Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3244 connectés 

  FORUM HardWare.fr
  Windows & Software

  vpn et adresse ip

 
 


Dernière réponse
Sujet : vpn et adresse ip
Bybeu "et d'activer dans le registre du serveur la désactivation des comptes en cas d'échec d'authentification (la stratégie de sécurité du domaine ne concerne pas les connexions RAS)"
 
...ça je ne suis pas sûr que ça soit toujours d'actualité dans 2003, mais ça permet de spécifier des paramètres de verrouillage de comptes différents (plus restrictifs) des généraux (qui par défaut régissent tant les connexions LAN que RAS en l'absence des clefs de registre spéciales pour RAS).... pffff va encore falloir que j'explore les stratégies de sécurité pour voir si c'est pas déjà prévu en GUI plutôt qu'en regedit.
 
Tu pourrais être plus précis sur ta résolution pour aider d'autres tâcherons de l'info?
 
 

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Bybeu "et d'activer dans le registre du serveur la désactivation des comptes en cas d'échec d'authentification (la stratégie de sécurité du domaine ne concerne pas les connexions RAS)"
 
...ça je ne suis pas sûr que ça soit toujours d'actualité dans 2003, mais ça permet de spécifier des paramètres de verrouillage de comptes différents (plus restrictifs) des généraux (qui par défaut régissent tant les connexions LAN que RAS en l'absence des clefs de registre spéciales pour RAS).... pffff va encore falloir que j'explore les stratégies de sécurité pour voir si c'est pas déjà prévu en GUI plutôt qu'en regedit.
 
Tu pourrais être plus précis sur ta résolution pour aider d'autres tâcherons de l'info?
 
 
come18 ca marche pour moi!!!!
c'etait un probleme de redirection de ports sur le routeur...
merci a tous en tout cas! :)
Bybeu N'oublie pas d'interdire à "Administrateur" le droit d'accès distant (changer le nom me semble insuffisant), d'avoir deux ou trois comptes dans le groupe admins du domaine) et d'activer dans le registre du serveur la désactivation des comptes en cas d'échec d'authentification (la stratégie de sécurité du domaine ne concerne pas les connexions RAS)
Bybeu C'est peut être risqué...il te faudrait alors une deuxième carte réseau (sauf si on peut mettre deux adresses sur la même carte, ça je sais pas, une publique et une privée, et puis batailler avec les règles de filtrage du VPN)...ou un deuxième serveur avec modem ADSL configuré en "bastion Internet" (l'expression est de MS je crois) dans une DMZ ou directement sur le net. Ton serveur qui fait tout, je connais ça, je suis dans ce cas, mais je craindrais un max de le mettre direct sur le Net (je suis pas assez fort en routage et autres filtrages IP): imagine, ne serait-ce qu'autoriser tout le traffic au niveau de ton parefeu !!!! Ça doit être faisable avec les filtres IP tant des connexions MS que du VPN...mais bon, à voir. De toute façon, la cointe que j'indiquais au sujet de SP2 ne vaut que pour L2TP/IPSec et est dûe au fait que les gürüs réseau ont détecté une faille de sécurité dans cette configuration (VPN derrière le NAT) où des erreurs d'"association de sécurité" (je répète connement sans comprendre, j'en suis pas encore arrivé là) pourraient se produire (lors de connexions simultannées, je crois).
 
Ça marche ou pas ..au fait?
zupstyle ça serait pas plus simple de virer la fonction par feu du routeur matériel et de tout gérer sous win serv2003, je dis ça car actuellement j'ai un win serv2003 qui me sert pratiquement tous les services
mais je suis dans l'optique de virer mon routeur matériel pour fait tourner mon serv en serveur RRAS, ca éviterai plein de pb notamment de configurer et logiciellement et au niveau du routeur matériel
nan ?
Bybeu dans les filtres d'entrée du routeur, tu dois aussi ajouter une autorisation pour le protocole 47 (GRE) pour PPTP
 
