[kouze]

Bonjour le monde,

est-il possible de foutre au cul de la CI-Box un serveur VPN (PPTP donc port TCP qui va bien, mais aussi protocole GRE 47, et c'est lui qui fait le plus chier) et garder la VOIP ?

La box, a priori, ne permet pas de faire du forward au niveau protocolaire. Donc la seule facon de foutre un serveur VPN derriere la CI-Box est pour moi de mettre la machine en DMZ. MAIS, MAIS si je fais ça je pense que je perds la VOIP, chose que je veux garder.

Alors y-a-t-il une solution que j'ai loupé ?

Pfff cette box me soule, elle NAT que dans son sous-réseau, et là visiblement elle me *ù^$* sur la DMZ et la VOIP... c'est quoi cette box sans blague...

Merci d'avance quand même, l'espoir fait vivre !

[Neo_t3]

Il est tout a fait possible de mettre un serveur VPN derriere la box, il te suffira de faire du NAT, en redirigeant le port 1723 TCP vers l'IP local de ton serveur.

J'ai un VPN IPCop (Zerina) derriere ma box et aucun souci.
_________________
Offre de Club Internet : 10Mo + voIP.
Modem/routeur : Club.box
Debit : 3776/672 kbps
NRA : ARP91
Passage en NRA-HD : TTN91 ?

[kouze]

relis bien mon poste, je parle de vpn avec pptp.
faire un vpn via openvpn ou ssltunnel je sais faire aussi, ça ne demande que du TCP/UDP. Hors pptp demande le protocole GRE, que je ne sais pas forwarder avec la CI-Box

[Dumboton]

A priori la ci.box sait gérer du GRE

/lib/modules/2.6.8.1/kernel/net/ipv4/netfilter:
broadcom ip_nat_gre.ko ipt_REDIRECT.ko
ip_conntrack.ko ip_nat_h323.ko ipt_TCPMSS.ko
ip_conntrack_ftp.ko ip_nat_irc.ko ipt_limit.ko
ip_conntrack_gre.ko ip_nat_pptp.ko ipt_mark.ko
ip_conntrack_h323.ko ip_nat_tftp.ko ipt_state.ko
ip_conntrack_irc.ko ip_tables.ko iptable_filter.ko
ip_conntrack_pptp.ko ipt_LOG.ko iptable_mangle.ko
ip_conntrack_tftp.ko ipt_MARK.ko iptable_nat.ko
ip_nat_ftp.ko ipt_MASQUERADE.ko

tu peux tenter de définir les règles sous CLI avec la commande iptables

iptables --help
iptables v1.2.11

Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)

Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.

tu verras si cela fonctionne...mais ce ne sera pas sauvegardable
_________________

CI c'était des hommes, un service et de la qualité

[kouze]

je n'arrive pas à le faire fonctionner...
je me demande si elle gère le protocole GRE dans le sens ou je veux, c'est à dire de l'extérieur vers le LAN.
Si quelqu'un l'a déjà fait, je veux bien de l'aide, sinon je vais devoir utiliser une solution qui n'utilise pas pptp

[Dumboton]

http://forum.hardware.fr/hfr/OSAlternatifs/reseaux-securite/configuration-iptables-foward-sujet_60679_1.htm

.....
J'ai fowardé le port 1723 et le protocol 47 pour pouvoir me connecter sur mon serveur VPN

voici la config que j'utilise pour iptables :
INET_IP = my internet address of my gateway

$IPTABLES -A PREROUTING -t nat -p gre -d $INET_IP -j DNAT --to-destination $VPNSERVER
$IPTABLES -A PREROUTING -t nat -p tcp --dport 1723 -d $INET_IP -j DNAT --to-destination $VPNSERVER

Lorsque j'essaie de me connecter avec un client vpn à la fois cela fonctionne parfaitement.
...


Les modules ip_conntrack_pptp and ip_nat_pptp sont presents dans la CI.Box
_________________

CI c'était des hommes, un service et de la qualité

[monsieurben]

[mattmatt73]

[nnouveau]

on imagine le plaisir qu'il a de le faire..
_________________
Chez CI depuis 1999..

Migré automatiquement depuis le 19 Juin 2009.

Un souci suite à la migration automatique.. lisez donc les 3 SOLUTIONS APRES MIGRATION AUTOMATIQUE, cliquez
ICI

[kouze]

bon...
j'ai fait au plus simple et j'ai utilisé un vpn qui ne s'appuye PAS sur pptp. Vive le vpn via OpenSSL

Et pour répondre à monsieurben, oui je lui demande bcp à la ptite boite, et j'ai conscience que mon utilisation est bien au delà de ce que peut demander l'utilisateur lambda... mais quand bien même, je ne demande pas la lune.

[Fufu_courageux]

Avec cette box il n'y a pas moyen de faire autrement, tous les protocoles ne sont effectivement pas gérés...
En même temps à un modem en loc à 3 euros on peut pas trop en demander, des fois rien que la connection c'est dur
_________________
Ecoutez, laissez la hotline faire son travail, dès que nous aurons de plus amples informations, croyez bien que vous en serez les premiers informés.

Ex-abonné CI
Ex-membre du service client.

Resistera encore et toujours à l'envahisseur.