[Linux-bruxelles] IP-Fire + vpn (win7)

Didier Misson didier.linux at gmail.com
Mer 21 Juil 23:12:20 CEST 2010 

Ok, je ne sais pas t'aider bcp plus.
Je me débrouille bien en firewall, mais par contre assez peu en VPN...
(manque d'expérience surtout)

et pour IPCop (IPFire y ressemble très fort), ça fait bien 3 ans que je
ne l'ai pas utilisé.

Oui, fais un labo. Faut pas bcp de matériel, mais c'est important de
tester et de bien maitriser avant de l'installer en prod.

Difficile de conseiller d'autres distri (m0n0wall ?) : faudrait les
essayer et comparer, ce qui prend du temps.

;-)


Le 21/07/10 20:39, Jacobson a écrit :
> Merci didier,
> 
> Dans ipfire, les logs du vpn sont séparés et peu locaces
> (je vais voir si on peut les rendre plus loquaces)
> 
> Les clients win sont 'extérieurs' (sur le LAN entreprise 192.168.123.x)
> Ils essayent de se connecter via la carte 'rouge' du firewall 
> (qui a une adresse LAN 192.168.123.20)
> 
> Et si le vpn fonctionne, ils ont une adresse complémentaire
> Dans le réseau VPN du firewall (192.168.126.x) qui leur permettrait
> d'accéder au 'LAN du firewall' (192.168.124.x)
> 
> Le but est de mettre le firewall en tête (on a une adresse fixe publique)
> Et de permettre des connections depuis le 'monde' sur le réseau interne 
> (en sécurité)
> 
> Pour l'instant, la société de service de leur win2k3 se connecte en remote
> terminal sur le win2k3 avec pour seule sécurité le pot de masse
> (et la légendaire sécurité des serveurs win)
> 
> Je vais essayer d'installer wireshark sur le firewall
> (mais c'est une distro spécifique donc non complète)
> 
> Et en plus le système est au siège central et je suis ailleurs
> Je vais me créer mon propre labo ...
> 
> J'utilise le client vpn de windoze
> Si quelqu'un connaît un client vpn (gratuit) pour win xp, vista et 7) ?
> Je suis preneur (j'ai bien dit gratuit, pas forcément libre)
> (open_vpn semble avoir des problèmes avec win7)
> 
> 
> 
> 
>> -----Original Message-----
> (snip)
>> Subject: Re: [Linux-bruxelles] IP-Fire + vpn (win7)
>>
>> Bonjour,
>>
>> Il me semble qu'il y avait des logs.
>> Donc, que le trafic passe, ou qu'il soit bloqué, tu dois avoir des logs
>> dans le firewall.
>> Si tu ne vois rien, c'est qu'effectivement tes essais VPN n'arrivent pas
>> au firewall.
>> Vérifie si tu vois les pings dans les logs.
>> Tu devrais voir les pings ET les essais VPN...
>> Peut-être que tu ne vois que les pings, alors ton VPN n'arrive pas au
>> firewall.
>>
>> Tu parles de Wireshark : c'est sur le PC client que tu le fais tourner ?
>> Tu dois voir des choses en sortie, sinon c'est là le problème (et pas
>> dans IPCop (ou IPfire que je ne connaissais pas. ça semble bien IPFire).
>>
>>
>> Donc, tu essayes de faire communiquer 2 PC Win (oui, on ne choisit pas
>> toujours) via un VPN passant à le firewall.
>> Si vraiment tu ne trouves pas, remplace le firewall par un simple
>> routeur pour tests : tu verras au moins si le blocage vient du firewall,
>> ou pas...
> (non les clients win sont 'extérieurs')
>>
>> Mais testes bien tout avant de passer en prod ! Sinon on dira que c'est
>> la faute à Linux et qu'avec un firewall Windows...
>> (No comment... mais j'ai déjà entendu ça...)
> 
> 
> ==> exactement ce que voulais faire
> ==> et j'ai déjà entendu ça aussi ...
> 
>>
>> Bonne continuation
> (merci et snip)
>>
>> Le 21/07/10 11:59, Jacobson a écrit :
>>> Bonjour,
>>>
>>> Je veux placer un firewall en tête du réseau de mon nouvel employeur.
>>> J’ai réussi à ce qu’ils acceptent de le faire avec linux
>>> J’avais commencé avec ipcop dont j’avais entendu que du bien
>>> Mais il semble que ipcop n’est plus trop actif
>>> De plus, le client openvpn ne semble pas compatible win7-64
>>>
>>> Donc j’ai essayé ipfire qui semble plus ‘moderne’
>>> Mais là même problème
>>>
>>> Le firewall est, pour l’instant, DANS le réseau tant que tout n’est pas
>>> testé
>>> Configuration (à voir en courrier new)
>>>
>>> {WWW}--[routeur]--[switch]--[firewall IP-Fire]—[switch]-[PC admin]
>>>                           |                    (subnet 192.168.124.0)
>>>                           |
>>>                           |---[PC win7-64] client vpn
>>>                           |
>>>                           |---[PC vista home 32] client vpn
>>>                           |
>>>                           |---[autres pc’s]
>>>                           |
>>>                           |---[imprimantes]
>>>                           |   (subnet 192.168.123.0)
>>>
>>>
>>> Je n’ai pas pu connecter ni le w7 ni le vista par vpn
>>> Dans les 2 cas, windoze dit ‘time-out’ sur la connection
>>> Le vpn est activé au niveau du firewall
>>> Et j’ai suivi les faqs pour les clients et les certificats
>>> J’ai essayé avec pki et avec certificats, même problème
>>>
>>> Les pc’s peuvent pinguer le firewall (sur son port ‘rouge’)
>>> Les clients essayent de se connecter sur le port rouge du firewall
>>>
>>> Ce qui me trouble c’est que wireshark (sur les pc’s) ne voit pas de
>>> trafic vers le firewall
>>> (le client vpn a été ajouté à la liste des applications autorisées)
>>>
>>> Quelqu’un a de l’expérience ipfire / ipcop / vpn / client win ?
>>>
>>> merci
>>>
> 
> 
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
> 


-- 
Didier

http://misson.tel  Annuaire Misson
http://drupal.tel  Annuaire Drupal

http://www.les-objets-de-maman.be : objets, meubles et tableau à vendre
http://gallery.les-objets-de-maman.be : les photos des objets

Plus d'informations sur la liste de diffusion Linux-bruxelles