ADSL-BC

[trublin]

Je cherche à monter un VPN entre

d'une part le LAN de ma boîte, qui dispose d'un ADSL Pro (routeur ssr255 dont je peux modifier la config sans problème) et d'un serveur NT4 derrière

et d'autre part des clients "roadwarrior"

Le but est de connecter les clients au domaine NT4 et d'en exploiter les ressources (shares, Exchange, ...) tout en ayant un cryptage mots de passe + données efficace.

Je me pose la question suivante :

dois-je faire :
Client --> L2TP --> Routeur ssr255 pour que les clients apparaissent comme des clients réseau "ordinaires" au serveur NT4

ou

Client --> PPTP --> PPTP passtrough au niveau du routeur --> Service RAS de NT4

Note : je suis un peu paumé avec les notions de "certificat de sécurité", etc. Si vous avez des éclaircissement là-dessus je suis preneur.

Merci d'avance

[aXs]

Pas de serveur VPN derrière une ADSL Pro. C'est marqué dans le contrat Belgacom.

[trublin]

Oh, on va pas recommencer ce débat... Quand j'ai signé pour l'ADSL Pro, l'ADSL Office n'existait pas.

Je suis sûr que les modifications unilatérales de contrat de Belgacom ne tiennent pas la route juridiquement parlant.

Je discute technique, pas commercial. Et si tu veux que je repose ma question avec "ADSL Office" je peux le faire, le problème est le même dans le cas où le client est responsable du VPN.

[badmothergoose]

je viens de mettre en oeuvre la procédure que tu décris
client--pptp--adslgo--internet--adslpro--ssr255--pptp--nt4--lan
via la simple procédure de la faq efficient, cela marche au poil.

il me semble qu'avec les ssr255 fournis par Belgacom, le l2tp n'est pas possible. il s'agit d'une option (payante) à rajouter.

maintenant si quelqu'un sait comment activer cette option, je suis preneur.

BMG

[badmothergoose]

Le 2001-12-27 15:17, aXs a écrit:
Pas de serveur VPN derrière une ADSL Pro. C'est marqué dans le contrat Belgacom.

ah bon? j'ai beau relire le contrat des abonnement pro de long en large (celui qui était encore en ligne début octobre, bien après l'avènement d'office), nulle part il n'en est fait mention. seules limitations prévues:
-vitesse up & down
-quota traffic
-management du routeur par turboline
-respect de la netiquette

il s'agit donc d'une limitation commerciale qui n'a aucune base contractuelle. franchement cette limitation du VPN aux seules "solutions" office et premium est a peine risible et ne tiendrait pas la route 2 secondes en justice. Je me doute que le sujet doit embarrasser Belgacom. Toujours pas de nouvelles de ma plainte déposée le 8/10, et ce malgré mes rappels tous les 15 jours.

c'est pour cela que j'ai décidé de passer à l'acte.

BMG, client pro pré-office

<font size=-1>[ Ce Message a été édité par: badmothergoose le 2001-12-27 16:34 ]</font>

[Xavier]

Pour ce qui est du tunel, le router ssr255 suporte'il ipsec?

Point de vue sécuritée, pptp nest pas vraiment efficace pour ce que j'en ai lus.

[trublin]

C'est bon je m'en suis sorti tout seul via PPTP.

Tout n'est pas encore OK mais les problèmes sortent du cadre de ce forum (toutefois si qqun peut m'aider concernant la résolution des noms NetBios dans le cas où le serveur WINS et le serveur PPTP sont sur la même machine, je suis preneur...)

[claude]

J'ai configuré un serveur PPTP identique avec succès. J'utilise WINS comme serveur de noms de l'entreprise et le tout sur le même serveur sans aucun soucis. Peux-tu préciser ton souccis ?

Tout ce que je peux dire, c'est qu'au niveau facilité d'installation, c'est déroutant que Belgacom fasse un tel bloquage pour deux ports à libérer et puis le client s'en occupe ! Juste une question d'argent bien évidemment. Pour ma part, je suis également dans le cas d'un client PRO pré-Office à qui il avait été juré de pouvoir faire du Homeworking sans problème (Je me rappelle également la pub 'Grace à la solution PRO, permettez à vos employés de travailler à la maison' ou qque chose du genre), mais quand le cas s'est présenté, refus catégorique sauf les ports habituels ! Bonjour le Homeworking avec du FTP !!! J'ai fait part de mon incompréhension chez Belgacom, mais bien évidemment sans résultat. Et donc, mon avis : Comme Belgacom ne respecte pas ses engagements (Nulle trace de limitations VPN dans mon contrat PRO), je suis bien évidemment obligé de me débrouiller seul. Et je pense ne pas être le seul dans le cas.

Claude.

