bon désolé du double post, mais je trouve pas comment on édite.

je suis chez neuf. serait-il possible que ce problème vienne du fournisseur d'accès qui bloque certains ports ou protocole?

Poste le Tuesday 5 June 2007 15:15:20

Pas tester sur une neuf mais elle est juste en modem ou en mode routeur ?
En routeur pense a la redirection des ports vers ton poste (cela semble bien etre ton pb si tu n'est pas en mode modem).

Poste le Tuesday 5 June 2007 21:47:26

je suis en mode routeur, mais ca viens pas des ports.

le client met un certains temps (environ 20s) a m'envoyer le message d'erreur. Si je ferme tous les ports, l'erreur apparait presque instantanement. donc j'en ai deduis que ca venait pas de là. Et dans le syslog, l'adresse ip du client apparait.

et en plus, la configuration est bonne puisqu'elle fonctionne sur le reseau local.
j'appel neuf demain pour avoir plus d'info...

Poste le Tuesday 5 June 2007 22:16:13

Ton probleme viens du protocol GRE.
Au debut de la session PPTP echange des infos sur le port 1723, ensuite il passe en GRE (donc pas du TCP ni de l'UDP, du GRE)

Maintenant tu dis que ton router est en mode router, donc tu transalate bien le TCP, mais le fais-tu aussi pour les GRE ??

Tu as ce genre de probleme quand le serveur (ou le client) ne recoit pas de message a sa requete GRE.

Poste le Wednesday 6 June 2007 00:57:22

Dans ce cas c'est le même probleme que sur les livebox : le protocole 47 n'est pas géré par le routeur et même en dmz cela ne passe pas. En mode bridge normalement cela passe sans probleme.

Une soluce trouvée a l'époque c'est de soit passer par un autre systeme qui n'utilise pas GRE (openvpn fortement recommandé) ou une solution propriétaire (hamachi pour des petits réseaux).

Poste le Wednesday 6 June 2007 07:52:14

Merci pour vos réponse.

Le problème est que sur la neufbox, je n'ai pas de mode bridge. Je vois seulement mode monoposte et mode routeur. Je crois que j'ai la box trio3c, je vérifie ce soir.

j'ai essayé d'appeler neuf, mais sans succès. vive l'assistance par telephone...

Sinon j'ai deja essayé Openvpn, mais j'avais eu une pas mal d'erreur à la création des certificats. Ca m'avait un peu rebuté. Mais si le problème persiste, je crois que je serais obligé de m'y remettre...

Poste le Wednesday 6 June 2007 11:32:33

Le mode bridge dont je te parle c'est le mode monoposte (usb). Le probleme c'est que si tu compte utiliser un dns dynamique (style noip) tu vas devoir passer par du soft en monoposte (vous avez les dns dynamiques sur les neufbox routeur ?)

Openvpn est un bon choix si tu reste en routeur. C'est sur ce n'est pas trop facile a installer mais bon, apres cela marche bien.

Poste le Thursday 7 June 2007 06:16:54

Autre chose : Les outils fournis par le neuf pour le mode bridge c'est du windows exclusivement il me semble...
La soluce 'possible' c'est de passer en wifi avec ndiswrapper (si je me trompe dites le moi) donc pour toi cela risque d'etre plus compliqué/lourd que de passer par openvpn.

Poste le Thursday 7 June 2007 06:50:57

Citation
PauseKawa
La soluce 'possible' c'est de passer en wifi avec ndiswrapper (si je me trompe dites le moi)

Pour le Wi-Fi, ça dépend, certains chipsets ont un pilote libre (Atheros, etc.) et ndiswrapper est dans ce cas inutile. ndiswrapper est un peu aux pilotes windows ce qu'est wine aux exécutables du même système (et là pareil : si je me trompe dites-le moi :ange: ).

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Friday 8 June 2007 14:38:22

Exat merlin8282.

Mais il me semble bien de mémoire que pour celui qui est fournis avec la neuf il n'est pas reconnu, c'est donc pour cela que je parle de ndiswrapper.

Conclusion pour grimmjow : Passe par openvpn, c'est plus 'propre'

Poste le Friday 8 June 2007 19:11:53

merci à tous pour vos réponse. et desolé d'avoir laissé trainer le topic, j'etais en pèriode d'exam. mais la c'est fini :-))

j'ai appelé Neuf, et d'après eux le protocole GRE est géré correctement par la Neufbox (en mode routeur et en mode bridge). Donc l'erreur viendrait bien de ma config...

