Perte de connexion Internet en VPN PPTP



  • Bonsoir,
    J'ai un soucis en VPN PPTP.
    En effet, lorsque je me connecte (avec succès) à mon VPN en PPTP, je perds la connexion Internet sur mon poste client.
    J'ai trouvé une manip pour avoir accès à internet en passant par l'Internet du PC Client, mais pour un soucis de SMTP Orange sur une clé 3G SFR j'aurais besoin de passer par la connexion Internet de mon entreprise.

    Je suis sous 2.0.2-RELEASE (amd64), je n'ai rien trouvé qui me permettent de faire passer le poste client par la connexion Internet de mon entreprise. :-\

    A votre dispo pour plus de précisions.



  • En se connectant avec un vpn OpenVpn, on garde l'accès à Internet depuis le poste distant !

    Je note que la version 2.0.2 annonce clairement qu'il ne faut plus utiliser PPTP.
    (Ce qu'on écrit ici depuis plusieurs années …)
    Il est temps de choisir OpenVpn pour remplacer le peu sûr PPTP ...

    NB :si on explore les réglages de pptp côté client, on peut quand même y arriver ...



  • @jdh:

    Je note que la version 2.0.2 annonce clairement qu'il ne faut plus utiliser PPTP.
    (Ce qu'on écrit ici depuis plusieurs années …)
    Il est temps de choisir OpenVpn pour remplacer le peu sûr PPTP ...

    J'ai lu ceci, mais pour le moment pas le choix, je dois utiliser ça… On va voir pour migrer plus tard.

    @jdh:

    NB :si on explore les réglages de pptp côté client, on peut quand même y arriver …

    Comme mis dans mon message, j'ai réussi en décochant "Utiliser la passerelle par défaut pour le réseau distant" mais du coup je passe par la clé 3G SFR et le SMTP orange est donc bloqué. :'( Ce que je souhaite c'est faire sortir la connexion par l'Internet du Bureau lorsque la personne est en VPN.



  • @jagd:

    […]

    Comme mis dans mon message, j'ai réussi en décochant "Utiliser la passerelle par défaut pour le réseau distant" mais du coup je passe par la clé 3G SFR et le SMTP orange est donc bloqué. :'( Ce que je souhaite c'est faire sortir la connexion par l'Internet du Bureau lorsque la personne est en VPN.

    Donc, si je comprends bien, votre poste client a une clé 3G et une autre connexion internet (via wifi ou câble). Et vous voulez monter le PPTP via la clé 3G tout en accèdant à internet via l'autre connexion internet.

    Si ce n'est pas le cas, réexpliquez-vous.

    Si c'est bien le cas, comme on dit chez moi: "Milliards!!!! Quelle complication!!!!". Là, vous devez voir au niveau du routage de Windows. En effet, il y a des priorités dans les interfaces réseau pour Windows: la plus prioritaire se verra attribué le métrique le plus bas pour sa passerelle par défaut. Donc, vous devez faire en sorte de:

    • Configurer le windows pour que la clé 3G ait une moins grande priorité que les autres interfaces

    • Ajouter une route dans votre windows qui utilisera la clé 3G pour la connexion PPTP

    • Décocher l'option "Utiliser la passerelle par défaut pour le réseau distant"

    Et là, normalement, si le vent souffle dans le bon sens, que le capitaine n'est pas trop âgé et que la conjecture le permet, ça devrait fonctionner.

    Mais honnêtement, vous vous compliquez bien la vie…

    My 2 cents.



  • @psylo:

    @jagd:

    […]

    Comme mis dans mon message, j'ai réussi en décochant "Utiliser la passerelle par défaut pour le réseau distant" mais du coup je passe par la clé 3G SFR et le SMTP orange est donc bloqué. :'( Ce que je souhaite c'est faire sortir la connexion par l'Internet du Bureau lorsque la personne est en VPN.

    Donc, si je comprends bien, votre poste client a une clé 3G et une autre connexion internet (via wifi ou câble). Et vous voulez monter le PPTP via la clé 3G tout en accèdant à internet via l'autre connexion internet.

    Si ce n'est pas le cas, réexpliquez-vous.

    Ce n'est en effet pas le cas, je ne suis pas maso à ce point. ;D
    Je ré-explique.
    L'utilisateur (de base) possède une clé 3G pour se connecter lorsqu'il n'y a ni wifi ni connexion filaire.
    Lorsqu'elle est connecté avec sa clé 3G SFR elle ne peut pas envoyer de mail car SFR bloque le SMTP Orange, j'ai tout essayé (smtpauth, différents port 587 et autres) rien n'y fait. Avec ma Clé Bouyuges ca passe tout seul.
    L'utilisateur est incapable de modifier son SMTP à chaque fois…
    La parade que j'avais trouvé c'est de la faire se connecter en VPN (puisqu'elle utilise en même temps d'autres applis) et de la faire donc sortir par la connexion internet du siège ou se situe le serveur VPN qui dispose d'une ligne Orange. Plus de soucis d'envoi de mails.
    Depuis la dernière versions de Pfsense, la connexion internet est bloquée semble-il et je n'arrive pas à la faire sortir par le siège.