[trublin]

100% d'accord pour le contrat pro. Pour mon problème de résolution de noms, c'est un bug de NT4, reporté chez MS :

Si l'adresse du serveur Wins est donnée par DHCP au client PPTP et que le serveur PPTP et le serveur Wins sont sur la même machine, c'est pas la bonne adresse de serveur Wins qui est donnée, mais d'office 10.0.0.2 quels que soient tes paramètres réseau (il y a visiblement un peu de code à nettoyer).

Solution : spécifier manuellement le serveur Wins dans les paramètres TCP/IP de la connection VPN.

Maintenant ça marche nickel. Un vrai bonheur.

[Eric]

Une solution simple sécurisée.

Tu mets 2 ZyWALL 10, tu as un véritable firewall agréé NCSA et du VPN quelque soit le type d'abonnement ADSL ou CABLE

Le ZyWALL 10 revient à moins de 500 €

[Xavier]

Eric, a tu lu la question ?
je te remnet la partie qui explique pourquoi pourquoi 2 zywal = betise .

et d'autre part des clients "roadwarrior"

[trublin]

Le Zywall je parie que c'est de l'IPSEC...

De fait j'ai pas encore vu de client roadwarrior IPSEC pour Windows autres que propriétaires (Cisco ???) ou en stade alpha de développement...

[Eric]

Salut Xavier,
Je répondais à la remarque de AXS "Pas de serveur VPN derrière une ADSL Pro. C'est marqué dans le contrat Belgacom".

Tu as des solutions faciles VPN qu'il ne faut pas d'office rejeter.

[Eric]

Salut Trubline

j'ai vu ce forum qui pourrait t'interesser.
http://www.astaro.org/cgi/ultimatebb.cgi?ubb=forum&f=7

Roadwarrior, c'est pas une solution Linux ??? (je n'y connais pas grand chose à roadwarrior)

[Xavier]

Le 2001-12-30 17:39, Eric a écrit:
Salut Xavier,
Je répondais à la remarque de AXS "Pas de serveur VPN derrière une ADSL Pro. C'est marqué dans le contrat Belgacom".

D'autre l'on fait, et a mon avis d'une facon plus... apropriée (ipsec ne marche pas derriere un router qui fait du masquagee d'IP!, checksum de paquets oblige et les limitation de l'abonement pro... en supositoires)

Tu as des solutions faciles VPN qu'il ne faut pas d'office rejeter.

Je n'ai pas rejete le PPTP de trublin,...Je pense meme qu'il ny a pas grand chose d'autres, Je me suis donc abstenu de proposer des conneries ! Mais PPTP n'a pas la réputation d'etre tres "sécure", il faut juste le savoir, et puis apres chacun décide!

Le "roadwarrior" signifie que le client peut avoir n'importe quoi comme conexion. Et souvent, c'est un portable avec modem dedans...Je le vois mal rajouter sont Zywall (d'autant plus que ipsec s'acomode tres mal d'ip dynamique). Et de l'autre coter, ipsec ne pourrait etre implémenter que sur le router belgacom, derriere, c'est des addresse masquée et donc c'est foutu. Ou alors, il faut jeter le router belgacom et installer Zywall + modem adsl... Bref, Eric, apprend un peu a lire ce qui se trouve derriere les beaus mots des prospectus de pub!

[Eric]

Xavier, tu affirmes beaucoup de choses sans rien connaitre à un produit.
De plus tu le critiques à tout va sans rien y connaitre.

Tu sais faire du VPN avec 2 ZyWALL 10 et avec une adresse ip dynamique. (le zywall supporte en hardware le dyndns donc...)
C'est actuellement de l'Ipsec chez ZyXEL.
Cela fonctionne très correctement.

[Xavier]

Le 2001-12-30 18:19, Eric a écrit:
Xavier, tu affirmes beaucoup de choses sans rien connaitre à un produit.
De plus tu le critiques à tout va sans rien y connaitre.

Tu sais faire du VPN avec 2 ZyWALL 10 et avec une adresse ip dynamique. (le zywall supporte en hardware le dyndns donc...)
C'est actuellement de l'Ipsec chez ZyXEL.
Cela fonctionne très correctement.

Mais oui, Dyndns = solution miracle... Et Zywall aussi... Et j'y commait rien,...

T'a gagner...

PS: si qq peu lui expliquer ce qu'est ipsec, merci!


[trublin]

j'ai vu ce forum qui pourrait t'interesser.
http://www.astaro.org/cgi/ultimatebb.cgi?ubb=forum&f=7

Merci ça a l'air intéressant.
Et c'est vrai que je me fais du mouron quand à la sécurité de PPTP

[Eric]

Alors Xavier pas le courrage d'écrire sous ton prénom.

Le 2001-12-31 10:44, ducon a écrit:
Eric, relis un peu ce que xavier a ecrit, Aucune critique de zywall, mais une explication sur la non-solution qu'il présente dans ce cas-ci.