Installer une carte Wi-Fi sous linux ca me pose pas de problème, je l'ai déjà fait plusieurs fois. Mais dans mon cas ca ne résoudra pas le problème. A la base j'avais pensé utilisé OpenVPN, mais pour le moment la gestion des certificat me dépasse.

Est ce qu'il existe une configuration d'OpenVPN qui est basé sur une authentification par mot de passe et pas par certificat? Il existe des tas de tuto sur OpenVPN ou FreeSwan, mais la methode utilisée est jamais la même. et vu que j'aime bien comprendre ce que je fait, je finis toujours par m'enmêllé les pinceaux.

Poste le Tuesday 12 June 2007 12:57:41

Citation
grimmjow
mais la methode
utilisée est jamais la même. et vu que j'aime bien
comprendre ce que je fait, je finis toujours par
m'enmêllé les pinceaux.

Sans doute du fait que les tutos sont pour différentes distrib et version d'openvpn. locate est ton ami.

Sinon le principe des clefs est le même pour tous (a supposer que tu as tout bien intaller) :

1 Localiser et initialiser easy-rsa (./vars puis ./clean-all)

2 Créer le certif de l'authorité de certification (le ca.cert avec ./build-ca) Pense a bien remplir les infos.

3 Créer le certif et la clef pour le serveur (server.crt et server.key avec ./build-key-server server ou server est le nom de ton serveur)

4 Créer les clefs des client (./build-key nomduclient qui te donne nomduclient.cert et nomduclient.key)

5 Finir avec un ./build-dh pour le secret partagé. Tu retrouve tes clef dans ./keys

6 Coter serveur tu place ca.crt, dh1024.pem, server.crt et server.key dans /etc/openvpn/server/

7 Coter client tu a besoin de ca.crt, nomduclient.key et nomduclient.crt

Note Tu retrouve tes clef dans ./keys

Apres tu n'as qu'a configurer ton /etc/openvpn/server.conf et tonclient.conf sans oublier de bien lui monter ou son les clefs.

Exemple pour server.conf

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh1024.pem

Tu bloque ou ?

Poste le Thursday 14 June 2007 07:10:15

Un exemple simple [www.bxlug.be]

Poste le Thursday 14 June 2007 07:23:23

ok merci, je vais tester ca!

je me souviens avoir bloqué au moment de générer la clé pour le client, donc à l'etape 4. Une erreur m'etait retournée au moment de générer le certificat.

Poste le Monday 18 June 2007 17:00:48

j'ai installer OpenVPN en suivant le tuto. La configuration s'est déroulée correctement. j'y vois un peu plus clair sur le role des certificats (surtout après m'être documenté sur TLS/SSL).

Il reste quand meme un petit problème. quand je suis sur réseau local, la connexion se déroule bien et je peux "pinger" le serveur ou accéder aux différents service (samba, apache...). Mais quand j'établis la connexion à travers internet, je ne peux pas "pinger" le serveur. par contre la connexion se deroule normalement et les routes sont ajoutés.

voici les règles IPTables coté serveur:

iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT

je met aussi les routes qui sont sensées être correct (puisqu'elles sont ajoutés par OpenVPN) mais qui me semblent bizarre:

coté serveur:

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.0.1.2        *               255.255.255.255 UH    0      0        0 tun0
10.0.1.0        10.0.1.2        255.255.255.0   UG    0      0        0 tun0

coté client:

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.0.1.5        *               255.255.255.255 UH    0      0        0 tun0
10.0.1.1        10.0.1.5        255.255.255.255 UGH   0      0        0 tun0

J'ai tester en changeant les routes de maniere a lui indiquer la route à utiliser pour joindre le réseau 10.0.1.0, mais sans succès. Je vois toujours pas d'ou le problème peut venir.

Poste le Thursday 21 June 2007 14:46:26

Pour ton souci de ping entre autres, lance la commande sudo iptables -L -n -v, qui te montrera l'état de ton firewall.

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Thursday 21 June 2007 19:17:08

J'ai deja regardé, pas de problème coté firewall. J'ai configuré la Policy sur DROP, mais j'autorise toute les connexion sur Tun0. Donc pas de problème je pense.

En fait je pense que ce problème est lié à la qualité de ma connexion. En effet, apres m'être un peu acharné, j'ai reussi à pinguer et même à accéder a mon serveur web,ssh et samba a travers le vpn. mais la connexion est extremement lente (pour info j'ai un ping entre 1500 et 2000 ms).

Pour moi, ce problème est lié au faible débit de ma connexion.

Merci pour votre aide, ma connexion marche maintenant :-))

Poste le Monday 25 June 2007 11:45:54