Perte de connexion Internet en VPN PPTP
-
Rappelons une fois encore qu'il ne faut pas utiliser pptp.
Sur le plan cryptographique pptp utiliser un algorithme défectueux (RC4) qui est "cassé" depuis longtemps. Sa résistance est de quelques minutes.
L'implémentation de pptp par Microsoft est de plus défectueuse. Enfin comme vous le voyez son intégration réseau n'est pas idéal.
Utiliser la connexion internet du pc durant une connexion vpn au réseau de l'entreprise est une très mauvaise idée. Ce double attachement revient à bypasser totalement le firewall de l'entreprise en ouvrant celui directement sur internet.
A la lumière de ces éléments il n'y a que deux attitudes raisonnables. La première consiste à le pas utiliser de vpn pptp ou rien c'est pratiquement la même chose. La seconde consiste à utiliser Openvpn par ailleurs remarquablement intégré à Pfsense V2 pourvu que l'on ajoute "OpenVPN Client Export Utility". -
J'entends bien ce que vous me dites, je l'ai déjà lu 10 fois.
Ceci dit, on ne peut pas toujours faire ce que l'on veut et aussi facilement et rapidement que l'on veut, je ne peux pas dans l'état actuel des choses faire ceci en un claquement de doigts.
Je vais étudier la migration de PPTP vers OPENVPN mais de toutes façon ça ne résoudra pas le soucis de SMTP puisque je sortirais par la clé 3G.
J'ai prévu de faire changer la clé pour la passer sous Orange, mais idem ça ne se fait pas en 2 clics… ::)
Quand à l'intégration, tout fonctionnait comme il faut avant le passage dans cette version, donc j'ai l'impression que la seule solution va être de downgrader le Pfsense, solution encore moins secure, en attendant... Dommage.
Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G... -
ça ne résoudra pas le soucis de SMTP puisque je sortirais par la clé 3G.
Avec la solution Openvpn vous avez un contrôle relativement précis des flux et la possibilité ou d'autoriser le double attachement et de monter des routes sur le client lors de sa connexion au vpn.
Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G…
Et alors ? A partir du moment où le pc client a un double attachement réseau, des flux sont susceptibles de circuler entre la clé et votre réseau interne sans passer par le firewall de l'entreprise.
Rien ne se fait d'un claquement de doigts nous en sommes bien d'accord.
-
Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G…
Et alors ? A partir du moment où le pc client a un double attachement réseau, des flux sont susceptibles de circuler entre la clé et votre réseau interne sans passer par le firewall de l'entreprise.
Excusez moi j'avais mal lu…
Rien ne se fait d'un claquement de doigts nous en sommes bien d'accord.
Oui mais en attendant l'utilisateur (DG de la boite) ne peut plus envoyer de mails depuis sa clé 3G, donc je vais downgrader en attendant si je ne trouve pas d'autres solutions… Si vous bossez dans l'informatique sur le terrain, vous connaissez probablement leur niveau de patience/exigence... ::)
-
Je connais parfaitement ce type de situations.
Du point de vue des critères DICT, l'opération de downgrade est infiniment plus risquée que l’installation d'Openvpn. Et surement pas plus longue. Les downgrade avec Pfsense … Mais c'est vous le patron ! -
Il s'agirait d'un BUG… http://redmine.pfsense.org/issues/1107 :-\
-
Et il ne semble pas qu'il soit prévu un fix à court terme.
-
Non malheureusement… :-
Je n'ai pas encore fait de recherches exhaustives, il existe des tuto Fr. à jour pour OPENVPN ? -
http://www.osnet.eu/fr/content/pfsense-et-openvpn-pour-les-novices
http://www.pfsense.org/mirror.php?section=tutorials/openvpn/pfsense-ovpn.pdf
Ce n'est pas ce qui manque.Et qui peut servir
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN -
http://www.osnet.eu/fr/content/pfsense-et-openvpn-pour-les-novices
http://www.pfsense.org/mirror.php?section=tutorials/openvpn/pfsense-ovpn.pdf
Ce n'est pas ce qui manque.Et qui peut servir
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPNJ'avais trouvé, mais 2006 & 2009 c'est les dernière docs dispos ? ???
-
Concernant OpenVPN et PPTP, la messe est dite … et depuis longtemps.
Il n'est pas compliqué de mettre en place OpenVPN : il suffit de prendre le temps et d'être responsable !Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !
Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
En tout état de cause, cela a fonctionné pour moi.
Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 ! -
@jdh:
Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !
J'ai pas saisi ? :-\
@jdh:
Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
En tout état de cause, cela a fonctionné pour moi.
Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !J'ai fait le test sans rien modifier sur le post avec ma clé Bouygues et cela fonctionne parfaitement avec et sans VPN, avec SFR ça ne marche pas avec et sans VPN.
Je ferais un test, je n'ai plus le PC & la clé sous la main pour le moment.