Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Perte de connexion Internet en VPN PPTP

    Scheduled Pinned Locked Moved Français
    17 Posts 4 Posters 8.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jagd
      last edited by

      Bonsoir,
      J'ai un soucis en VPN PPTP.
      En effet, lorsque je me connecte (avec succès) à mon VPN en PPTP, je perds la connexion Internet sur mon poste client.
      J'ai trouvé une manip pour avoir accès à internet en passant par l'Internet du PC Client, mais pour un soucis de SMTP Orange sur une clé 3G SFR j'aurais besoin de passer par la connexion Internet de mon entreprise.

      Je suis sous 2.0.2-RELEASE (amd64), je n'ai rien trouvé qui me permettent de faire passer le poste client par la connexion Internet de mon entreprise. :-\

      A votre dispo pour plus de précisions.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        En se connectant avec un vpn OpenVpn, on garde l'accès à Internet depuis le poste distant !

        Je note que la version 2.0.2 annonce clairement qu'il ne faut plus utiliser PPTP.
        (Ce qu'on écrit ici depuis plusieurs années …)
        Il est temps de choisir OpenVpn pour remplacer le peu sûr PPTP ...

        NB :si on explore les réglages de pptp côté client, on peut quand même y arriver ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • J
          jagd
          last edited by

          @jdh:

          Je note que la version 2.0.2 annonce clairement qu'il ne faut plus utiliser PPTP.
          (Ce qu'on écrit ici depuis plusieurs années …)
          Il est temps de choisir OpenVpn pour remplacer le peu sûr PPTP ...

          J'ai lu ceci, mais pour le moment pas le choix, je dois utiliser ça… On va voir pour migrer plus tard.

          @jdh:

          NB :si on explore les réglages de pptp côté client, on peut quand même y arriver …

          Comme mis dans mon message, j'ai réussi en décochant "Utiliser la passerelle par défaut pour le réseau distant" mais du coup je passe par la clé 3G SFR et le SMTP orange est donc bloqué. :'( Ce que je souhaite c'est faire sortir la connexion par l'Internet du Bureau lorsque la personne est en VPN.

          1 Reply Last reply Reply Quote 0
          • P
            psylo
            last edited by

            @jagd:

            […]

            Comme mis dans mon message, j'ai réussi en décochant "Utiliser la passerelle par défaut pour le réseau distant" mais du coup je passe par la clé 3G SFR et le SMTP orange est donc bloqué. :'( Ce que je souhaite c'est faire sortir la connexion par l'Internet du Bureau lorsque la personne est en VPN.

            Donc, si je comprends bien, votre poste client a une clé 3G et une autre connexion internet (via wifi ou câble). Et vous voulez monter le PPTP via la clé 3G tout en accèdant à internet via l'autre connexion internet.

            Si ce n'est pas le cas, réexpliquez-vous.

            Si c'est bien le cas, comme on dit chez moi: "Milliards!!!! Quelle complication!!!!". Là, vous devez voir au niveau du routage de Windows. En effet, il y a des priorités dans les interfaces réseau pour Windows: la plus prioritaire se verra attribué le métrique le plus bas pour sa passerelle par défaut. Donc, vous devez faire en sorte de:

            • Configurer le windows pour que la clé 3G ait une moins grande priorité que les autres interfaces

            • Ajouter une route dans votre windows qui utilisera la clé 3G pour la connexion PPTP

            • Décocher l'option "Utiliser la passerelle par défaut pour le réseau distant"

            Et là, normalement, si le vent souffle dans le bon sens, que le capitaine n'est pas trop âgé et que la conjecture le permet, ça devrait fonctionner.

            Mais honnêtement, vous vous compliquez bien la vie…

            My 2 cents.

            1 Reply Last reply Reply Quote 0
            • J
              jagd
              last edited by

              @psylo:

              @jagd:

              […]

              Comme mis dans mon message, j'ai réussi en décochant "Utiliser la passerelle par défaut pour le réseau distant" mais du coup je passe par la clé 3G SFR et le SMTP orange est donc bloqué. :'( Ce que je souhaite c'est faire sortir la connexion par l'Internet du Bureau lorsque la personne est en VPN.

              Donc, si je comprends bien, votre poste client a une clé 3G et une autre connexion internet (via wifi ou câble). Et vous voulez monter le PPTP via la clé 3G tout en accèdant à internet via l'autre connexion internet.

              Si ce n'est pas le cas, réexpliquez-vous.

              Ce n'est en effet pas le cas, je ne suis pas maso à ce point. ;D
              Je ré-explique.
              L'utilisateur (de base) possède une clé 3G pour se connecter lorsqu'il n'y a ni wifi ni connexion filaire.
              Lorsqu'elle est connecté avec sa clé 3G SFR elle ne peut pas envoyer de mail car SFR bloque le SMTP Orange, j'ai tout essayé (smtpauth, différents port 587 et autres) rien n'y fait. Avec ma Clé Bouyuges ca passe tout seul.
              L'utilisateur est incapable de modifier son SMTP à chaque fois…
              La parade que j'avais trouvé c'est de la faire se connecter en VPN (puisqu'elle utilise en même temps d'autres applis) et de la faire donc sortir par la connexion internet du siège ou se situe le serveur VPN qui dispose d'une ligne Orange. Plus de soucis d'envoi de mails.
              Depuis la dernière versions de Pfsense, la connexion internet est bloquée semble-il et je n'arrive pas à la faire sortir par le siège.

              C'est plus clair ?

