PPTP : erreur 619
-
Bonjour,
Voici ma configuration actuelle :
LAN1 –- pfsense1 --- Freebox --- WAN ---Box Oléane --- Routeur --- LAN2
Les utilisateurs du LAN 1 se connectent en PPTP sur pfsense 1 sans problème.
Je veux remplacer le Routeur derrière la Box Oléane par un Pfsense afin de monter un lien VPN permanent.
J'ai donc mis en place le réseau suivant :
LAN1 –- pfsense1 --- Freebox --- WAN ---Box Oléane --- Pfsense 2 --- LAN2
Précision : la box Oléane ne peut pas être configurée en pont dont mon IP Wan sur 2 est 192.168.1.254 et son IP Lan est 192.168.2.254.
Problème, dans le seconde configuration le premier utilisateur qui lance une connexion PPTP fonctionne, les suivants ont une erreur Erreur 619. L'utilisateur lance la connexion, il arrive à l'étape de la vérfication du nom d'utilisateur et du mot de passe et là message d'erreur….
La connexion se fait donc bien mais j'ai l'impression que c'est l'acceptation de la connexion qui ne se fait pas. Bizarre, non?
Nusa
-
Bon,
j'ai peur d'avoir trouvé :
PPTP and GRE Limitation - The state tracking code in pf for the GRE protocol can only track a single session per public IP per external server. This means if you use PPTP VPN connections, only one internal machine can connect simultaneously to a PPTP server on the Internet. A thousand machines can connect simultaneously to a thousand different PPTP servers, but only one simultaneously to a single server. The only available work around is to use multiple public IPs on your firewall, one per client, or to use multiple public IPs on the external PPTP server. This is not a problem with other types of VPN connections. A solution for this is currently under development.
Est-ce que quelqu'un pourrait me confirmer cette limitation?
Nusa
-
Un tunnel PPTP ? Quel vieux moyen d'accès à un réseau au travers d'internet ! (Depuis W2K3 et peut-être W2K, Microsoft préconise L2TP !)
A partir du moment où il y a de part et d'autre un routeur/firewall avec des capacités à monter un tunnel, il est bien meilleur que l'accès soit réalisé par ces seules machines.
Il ne devrait pas être très difficile de mettre en place un tunnel en OpenVPN (puisque Ipsec derrière une Livebox n'est pas possible).
Enfin, la doc sur le site pfsense est précise, et cela se fait très vite grâce à elle ! -
@jdh:
Un tunnel PPTP ? Quel vieux moyen d'accès à un réseau au travers d'internet ! (Depuis W2K3 et peut-être W2K, Microsoft préconise L2TP !)
Si tout était parfait, les informaticiens n'aurait plus de travail et je n'ai pas encore le luxe de choisir mes clients ;D
@jdh:
A partir du moment où il y a de part et d'autre un routeur/firewall avec des capacités à monter un tunnel, il est bien meilleur que l'accès soit réalisé par ces seules machines.
Tout à fait d'accord, c'est que je m'efforce de faire en douceur pour les utilisateurs.
@jdh:
Il ne devrait pas être très difficile de mettre en place un tunnel en OpenVPN (puisque Ipsec derrière une Livebox n'est pas possible).
Enfin, la doc sur le site pfsense est précise, et cela se fait très vite grâce à elle !OpenVPN derrière une Livebox, donc avec une adresse IPWAN sur PF en 192.168.1.X ça le fait?
Nusa
-
jdh : Un tunnel PPTP ? Quel vieux moyen d'accès à un réseau au travers d'internet ! (Depuis W2K3 et peut-être W2K, Microsoft préconise L2TP !)
nusa : Si tout était parfait, les informaticiens n'aurait plus de travail et je n'ai pas encore le luxe de choisir mes clients ;DJe ne vois pas le rapport ! On a droit aussi d'être conseil (c'est une obligation) et de rappeler ce qui nous semble plus sûr.
PPTP est à bannir : il n'est pas sûr qu'il soit possible de passer 2 tunnels PPTP simultanés au travers d'un firewall !
Perso, je considère que PPTP peut être utilisable "faute de grives" et encore pour vpn "de maintenance" !
Je confirme : les rfc ou drafts de L2TP datent de 1999. Il est temps de passer à d'autres protocoles !jdh: Il ne devrait pas être très difficile de mettre en place un tunnel en OpenVPN (puisque Ipsec derrière une Livebox n'est pas possible).
Enfin, la doc sur le site pfsense est précise, et cela se fait très vite grâce à elle !
nusa: OpenVPN derrière une Livebox, donc avec une adresse IPWAN sur PF en 192.168.1.X ça le fait?=> Il est clair que, s'il y a une livebox devant un pfSense,
- l'adresse ip cible (de chaque côté) doit être l'adresse ip publique de l'autre extrémité,
- la livebox devra renvoyer le flux (udp/1194, ou autre, éviter tcp !) vers le pfSense,
- il m'a semblé lire qu'il n'est pas possible, en 1.2.2 ou 1.2.3, que les 2 extrémités soient en ip dynamique.
(Je l'ai réalisé entre une ip dynamique/Livebox et une ip fixe/wan pppoe. Ainsi qu'entre une ip dynamique/sfr-neufbox et une ip fixe/wan statique. Sans problème, et les 2 fois avec certificats, même si cela prend plus de 5')
-
@jdh:
Je ne vois pas le rapport ! On a droit aussi d'être conseil (c'est une obligation) et de rappeler ce qui nous semble plus sûr.
C'est chose faite pour le conseil, mais avant de tout casser, je préfère y aller étape par étape : remplacement du roteur existant puis rélaisation d'une liaison VPN site à site.
@jdh:
PPTP est à bannir : il n'est pas sûr qu'il soit possible de passer 2 tunnels PPTP simultanés au travers d'un firewall !
Chez mon client, c'est possible au travers d'une box SDSL de Oléane.
@jdh:
=> Il est clair que, s'il y a une livebox devant un pfSense,
- l'adresse ip cible (de chaque côté) doit être l'adresse ip publique de l'autre extrémité,
- la livebox devra renvoyer le flux (udp/1194, ou autre, éviter tcp !) vers le pfSense,
- il m'a semblé lire qu'il n'est pas possible, en 1.2.2 ou 1.2.3, que les 2 extrémités soient en ip dynamique.
(Je l'ai réalisé entre une ip dynamique/Livebox et une ip fixe/wan pppoe. Ainsi qu'entre une ip dynamique/sfr-neufbox et une ip fixe/wan statique. Sans problème, et les 2 fois avec certificats, même si cela prend plus de 5')
Merci pour ce retour d'expérience car pour l'instant je me suis cassé les dents sur le VPN site à site via IPsec. Je vais donc explorer la solution avec OpenVPN. Le problème dans mon cas est que l'IP WAN arrive sur la box de Oléane et que mon IP WAN sur le PF est en 192.168.1.X. D'après FT, tout ce qui arrive sur l'adresse IP WAN est automatiquement transféré sur mon IP 192.168.1.X de façon transparente, c'est un pont à la Oléane…
Merci encore pour ton retour, je reviendrais pour vous tenir informé de la suite.
Nusa