 
..... et 50 pour L2TP/IPSec (si tu réussis à faire marcher ça, ça m'intéresse), ainsi que 500 UDP et 4500 UDP dans le NAT (tes virtual servers, je crois) mais ton routeur le supporte-t-il???? en plus depuis XP SP2, il y a un blème: il faut traffiquer le registre client pour l'autoriser à attaquer des serveurs VPN MS qui sont derrière un parefeu (rien à faire du côté serveur..... à part s'arracher les poils du cul au microscope pour monter une PKI....mais c'est peut-être pas indispensable si les clients font partie du domaine. Si c'est pour des clients hors domaine, il te faut, d'après mes recherches et essais, une PKI non pas d'"Entreprise", mais "Autonome"...voir l'aide des "Services de Certificats" )
come18 erreur 678 pas de reponse du serveur
Bybeu quel est le message d'erreur au niveau client
come18 ok il est 2003,
mais je pense que c est plutot un probleme de redirection de port etant donné que la connexion vpn marche tres bien en local...
comment peut on verifier que les paquets envoyés sur l'adresse ip publique sont bien renvoyés vers l'adresse locale du serveur a l'interieur du reseau?
Bybeu Sur un DC ou une machine équipée de l'adminpack.msi (dispo dans le CD 2003 ou le SP1 décompressé), Outils d'admin, Utilisateurs et Ordinateurs AD, Propriétés du Domaine, Augmenter le niveau fonctionnel du domaine (irréversible).
come18 désolé de poser cette question mais je ne suis pas un pro (tu avais du remarquer) :) :
Comment on sait si le domaine est du 2000 ou 2003 natif?
Bybeu C'est à dire que dans leur profil individuel, tu as autorisation définie "Suivant stratégies", qu'ils sont membres d'un groupe de sécurité, et que dans la stratégie, tu as autorisé l'accès uniquement à ce groupe?
Ton domaine c'est du 2000 ou 2003 natif? impératif pour gérer l'accès via stratégies d'accès distant.
come18 je gere les droits avec une strategie d'acces distant, je définis les utilisateurs qui ont le droit de se connecter
Bybeu Et les droits? Par où tu gères?
come18 heu je sais pas si ca peut aider mais dans windows server2003, dans routage et acces distants, j'ai le nom de mon server avec ecrit (local) à coté...
come18 client VPN: windows2000  
pptp
 
MSCHAP v2 sur le client mais je sais pas trop comment on specifie MPPE 128 bits et pour ce qui est du server je crois bien avoir spécifié MSCHAP v2 + MPPE 128 bits :)
Bybeu Client VPN XP?
PPTP?
Si oui, je te conseille MSCHAP v2 + MPPE 128 bits exclusivement et des deux côtés
Pour L2TP/IPSec j'ai pas de conseil
Bybeu Tu attaques par l'adresse IP publique?
Ton serveur 2003 est en domaine?
Les droits d'accès "Appel entrant" sont définis au niveau User et/ou Stratégies d'accès distant?
EDIT: Si oui aux 2 points ci-dessus je te conseille de ne pas accorder à "Administrateur" le droit d'appel.
Tu utilises Radius ou pas pour l'authentification?
come18 heu, pas trop... Il n'arrive pas a se connecter lorsque je suis en dehors du réseau.
 :(
Bybeu Ça avance?
Bybeu On a pas le cul sorti des ronces !!!! :ouch:
 
Tu maîtrises côté serveur Windows 2003? Tu as une seule ou deux cartes réseau?
come18 effectivement, je ne l'ai pas testé en dehors du reseau... Je vais faire ca pour voir...
Le Veilleur Quand tu dis ca fonctionne pas via le virtual serveur, tu as testé depuis l'extérieur de ton réseau ? Car ton routeur a certaine la protection contre l'ipspoofing qui empêche d'utiliser l'adresse wan à l'intérieur du lan.
come18 merci bybeu pour ces reponses, effectivement j'avais vu l'erreur... :)
j'ai ete configuré dans virtual servers les bons ports, mais ca marche pas non plus... malheureusement
Bybeu ET pis moi, j'aurais plutôt mis cette entrée (ton snap) dans une liste WAN-to-LAN, pas le contraire...mais je ne connais pas ce routeur
Bybeu C'est dans NAT settings* que tu dois rediriger 1723TCP de l'extérieur vers 192.168.1.147 (si 147 est bien l'adresse de ton serveur VPN)
*peut-être page Virtual Servers"
come18 Zut ca ne marche toujours pas...
est ce que cette configuration de routeur est bien la bonne ?
 
 
http://gudepercin.free.fr/routeur.jpg
come18 ok je suis en train de regarder ca :)
Le Veilleur

come18 a écrit :

merci baf -flop :) mais si on a desactivé le firewall du routeur ca devrait pas marcher tout seul?


Il fait laisser passer le port, mais aussi le router vers le serveur vpn. Donc si tu coupes juste le firewall, mais que tu ne fais pas de routage, ca ne servira à rien.
come18 merci baf -flop :) mais si on a desactivé le firewall du routeur ca devrait pas marcher tout seul?
Bybeu Le flux VPN, en PPTP c'est GRE (protocol ID 47)
Bybeu là : http://forum.hardware.fr/hardwaref [...] 6620-1.htm
BaF - FlOp non, pas vu la question...
l'est où ?
Bybeu Baf - flop, tu as l'ai de t'y connaître. Tu as vu ma question "Ping farceur"?
BaF - FlOp normal, va falloir configurer le routeur, autoriser le flux vpn à travers le firewall, rediriger les ports vers ton serveur vpn :)
edit : port TCP 1723
come18 merci bybeu mais si je fais ca il ne se connecte pas et me dis  " erreur 678 Il n'yavait pas de reponse"
Bybeu Tape l'adresse ip publique de ton routeur
Rien compris
come18 Bonjour à tous, j'ai configuré une liaison vpn entre un server (windows server 2003) et un pc (windows 2000),
cela fonctionne tres bien sauf que je suis en local et que l'adresse que je rentre pour ma connection vpn est 192.168.0.XXX soit donc une adresse en local... Comment faire pour que la connexion puisse se faire via internet..
merci beaucoup :)

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)