Bonjour Messieurs dames,

je vous prie de bien vouloir me pardonner cette indelicatesse de vous questionner sur un probleme de reseau...

En effet je me lutte depuis un moment pour monter un serveur VPN au taf.

Bon alors de nombreux essais, je conclue: 'la freebox ne permet pas de monter a vpn a travers elle'

En fait, en mettant en DMZ l'IP de mon FW, elle transmet les paquets mais ils ne sont pas acceptés par mon FW!
Alors que si je m intercalle entre FB et FW j arrive a me connecté pepere au VPN.

Et ca c est moche!

Je pense qu il n y a pas d autre solution que de la passer en mode non-routeur mais mon firewall (dlink dfl-800) n aime pas ca du tout (en gros ca marche plus) a cause du fait que son interface se retrouve avec une IP routable et ca le turlupine...

Donc je pense intercaller entre la FB et mon FW une sorte de routeur permettant le vpn passthrough (pour laisser passer IPSec).

Voila en y repensant c est plus un coup de gueule qu une question. Mais reagissez ca fait du bien!!

Sur ce je pars une semaine hihihi donc ca ira mieux demain

tcho les gens

mmmh... la fb en mode routeur ne fait que modem/routeur, donc je ne vois pas en quoi elle gênerait le passage de protocoles qui sont définis bien au dessus d'elle niveau OSI...

Ca viendrait pas plutôt du fait que tu définisse mal ta DMZ? telle que je connais la DMZ, c'est pas plutôt un PC autre que le FW? en principe l'intérêt de la DMZ, c'est justement d'avoir un PC qui morfle pour tout les autres, non? du coup, si le FW est sur le PC qui tombe, bein plus rien n'est protégé. M'enfin je me rends compte que mes cours réseau sont bien loin, même si je les ai eus il y a 2ans maxi :wacko:

et c'est quoi ton Firewall? C'est un PC qui ne fait que ça?

Je sais pas. Je suis pas un super expert en réseau, mais une FB qui bloque IPsec, ça me turlipine...

Et puis je ne vois pas trop non plus le rapport entre une DMZ et un VPN...

c'est pas du tout que je met en doute ce que tu raconte, au contraire! j'aimerais bien que tu m'explique, parce que ça m'intéresse et que j'ai des manques ;)

Je pense que les paquets ne sont pas acceptés par ton Firewall a cause de la translation d'adresse.

Si on se base sur du VPN ipsec par exemple, il faut :

- Que le Firewall (considéré comme "concentrateur VPN) aie une adresse publique (directement, pas par translation)
- Qu'en cas de translation coté client le "nat traversal" soit activé

Tu ne nous dis pas quel type de VPN tu veux mettre en place, et comment est configurée ta FB (mode routeur ou non).

En Ipsec, en fonction des plates-formes, on peut bricoler et faire fonctionner ipsec avec de la translation en désactivant l'AH (l'authentification), mais c'est un peu de la bidouille :p :) .

Si tu peux détailler tes besoins et ta config, on peut ptet voir comment faire.

Ton VPN c'est lan to lan ou client to lan ?

Mon FW est une appliance dlink DLF-800. Un FW materiel quoi.
http://www.ldlc.com/fiche/PB00038776.html

La DMZ dont je parle est celle de la freebox, en gros un parametrage (une IP) vers laquelle elle est censee tout envoyer.
La FB est donc en mode routeur.

Peu importe le type de VPN PPTP ou L2TP/IPSec rien ne passe, je m en fout un peu du type, c est pour des clients itinerants windows. Clients to LAN

en gros:
Internet---FB---FW----LAN

Quand je m intercalle entre FB et FW je me connecte bien, mes regles fonctionnent, pas de problemes.

Par contre des que je tente de me connecter depuis internet rien a faire. J ai pas le type d erreur en tete, mais dans mes log de FW je voyais clairement que mes paquets etaient dropés. C est pour ca que j en ai conclu que la FB avait du mal a forwarder du VPN (que se soit PPTP ou L2TP/IPSec je le repete)

J ai egalement essayer de passer la FB en non-routeur, et donc configurer mon FW en DHCP sur son interface WAN, mais alors dans ce cas la j ai RIEN qui arrive sur mon FW, pas une trace dans les logs.(en PPTP ou L2TP/IPSec)

C est peut etre une erreur de config, mais il etait tard hier et vacances aujourd hui donc j ai pas eu le courage de pousser.