    C'est plus clair ?



  • Rappelons une fois encore qu'il ne faut pas utiliser pptp.
    Sur le plan cryptographique pptp utiliser un algorithme défectueux (RC4) qui est "cassé" depuis longtemps. Sa résistance est de quelques minutes.
    L'implémentation de pptp par Microsoft est de plus défectueuse. Enfin comme vous le voyez son intégration réseau n'est pas idéal.
    Utiliser la connexion internet du pc durant une connexion vpn au réseau de l'entreprise est une très mauvaise idée. Ce double attachement revient à bypasser totalement le firewall de l'entreprise en ouvrant celui directement sur internet.
    A la lumière de ces éléments il n'y a que deux attitudes raisonnables. La première consiste à le pas utiliser de vpn pptp ou rien c'est pratiquement la même chose. La seconde consiste à utiliser Openvpn par ailleurs remarquablement intégré à Pfsense V2 pourvu que l'on ajoute "OpenVPN Client Export Utility".



  • J'entends bien ce que vous me dites, je l'ai déjà lu 10 fois.
    Ceci dit, on ne peut pas toujours faire ce que l'on veut et aussi facilement et rapidement que l'on veut, je ne peux pas dans l'état actuel des choses faire ceci en un claquement de doigts.
    Je vais étudier la migration de PPTP vers OPENVPN mais de toutes façon ça ne résoudra pas le soucis de SMTP puisque je sortirais par la clé 3G.
    J'ai prévu de faire changer la clé pour la passer sous Orange, mais idem ça ne se fait pas en 2 clics… ::)
    Quand à l'intégration, tout fonctionnait comme il faut avant le passage dans cette version, donc j'ai l'impression que la seule solution va être de downgrader le Pfsense, solution encore moins secure, en attendant... Dommage.
    Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G...



  • ça ne résoudra pas le soucis de SMTP puisque je sortirais par la clé 3G.

    Avec la solution Openvpn vous avez un contrôle relativement précis des flux et la possibilité ou d'autoriser le double attachement et de monter des routes sur le client lors de sa connexion au vpn.

    Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G…

    Et alors ? A partir du moment où le pc client a un double attachement réseau, des flux sont susceptibles de circuler entre la clé et votre réseau interne sans passer par le firewall de l'entreprise.

    Rien ne se fait d'un claquement de doigts nous en sommes bien d'accord.



  • @ccnet:

    Quand à Bypasser le FW, il n'en est pas question ici dans la mesure ou nous parlons d'une clé 3G…

    Et alors ? A partir du moment où le pc client a un double attachement réseau, des flux sont susceptibles de circuler entre la clé et votre réseau interne sans passer par le firewall de l'entreprise.

    Excusez moi j'avais mal lu…

    @ccnet:

    Rien ne se fait d'un claquement de doigts nous en sommes bien d'accord.

    Oui mais en attendant l'utilisateur (DG de la boite) ne peut plus envoyer de mails depuis sa clé 3G, donc je vais downgrader en attendant si je ne trouve pas d'autres solutions… Si vous bossez dans l'informatique sur le terrain, vous connaissez probablement leur niveau de patience/exigence... ::)



  • Je connais parfaitement ce type de situations.
    Du point de vue des critères DICT, l'opération de downgrade est infiniment plus risquée que l’installation d'Openvpn. Et surement pas plus longue. Les downgrade avec Pfsense … Mais c'est vous le patron !



  • Il s'agirait d'un BUG… http://redmine.pfsense.org/issues/1107 :-\



  • Et il ne semble pas qu'il soit prévu un fix à court terme.



  • Non malheureusement… :-
    Je n'ai pas encore fait de recherches exhaustives, il existe des tuto Fr. à jour pour OPENVPN ?







  • Concernant OpenVPN et PPTP, la messe est dite … et depuis longtemps.
    Il n'est pas compliqué de mettre en place OpenVPN : il suffit de prendre le temps et d'être responsable !

    Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !

    Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
    Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
    En tout état de cause, cela a fonctionné pour moi.
    Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !



  • @jdh:

    Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !

    J'ai pas saisi ? :-\

    @jdh:

    Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
    Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
    En tout état de cause, cela a fonctionné pour moi.
    Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !

    J'ai fait le test sans rien modifier sur le post avec ma clé Bouygues et cela fonctionne parfaitement avec et sans VPN, avec SFR ça ne marche pas avec et sans VPN.
    Je ferais un test, je n'ai plus le PC & la clé sous la main pour le moment.


Log in to reply