Conversation
precedente ou
suivante
vpn ipsec + pptp + l2tp
Envoyé par:
azer
Rebonjour tout le monde.
Voilà plusieur jours que je galère comme un dératé. Mon but est simple. Mais d'abord voilà mon objectif :
- creer une connexion vpn pour chaque personne travaillant dans la boîte. Ils sont
tous sur du XP PRO & FAM SP2. Chaque personne devra avoir un certificat .p12 qu'ils devront
importer dans la base de certificats de windows. Chacun d'eux aura un username et un password
pour se connecter via le client vpn intégré à windows via le protocole IPSEC/L2TP.
petit bémol : le serveur vpn stronswan est sur une dedibox avec une patte eth0:1 en 172.16.7.7.
Alors voilà ce que j'ai réussi a faire déjà :
- création du certificat ca --> OK (cacert.pem)
- création d'un certificat pour le serveur --> OK (integration.pem)
- connexion strongswan - routeurs (cisco, zyxel, fortigate, netgear, etc ...) --> OK.
- création d'un certificat windows en .p12 --> OK
Les certificats .pem sont dans le répertoire ~/certs et les clés dans le répertoire ~/private
- importation du .p12 dans Win XP Pro SP2 --> OK
- installation de pptpd --> OK (mais malgré le niveau de debug et le fichier de log spécifié, rien n'est logué)
- installation de l2tpd --> OK (mais malgré le niveau de debug et le fichier de log spécifié, rien n'est logué)
Je précise que je n'ai aucun firewall pour le moment, ni du côté windows que du côté dedibox.
J'ai déjà essayé de suivre 7 tutos sur le net sans succès. Les personnes qui ont postés ces tutos commencent avec des certificats créés en host.exemple.fr.pem et d'une ligne à l'autre ce certificat disparaît pour devenir winhost... puis redeviens comme par enchentement à host...
En plus les options ne sont pas expliquées. Ils disent tous de faire un copier coller en adapatant les IP à notre conf et que ca devrait marcher : je confirme que ca ne marche pas :'(
Alors voilà. Je sollicite votre expérience pour m'aider à mettre ce système en place. Si vous avez une petite conf à me montrer que vous pouvez commenter, ça m'interesse grandement.
Merci d'avance pour votre aide.
- azer -
Voilà plusieur jours que je galère comme un dératé. Mon but est simple. Mais d'abord voilà mon objectif :
- creer une connexion vpn pour chaque personne travaillant dans la boîte. Ils sont
tous sur du XP PRO & FAM SP2. Chaque personne devra avoir un certificat .p12 qu'ils devront
importer dans la base de certificats de windows. Chacun d'eux aura un username et un password
pour se connecter via le client vpn intégré à windows via le protocole IPSEC/L2TP.
petit bémol : le serveur vpn stronswan est sur une dedibox avec une patte eth0:1 en 172.16.7.7.
Alors voilà ce que j'ai réussi a faire déjà :
- création du certificat ca --> OK (cacert.pem)
- création d'un certificat pour le serveur --> OK (integration.pem)
- connexion strongswan - routeurs (cisco, zyxel, fortigate, netgear, etc ...) --> OK.
- création d'un certificat windows en .p12 --> OK
Les certificats .pem sont dans le répertoire ~/certs et les clés dans le répertoire ~/private
- importation du .p12 dans Win XP Pro SP2 --> OK
- installation de pptpd --> OK (mais malgré le niveau de debug et le fichier de log spécifié, rien n'est logué)
- installation de l2tpd --> OK (mais malgré le niveau de debug et le fichier de log spécifié, rien n'est logué)
Je précise que je n'ai aucun firewall pour le moment, ni du côté windows que du côté dedibox.
J'ai déjà essayé de suivre 7 tutos sur le net sans succès. Les personnes qui ont postés ces tutos commencent avec des certificats créés en host.exemple.fr.pem et d'une ligne à l'autre ce certificat disparaît pour devenir winhost... puis redeviens comme par enchentement à host...