Ma contrainte principale c est les utilisateurs, il faut que par telephone tout sois configurable et "support"-able lorsqu ils sont en deplacement donc simple quoi!

Ce qui me fait rager c est que j ai deja mis en place ce genre de solutions auparavant avec un speedtouch home, passé en pro, il y a 3-4 ans et ca marchait trop bien, la cette FB (je reste persuadé que c est que de sa faute a elle) elle m enerve!

Si vous avez des idees merci d avance, j essaierai de me connecter pour repondre.

Sinon je vous tiens au courant apres le 7.

Bonne annee

En mode DMZ il y a de la translation, donc le VPN ne fonctionnera pas correctement sauf si on enlève l'AH, ce que je sais personnellement uniquement faire sur du Cisco, du Checkpoint et du Fortigate, pas sur du Dlink.

Par contre, normalement, si la FB est en mode non-routeur, ça devrait fonctionner. Quand c'est configuré comme ça, le browsing fonctionne au travers du FW ou pas ?

Et ben, tu n'es pas sorti de l'auberge:
1) Il va falloir que tu comprennes comment fonctionne un VPN. En gros, il ne suffit pas de 'brancher et ca marche'. Il faut comprendre ce qu'est un VPN Ipsec, pourquoi un VPN SSL n'est pas un VPN, pourquoi il ne faut pas utiliser PPTP mais uniquement L2TP, ce qu'est le mode tunnel, AH et ESP etc etc...
2) Dans ton cas, je suppose que tu as mis la FB en mode routeur. En plus, tu n'as pas l'air de savoir ce qu'est une DMZ.
En plus, une freebox en milieu pro, faut oser. C'est interdit par les CGV, mais tu es libre de faire ce que tu veux....

Pour que ton 'firewall' accepte la liaison VPN, il doit accepter les trames. Or, pour éviter les attaques MiM, il n'acceptera pas les trames modifiées. Donc ta freebox ne doit pas nater. Elle doit donc etre en mode transparent et pas routeur.
Si tu veux que ta freebox soit en mode routeur, il te faut router tous les ports nécessaires (UDP/500,UDP/1701) et les protocoles nécessaires (GRE/17), et je ne suis pas sur qu'elle soit capable de le faire. Et dans tous les cas, tu ne pourras pas authentifier (AH) l'appelant, que tu devras donc désactiver (sur ton pseudo firewall Dlink).

Voilà un commencement.

Et ben,

Dis donc ca a l air de te tenir a coeur cette histoire...

En tout cas merci pour l info sur les CGV de free j étais pas au courant.

PS: t as quelque chose contre les gens qui apprennent et/ou DLink?

En fait, si tu dis au monsieur tout ton matos, je suis sur qu'il se ferait un plaisir de te faire un tuto dédié, tellement il s'y connait.

On croirait qu'il est méchant comme ça, mais le Wanou c'est comme un prof de math, il est severe mais c'est pour ton bien ;)

Dis donc ca a l air de te tenir a coeur cette histoire...

En tout cas merci pour l info sur les CGV de free j étais pas au courant.

PS: t as quelque chose contre les gens qui apprennent et/ou DLink?

Non, j'ai juste fait une cure d'orangina rouge, et du coup, je suis méchant. :p

Quant aux gens qui apprennent, au contraire. Mais pas, à mon avis, dans le cadre du travail.
(Note au passage que je t'ai donné la solution: Tu passes ta freebox en mode pont (non routeur) et du coup tu n'auras plus de probleme.)

Et pour Dlink, ben... A part que je ne leur ferai pas confiance pour un firewall.... J'ai trop de mauvais souvenirs avec leurs Routeurs et Fw....
Sinon, pour du matos premier prix, c'est pas trop mal (j'ai pas mal de Dlink à la maison).