Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PPTP : erreur 619

    Scheduled Pinned Locked Moved Français
    6 Posts 2 Posters 7.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      Nusa
      last edited by

      Bonjour,

      Voici ma configuration actuelle :

      LAN1 –- pfsense1 --- Freebox --- WAN ---Box Oléane --- Routeur --- LAN2

      Les utilisateurs du LAN 1 se connectent en PPTP sur pfsense 1 sans problème.

      Je veux remplacer le Routeur derrière la Box Oléane par un Pfsense afin de monter un lien VPN permanent.

      J'ai donc mis en place le réseau suivant :

      LAN1 –- pfsense1 --- Freebox --- WAN ---Box Oléane --- Pfsense 2 --- LAN2

      Précision : la box Oléane ne peut pas être configurée en pont dont mon IP Wan sur 2 est 192.168.1.254 et son IP Lan est 192.168.2.254.

      Problème, dans le seconde configuration le premier utilisateur qui lance une connexion PPTP fonctionne, les suivants ont une erreur Erreur 619. L'utilisateur lance la connexion, il arrive à l'étape de la vérfication du nom d'utilisateur et du mot de passe et là message d'erreur….

      La connexion se fait donc bien mais j'ai l'impression que c'est l'acceptation de la connexion qui ne se fait pas. Bizarre, non?

      Nusa
      PPTP-619.PNG
      PPTP-619.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • N
        Nusa
        last edited by

        Bon,

        j'ai peur d'avoir trouvé :

        PPTP and GRE Limitation - The state tracking code in pf for the GRE protocol can only track a single session per public IP per external server. This means if you use PPTP VPN connections, only one internal machine can connect simultaneously to a PPTP server on the Internet. A thousand machines can connect simultaneously to a thousand different PPTP servers, but only one simultaneously to a single server. The only available work around is to use multiple public IPs on your firewall, one per client, or to use multiple public IPs on the external PPTP server. This is not a problem with other types of VPN connections. A solution for this is currently under development.

        Est-ce que quelqu'un pourrait me confirmer cette limitation?

        Nusa

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Un tunnel PPTP ? Quel vieux moyen d'accès à un réseau au travers d'internet ! (Depuis W2K3 et peut-être W2K, Microsoft préconise L2TP !)

          A partir du moment où il y a de part et d'autre un routeur/firewall avec des capacités à monter un tunnel, il est bien meilleur que l'accès soit réalisé par ces seules machines.

          Il ne devrait pas être très difficile de mettre en place un tunnel en OpenVPN (puisque Ipsec derrière une Livebox n'est pas possible).
          Enfin, la doc sur le site pfsense est précise, et cela se fait très vite grâce à elle !

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • N
            Nusa
            last edited by

            @jdh:

            Un tunnel PPTP ? Quel vieux moyen d'accès à un réseau au travers d'internet ! (Depuis W2K3 et peut-être W2K, Microsoft préconise L2TP !)

            Si tout était parfait, les informaticiens n'aurait plus de travail et je n'ai pas encore le luxe de choisir mes clients  ;D

            @jdh:

            A partir du moment où il y a de part et d'autre un routeur/firewall avec des capacités à monter un tunnel, il est bien meilleur que l'accès soit réalisé par ces seules machines.

            Tout à fait d'accord, c'est que je m'efforce de faire en douceur pour les utilisateurs.

            @jdh:

            Il ne devrait pas être très difficile de mettre en place un tunnel en OpenVPN (puisque Ipsec derrière une Livebox n'est pas possible).
            Enfin, la doc sur le site pfsense est précise, et cela se fait très vite grâce à elle !

            OpenVPN derrière une Livebox, donc avec une adresse IPWAN sur PF en 192.168.1.X ça le fait?

            Nusa

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              jdh : Un tunnel PPTP ? Quel vieux moyen d'accès à un réseau au travers d'internet ! (Depuis W2K3 et peut-être W2K, Microsoft préconise L2TP !)
              nusa : Si tout était parfait, les informaticiens n'aurait plus de travail et je n'ai pas encore le luxe de choisir mes clients  ;D

              Je ne vois pas le rapport ! On a droit aussi d'être conseil (c'est une obligation) et de rappeler ce qui nous semble plus sûr.

              PPTP est à bannir : il n'est pas sûr qu'il soit possible de passer 2 tunnels PPTP simultanés au travers d'un firewall !
              Perso, je considère que PPTP peut être utilisable "faute de grives" et encore pour vpn "de maintenance" !
              Je confirme : les rfc ou drafts de L2TP datent de 1999. Il est temps de passer à d'autres protocoles !

              jdh: Il ne devrait pas être très difficile de mettre en place un tunnel en OpenVPN (puisque Ipsec derrière une Livebox n'est pas possible).
              Enfin, la doc sur le site pfsense est précise, et cela se fait très vite grâce à elle !
              nusa: OpenVPN derrière une Livebox, donc avec une adresse IPWAN sur PF en 192.168.1.X ça le fait?

              => Il est clair que, s'il y a une livebox devant un pfSense,

              • l'adresse ip cible (de chaque côté) doit être l'adresse ip publique de l'autre extrémité,
              • la livebox devra renvoyer le flux (udp/1194, ou autre, éviter tcp !) vers le pfSense,
              • il m'a semblé lire qu'il n'est pas possible, en 1.2.2 ou 1.2.3, que les 2 extrémités soient en ip dynamique.

              (Je l'ai réalisé entre une ip dynamique/Livebox et une ip fixe/wan pppoe. Ainsi qu'entre une ip dynamique/sfr-neufbox et une ip fixe/wan statique. Sans problème, et les 2 fois avec certificats, même si cela prend plus de 5')

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • N
                Nusa
                last edited by

                @jdh:

                Je ne vois pas le rapport ! On a droit aussi d'être conseil (c'est une obligation) et de rappeler ce qui nous semble plus sûr.

                C'est chose faite pour le conseil, mais avant de tout casser, je préfère y aller étape par étape : remplacement du roteur existant puis rélaisation d'une liaison VPN site à site.

                @jdh:

                PPTP est à bannir : il n'est pas sûr qu'il soit possible de passer 2 tunnels PPTP simultanés au travers d'un firewall !

                Chez mon client, c'est possible au travers d'une box SDSL de Oléane.

                @jdh:

                => Il est clair que, s'il y a une livebox devant un pfSense,

                • l'adresse ip cible (de chaque côté) doit être l'adresse ip publique de l'autre extrémité,
                • la livebox devra renvoyer le flux (udp/1194, ou autre, éviter tcp !) vers le pfSense,
                • il m'a semblé lire qu'il n'est pas possible, en 1.2.2 ou 1.2.3, que les 2 extrémités soient en ip dynamique.

                (Je l'ai réalisé entre une ip dynamique/Livebox et une ip fixe/wan pppoe. Ainsi qu'entre une ip dynamique/sfr-neufbox et une ip fixe/wan statique. Sans problème, et les 2 fois avec certificats, même si cela prend plus de 5')

                Merci pour ce retour d'expérience car pour l'instant je me suis cassé les dents sur le VPN site à site via IPsec. Je vais donc explorer la solution avec OpenVPN. Le problème dans mon cas est que l'IP WAN arrive sur la box de Oléane et que mon IP WAN sur le PF est en 192.168.1.X. D'après FT, tout ce qui arrive sur l'adresse IP WAN est automatiquement transféré sur mon IP 192.168.1.X de façon transparente, c'est un pont à la Oléane…

                Merci encore pour ton retour, je reviendrais pour vous tenir informé de la suite.

                Nusa

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.