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                Rappelons une fois encore qu'il ne faut pas utiliser pptp.
                Sur le plan cryptographique pptp utiliser un algorithme défectueux (RC4) qui est "cassé" depuis longtemps. Sa résistance est de quelques minutes.
                L'implémentation de pptp par Microsoft est de plus défectueuse. Enfin comme vous le voyez son intégration réseau n'est pas idéal.
                Utiliser la connexion internet du pc durant une connexion vpn au réseau de l'entreprise est une très mauvaise idée. Ce double attachement revient à bypasser totalement le firewall de l'entreprise en ouvrant celui directement sur internet.
                A la lumière de ces éléments il n'y a que deux attitudes raisonnables. La première consiste à le pas utiliser de vpn pptp ou rien c'est pratiquement la même chose. La seconde consiste à utiliser Openvpn par ailleurs remarquablement intégré à Pfsense V2 pourvu que l'on ajoute "OpenVPN Client Export Utility".

                1 Reply Last reply Reply Quote 0
                • J
                  jagd
                  last edited by

                  J'entends bien ce que vous me dites, je l'ai déjà lu 10 fois.
                  Ceci dit, on ne peut pas toujours faire ce que l'on veut et aussi facilement et rapidement que l'on veut, je ne peux pas dans l'état actuel des choses faire ceci en un claquement de doigts.
                  Je vais étudier la migration de PPTP vers OPENVPN mais de toutes façon ça ne résoudra pas le soucis de SMTP puisque je sortirais par la clé 3G.
                  J'ai prévu de faire changer la clé pour la passer sous Orange, mais idem ça ne se fait pas en 2 clics… ::)
                  Quand à l'intégration, tout fonctionnait comme il faut avant le passage dans cette version, donc j'ai l'impression que la seule solution va être de downgrader le Pfsense, solution encore moins secure, en attendant... Dommage.
                  Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G...

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    ça ne résoudra pas le soucis de SMTP puisque je sortirais par la clé 3G.

                    Avec la solution Openvpn vous avez un contrôle relativement précis des flux et la possibilité ou d'autoriser le double attachement et de monter des routes sur le client lors de sa connexion au vpn.

                    Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G…

                    Et alors ? A partir du moment où le pc client a un double attachement réseau, des flux sont susceptibles de circuler entre la clé et votre réseau interne sans passer par le firewall de l'entreprise.

                    Rien ne se fait d'un claquement de doigts nous en sommes bien d'accord.

                    1 Reply Last reply Reply Quote 0
                    • J
                      jagd
                      last edited by

                      @ccnet:

                      Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G…

                      Et alors ? A partir du moment où le pc client a un double attachement réseau, des flux sont susceptibles de circuler entre la clé et votre réseau interne sans passer par le firewall de l'entreprise.

                      Excusez moi j'avais mal lu…

                      @ccnet:

                      Rien ne se fait d'un claquement de doigts nous en sommes bien d'accord.

                      Oui mais en attendant l'utilisateur (DG de la boite) ne peut plus envoyer de mails depuis sa clé 3G, donc je vais downgrader en attendant si je ne trouve pas d'autres solutions… Si vous bossez dans l'informatique sur le terrain, vous connaissez probablement leur niveau de patience/exigence... ::)

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Je connais parfaitement ce type de situations.
                        Du point de vue des critères DICT, l'opération de downgrade est infiniment plus risquée que l’installation d'Openvpn. Et surement pas plus longue. Les downgrade avec Pfsense … Mais c'est vous le patron !

                        1 Reply Last reply Reply Quote 0
                        • J
                          jagd
                          last edited by

                          Il s'agirait d'un BUG… http://redmine.pfsense.org/issues/1107 :-\

                          1 Reply Last reply Reply Quote 0
                          • C
                            ccnet
                            last edited by

                            Et il ne semble pas qu'il soit prévu un fix à court terme.

                            1 Reply Last reply Reply Quote 0
                            • J
                              jagd
                              last edited by

                              Non malheureusement… :-
                              Je n'ai pas encore fait de recherches exhaustives, il existe des tuto Fr. à jour pour OPENVPN ?

                              1 Reply Last reply Reply Quote 0
                              • C
                                ccnet
                                last edited by

                                http://www.osnet.eu/fr/content/pfsense-et-openvpn-pour-les-novices
                                http://www.pfsense.org/mirror.php?section=tutorials/openvpn/pfsense-ovpn.pdf
                                Ce n'est pas ce qui manque.

                                Et qui peut servir
                                http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN

                                1 Reply Last reply Reply Quote 0
                                • J
                                  jagd
                                  last edited by

                                  @ccnet:

                                  http://www.osnet.eu/fr/content/pfsense-et-openvpn-pour-les-novices
                                  http://www.pfsense.org/mirror.php?section=tutorials/openvpn/pfsense-ovpn.pdf
                                  Ce n'est pas ce qui manque.

                                  Et qui peut servir
                                  http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN

                                  J'avais trouvé, mais 2006 & 2009 c'est les dernière docs dispos ? ???

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    jdh
                                    last edited by

                                    Concernant OpenVPN et PPTP, la messe est dite … et depuis longtemps.
                                    Il n'est pas compliqué de mettre en place OpenVPN : il suffit de prendre le temps et d'être responsable !

                                    Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !

                                    Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
                                    Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
                                    En tout état de cause, cela a fonctionné pour moi.
                                    Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !

                                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                    1 Reply Last reply Reply Quote 0
                                    • J
                                      jagd
                                      last edited by

                                      @jdh:

                                      Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !

                                      J'ai pas saisi ? :-\

                                      @jdh:

                                      Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
                                      Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
                                      En tout état de cause, cela a fonctionné pour moi.
                                      Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !

                                      J'ai fait le test sans rien modifier sur le post avec ma clé Bouygues et cela fonctionne parfaitement avec et sans VPN, avec SFR ça ne marche pas avec et sans VPN.
                                      Je ferais un test, je n'ai plus le PC & la clé sous la main pour le moment.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.