d IPSERVEURVPN: marchera pas si c'est une adresse privée.

Le paquet qui arrive possède l'IP destination de l'IPCop (red)

par **kinaï** » 17 Jan 2006 12:51

Je ne comprend pas alors comment je dois faire pour publier esp depuis l'ip public xxx.xxx.xxx.xxx
vers mon ip prive yyy.yyy.yyy.yyy

si je ne peux pas faire :

iptables -A CUSTOMFORWARD -p esp -d yyy.yyy.yyy.yyy -j ACCEPT

je pense que je ne saisie pas le cheminement des flux au sein d'IPCOP ...

par **Franck78** » 17 Jan 2006 14:54

Je n'ai pas trop la tête à iptables en ce moment. Donc cela risque d'être pas clair:

Ton serveur VPN posséde un IP privée sur GREEN ou ORANGE. Quand tu dialogues en TCP/UDP, pas de problème pour contourner l'adressage privé. On utilise le NAT. Et le PORT destination permet de faire le tri.

Comme tu changes de protocole (ESP,AH,...) plus de port pour faire du NAT(masquerade). Tu dois utiliser iptables pour remplacer toi même l'IP privée à l'arrivée comme au départ de l'IPCop.
Dans PREROUTING/POSTROUTING -j DNAT x.x.x.x -J SNAT y.y.y.Y, pour le proto concerné.

Tu trouveras tous dans un bon tuto sur Iptables, ca ne manque pas sur internet.

Faire passer du L2TP au travers d'ipcop

Faire passer du L2TP au travers d'ipcop

Qui est en ligne ?