Vous n'êtes pas identifié.
Bonjour à tous !
N'ayant trouvé de réponse à mon problème, j'espère qu'une personne pourra me donner une piste ici. Pour commencer, voici ma configuration :
un pc avec :
* microsoft windows 2003 server
* une interface réseau (que nous appelerons A) reliée à internet par l'intermédiaire d'un routeur, avec un port ouvert pour faire du VPN.
* une interface réseau B reliée à internet par l'intermédiaire d'un routeur.
Dans la table de routage, j'ai définis mon interface B comme étant celle qui me permettait de me connecter à internet.
Sur l'ordinateur, l'accès à internet (tous ports confondus) se fait sans aucun problème par l'interface B.
En fait, mon problème est le suivant : lorsque j'essaie de me connecter par VPN à travers l'interface A, mes tentatives échouent systématiquement. En fait, j'imagine que les paquets arrivent normalement par l'interface A, mais au lieu de repartir par cette même interface, ils "reprennent le chemin d'internet" par l'interface B (ceci me parait logique, puisque c'est cette interface qu'empruntent tous les paquets désireux de rejoindre le Net). Qu'en pensez vous ?
D'ailleurs, le fait de désactiver l'interface B, entraine d'une part, que mon interface A devienne l'interface par défaut pour router les paquets, mais surtout que le VPN fonctionne tout à fait normalement (ce n'est donc pas un problème de firewall).
Je pense donc que la solution serait d'empecher les paquets correspondants au VPN de rejoindre internet par l'interface B, et de les forcer à emprunter l'interface A, par laquelle ils sont arrivés. Serait-ce réalisable ?
j'espère que ma description est assez exhaustive, et que vous me proposerez des solutions parceq ue là, je m'arrache vraiment les cheveux !!
Merci d'avance !! :shock: :shock:
Hors ligne
Bonjour à tous ! [...]
* microsoft windows 2003 server
Salut !
Je te rappelle juste que tu es sur un forum d'entre-aide linux, principalement dédié aux débutants... Parler de ouidoz ici c'est comme dire que tu es taliban sur un forum de blood & honor americain...
Bref, on va tout de même t'aider un peu...
Essaye de vérifier ta théorie en utilisant un analyseur de réseau, tel que ethereal.
Sinon va voir un forum d'entre-aide informatique plus général, tel que newdimension-fr.
Hors ligne
Bon, désolé de vous avoir offensé alors !! :cheesy:
Non mais de toute façon, je pense que mon problème est indépendant de l'OS, et qu'il relève simplement du routage (enfin, si seulement c'était si simple.. :frown: )
Hors ligne
Bah c'est pas grave, j'ai un peu exagéré, on aime bien aider nous quand même
J'ai vu que tu as posté sur ndfr, je pense qu'il y'en a plusieurs qui sont près à t'aider.
Mais dans tes tables de routage, tu devrais rediriger correctement ton vpn, il me semble que ce n'est pas trop trop compliqué à faire...
Hors ligne
Hello,
Je ne suis pas sur d'avoir bien compris ta description du problème.
En ce qui concerne le VPN, il y a deux implémentations classique: le mode tunnel (IPSEC en mode tunnel, openVPN, vpn propriétaire Cisco, etc...) et le mode transport (A ma connaissance, il n'existe qu'IPSec en mode transport pour cela.).
Avec le mode transport, la présence du vpn est transparente au niveau des interfaces, comme l'implémentation n'affecte que la couche IP. Les tables de routage n'ont pas à être modifiées. J'assume donc que ce n'est donc pas IPSec en mode transport que tu utilises.
En mode tunnel, le système fait apparaître une interface "tunnel" virtuelle. Les paquets envoyés dans cette interface sont encryptés, enveloppés dans un paquet a destination de l'autre extrémité du tunnel, puis réinjectées dans le routage, qui détermine comment faire arriver le paquet enveloppe à destination.
Est-ce qu'une de tes interfaces A ou B est une interface "tunnel" ? ou as-tu deux interfaces physiques reliées à Internet ?
Si jamais tu utilises un VPN hardware: la configuration des VPNs sur les équipements Juniper est assez contre-intuitive. Il faut assigner la règle "tunnel" sur la connexion à protéger dans la direction de l'entrée, pas de la sortie.
Il n'existe aucune raison de connecter deux interfaces physiques au même segment de réseau, dans une configuration normale. (sous linux en tout cas... le seul cas que je peux imaginer, c'est un honeypot sous windows avec une interface furtive, contre un cracker assez malin pour vérifier par une intrusion locale si deux machines correspondent a la même interface physique. Et encore, ptet que windows sait le faire aussi). Donc, j'assume que si A et B sont deux interfaces physiques, elles sont reliées à internet mais par deux routeurs différents.
Si les deux interfaces sont sur le même subnet (que ce soit sur un segment séparé ou non, c'est mauvais), il faut revoir ta configuration réseau. Dans ce cas la, une possibilité est que ton démon vpn en userland ne s'attache qu'a une seule des interfaces réseau. Il faut activer le forwarding IP pour permettre aux paquets entrant sur la mauvaise interface de traverser le routage. (sous linux: echo 1 >/proc/sys/net/ipv4/ip_forward)
Linux a une fonction dite de "reverse path filtering" qui protège partiellement contre le spoofing IP en refusant les paquets entrant par une interface qui ne serait pas bonne route pour l'adresse source. Cette fonction empêche le fonctionnement du routage asymétrique. Peut-être que windows a l'équivalent et qu'il faudrait le désactiver ? (sous linux:
echo 0 > /proc/sys/net/ipv4/conf/ethX/rp_filter )
Si tes deux interfaces sont sur des subnets publics différents, leur règles de routages ne devraient pas entrer en collision. Si tu utilises un système vpn en userland (OpenVPN ou autres), il faut peut-être demander au démon vpn de s'attacher explicitement à une interface donnée.
Dernière observation: il n'est ni facile ni raisonnable de vouloir router des paquets en fonction de par ou les paquets entrants sont arrivés. Dans un cas comme celui-ci, il est en général beaucoup plus facile de mettre une connexion bridge entre les deux interfaces et de laisser le code du bridge déterminer la bonne direction.
Conclusion: donnes nous plus d'infos, et essaie linux, tu te feras moins ch*** !
Hors ligne
J'ai trouvé une solution à mon problème. Elle n'est certe pas très élégante, mais elle a au moins l'avantage de fonctionner.
Elle consiste à créer une machine virtuelle sur le serveur, les deux étant reliés par un réseau privé. De plus, le serveur aura comme interface par défaut pour internet l'interface A et pour le VPN, il suffira de se connecter sur la machine virtuelle, qui aura comme interface de sortie l'interface B.
Et puis, pourquoi pas un petit vpn entre le serveur et la machine virtuelle.
Voila, j'ai testé et ca marche. Mais j'aurai quand meme préféré une solution plus propre avec les tables de routages ou autre.
Cdt.
Hors ligne
Il nous manque toujours une description plus précise de ta topologie réseau..
bon, allez, wild guess:
route add <s.s.s.s> <g.g.g.g> if <b>
où <s.s.s.s> est l'adresse IP du serveur vpn, <g.g.g.g> l'adresse ip de la gateway internet accessible via l'interface B, et <b> le numéro de l'interface B tel qu'il est affiché par
route print
Hors ligne