En plus les options ne sont pas expliquées. Ils disent tous de faire un copier coller en adapatant les IP à notre conf et que ca devrait marcher : je confirme que ca ne marche pas :'(
Alors voilà. Je sollicite votre expérience pour m'aider à mettre ce système en place. Si vous avez une petite conf à me montrer que vous pouvez commenter, ça m'interesse grandement.
Merci d'avance pour votre aide.
- azer -
Poste le Tuesday 24 October 2006 13:42:48
Re: vpn ipsec + pptp + l2tp
Envoyé par:
chromosome
Et en gros ton probleme est ou ?
Pourquoi installer l2tp et pptp ?
Pourquoi installer l2tp et pptp ?
Poste le Tuesday 24 October 2006 23:22:17
Re: vpn ipsec + pptp + l2tp
Envoyé par:
azer
Ben d'après ce que j'ai compris, le client vpn intégré à windows
utilise soit ppp ou soit l2tp. Dans mon cas je voudrai utiliser l2tp.
Si je n'utilise pas ces protocoles ou que je passe avec une conf
pre-shared-key pour chaque personne, alors je serai obligé d'installer
sur chacun des ordinateur une application cliente VPN, ce que je ne
désire pas. Il faut que ca reste le plus simple possible pour les
utilisateurs qui installeront eux-même leur connexion.
Si vous avez un moyen de le faire sans l2tp et ppp, je suis preneur lol
- azer -
utilise soit ppp ou soit l2tp. Dans mon cas je voudrai utiliser l2tp.
Si je n'utilise pas ces protocoles ou que je passe avec une conf
pre-shared-key pour chaque personne, alors je serai obligé d'installer
sur chacun des ordinateur une application cliente VPN, ce que je ne
désire pas. Il faut que ca reste le plus simple possible pour les
utilisateurs qui installeront eux-même leur connexion.
Si vous avez un moyen de le faire sans l2tp et ppp, je suis preneur lol
- azer -
Poste le Wednesday 25 October 2006 07:19:30
Re: vpn ipsec + pptp + l2tp
Envoyé par:
chromosome
En fait ce n'est pas ppp mais pptp.
Sinon effectivement tu as le choix sous Windows entre pptp et l2tp. Le probleme est que l2tp est Microsoft, et necessite un certificat. pptp peux tres bien se faire avec un simple login/password (et donc sans ipsec)
J'ai rencontre d'enorme probleme pour deployer les certificats sur les machines Windows, ils voulaient toujours un certif genere par un Windows CA Server, ce que je ne voulais pas.
Dons pour des raisons de facilites et de deploiement compatible, j'ai opte pour pptp en mppe 128 pour l'encryption et Ms-Chap pour l'autentification (via Radius), car les tunnels ipsec (en standard) ne supporte pas le NAT (du moins dans le standard du protocole et en son temps avec FreeSwan, maintenant la nouvelle version a peut-etre fait des adaptations pour ca, mais alors ils ont du quitter le standard). Cas qui arrive une fois sur deux, contrairement a GRE.
Sinon effectivement tu as le choix sous Windows entre pptp et l2tp. Le probleme est que l2tp est Microsoft, et necessite un certificat. pptp peux tres bien se faire avec un simple login/password (et donc sans ipsec)
J'ai rencontre d'enorme probleme pour deployer les certificats sur les machines Windows, ils voulaient toujours un certif genere par un Windows CA Server, ce que je ne voulais pas.
Dons pour des raisons de facilites et de deploiement compatible, j'ai opte pour pptp en mppe 128 pour l'encryption et Ms-Chap pour l'autentification (via Radius), car les tunnels ipsec (en standard) ne supporte pas le NAT (du moins dans le standard du protocole et en son temps avec FreeSwan, maintenant la nouvelle version a peut-etre fait des adaptations pour ca, mais alors ils ont du quitter le standard). Cas qui arrive une fois sur deux, contrairement a GRE.
Poste le Wednesday 25 October 2006 20:17:19
Ce forum !
vpn ipsec + pptp + l2tp
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons