Deconnexion VPN Résolu/Fermé

Question

Bonjour,

Je suis en train de configurer un reseau VPN : serveur VPN sur un Windows 2003 Server, derrière un firewall 3Com, lui-même derrière un SpeedTouch Home en IP fixe sur le Wan. Je teste avec un XP Pro Sp2. Le tunnel s'établit, serveur et client obtiennent des adresses IP, je peux pinger le serveur, je peux connecter un lecteur réseau distant, à condition d'aller vite!! En effet, après une ou deux minutes, ma connexion se plante, sans indication. Je ne peux plus naviguer sur le lecteur reseau, et évidemment plus de ping... L'état de la connexion reste "connecté"... Aucun message d'erreur. 

J'ai désactivé tout se qui démarre normalement coté client (sauf Antivir...), rien n'y fait!

Une idée serait bienvenue :-)

D'avance merci,

Jean-François

Fxbrg · Accepted Answer

Le routeur/firewall 3Com est en IP 192.168.1.254, et c'est comme ça que je le pingue quand le tunnel est activé...
donc, cette perte de ping n'est pas significative .
Nos posts se croisent : comme dit plus haut, pendant la minute, je peux pinguer l'adresse WAN et LAN du routeur, après, plus que l'adresse WAN. Ce qui voudrait dire qu'effectivement la liaison se "casse" au niveau du routeur...
en plus tu dis que tu as les mêmes adresses ip privées d'un coté et de l'autre, pas bon du tout si tu cherches à atteindre le vpn par l'adresse privée.
Pas le choix!! Le réseau distant est comme il est, de mon coté je suis chez Neuf, le firmware ne permet pas de changer l'adresse IP de la NB4...
L'adresse IP fixe de ma connexion correspond au modem, correct
non, si c'est vraiment un modem , l'adresse fixe doit -etre celle du routeur, pas du modem .
Exact, voir plus haut, autant pour moi! :-)
si c'est la négociation du cryptage qui échoue, il est ahurissant de constater que la connexion s'établirait pendant 1 minute , sur quels critères ?
Bonne question, que je te remercie de poser...
parce que TSE ne passe pas par le vpn ? attention, il ferait mieux , à moins que l'adresse ip source soit filtrée et limitée à la tienne (pas possible sur un accès itinérant) .
Non, TSE ne passe pas par le VPN.
sinon, ton firewall est-il vpn (pptp) passthrought ? sait t-il forwarder tout seul le protocole IP GRE (47) utilisé dans PPTP ou as tu la possibilité de le configurer manuellement .
3Com OfficeConnect Gateway : dans la liste des ports/protocole NAT, j'ai bien PPTP associé au port 1723 par défaut, par contre nul part je ne vois GRE (bien que je sois à grenoble, je suppose qu'il n'y a pas de relation?). Dois-je ouvrir le port 47 avec le protocole GRE (je peux le rentrer manuellement...
ne serait-il pas plus simple de terminer le vpn sur ton firewall
Ben... si je pouvais éviter :-) Je viens justement de virer un Juniper 5GT, auquel je n'avais pas accès d'une part (conflit avec la société de service) et avec lequel les utilisateurs avaient plein de souci, dont des déconnexions après quelques minutes...

Je vais tester ce port 47/GrE de ce pas, je te tiens au courant :-)

Merci (again!!)

JF

Fxbrg · Answer

Encore moi :-)

J'ai fait d'autres tests et la déconnexion se fait exactement après 1mn à la seconde près, et c'est systématique!!

Idées de plus en plus bienvenues, je sèche :-)

Merci,

JF

brupala · Answer

Salut,
pas évident, en effet .
il faudrait que tu vérifies les routes (route print ) en état OK et en état non OK .
le ping des éléments intermédiaires: routeur, modem ? si possible .
le vpn est PPTP ou bien L2TP/IPSEC ?
vérifier aussi 
aussi, voir coté firewall éventuellement, quoique, de ce coté, laisser passer 1 mn pour bloquer ensuite, serait un étonnant aveu d'inefficacité totale : gêne l'utilisation mais n'empêche pas l'intrusion : tout faux .
voir aussi par un netstat ce qui est ouvert /en attente comme connexions .
regarder aussi si les utilisateurs/groupes sont bien accordés .
le gestionnaire d'évènements devrait fournir des informations également d'un coté comme de l'autre .
enfin passer par un analyseur de traffic si ces premières investigations n'ont rien donné .

Fxbrg · Answer

Hello Brupala :-)

Le VPN est en PPTP, c'est tout du Microsoft, serveur et client. Je viens encore de vérifier les protocoles de cryptage, identique sur le serveur et le client...

J'ai un accès TSE mais manque de chance mes plages d'adresses IP sont les mêmes, du coup c'est soit VPN, soit Internet, mais pas les deux!!lol

J'ai fait un route print, mais honnêtement, je ne sais pas l'analyser... sauf qu'il reste inchangé avant et après la minute.

Par contre je peux pinger mon routeur distant, toujours pendant la (bonne) minute, puis plus rien. J'ai même ouvert son interface dans mon browser, super!! sauf que ça dure pas!!

Comme toi, je suppose que si le pare-feu devait se mettre en travers, ce serait depuis le début... J'ai désactivé celui du client, ça ne change rien!

Sur le pare-feu distant, j'ai ouvert les ports 1723 en TCP et 1721 en UDP, c'est tout. Je ne vois pas de temporisation...

Ce qui me scie, c'est cette histoire d'une minute tout rond!! En observant les propriétés de la connexion, le compteur des paquets envoyés s'incrémente à chaque demande de ping par exemple, par contre celui des paquets reçus est planté dès la minute passée...

Bizarre, non? :-)

Merci de t'intéresser à mon cas,

Cordialement,

JFB

brupala · Answer

quand tu pingue le routeur, je suppose que c'est sur son adresse wan (c'est un routeur nat , je suppose aussi) .
le routeur, c'est le firewall 3COM, on est bien d'accord ?
je soupçonne que ça soit lui qui déraille .... le speedtouch home est en simple modem ??

Fxbrg · Answer

Compléments : je viens de configurer une autre connexion sur un second PC, en utilisant le wizard (nouvelle connexion...) et en laissant tout par défaut. Ensuite je rentre mes identifiants, le nom du domaine, ça se connecte à 100 à l'heure, mais exactement pareil, déconnexion au bout d'une minute tout pile!! Ce qui laisse penser que le pb vient du serveur... Me trompe-je?

Fxbrg · Answer

Désolé, nos réponses se sont croisées...

Le routeur est derrière le modem qui est configuré comme simple modem (pas de fonction routeur). Le routeur/firewall 3Com est en IP 192.168.1.254, et c'est comme ça que je le pingue quand le tunnel est activé... Il est en routeur NAT, je renvoie les ports 1723 PPTP et 1721 UDP vers l'adresse IP fixe de mon serveur VPN (qui se trouve être le serveur de fichiers, TSe, etc... l'a du boulot, le bougre!! lol)

Comment puis-je le pinguer sur le Wan? L'adresse IP fixe de ma connexion correspond au modem, correct?

L'impression que ça me fait, c'est qu'il y a un délai de 1mn pour la négociation, mais que cette dernière échoue.. mais je ne sais ni où ni comment le confirmer!! :-(

Heureusement que j'ai TSE, mais ça fait pas tout...

Merci de ton aide,

JF

Fxbrg · Answer

Encore...:-)

Je viens de modifier mon routeur pour accepter les ping entrants, je peux donc le pinguer sur le wan, VPN connecté ou non, rien de change avant/après la minute fatidique...

brupala · Answer

Le routeur/firewall 3Com est en IP 192.168.1.254, et c'est comme ça que je le pingue quand le tunnel est activé...
donc, cette perte de ping n'est pas significative .
en plus tu dis que tu as les mêmes adresses ip privées d'un coté et de l'autre, pas bon du tout si tu cherches à atteindre le vpn par l'adresse privée.
L'adresse IP fixe de ma connexion correspond au modem, correct
non, si c'est vraiment un modem , l'adresse fixe doit -etre celle du routeur, pas du modem .
si c'est la négociation du cryptage qui échoue, il est ahurissant de constater  que la connexion s'établirait pendant 1 minute , sur quels critères ?
parce que TSE ne passe pas par le vpn ? attention, il ferait mieux , à moins que l'adresse ip source soit filtrée et limitée à la tienne (pas possible sur un accès itinérant) .
sinon, ton firewall est-il vpn (pptp) passthrought ? sait t-il forwarder tout seul le protocole IP GRE (47) utilisé dans PPTP ou as tu la possibilité de le configurer manuellement .
ne serait-il pas plus simple de terminer le vpn sur ton firewall

brupala · Answer

Attention,
GRE, n'est pas un port tcp ou udp, c'est le champ  PROTOCOLE IP de l'entête ip , comme justement TCP (6) udp (17) icmp (1) .....

Fxbrg · Answer

Port GRE ouvert manuellement : idem :-(

C'est peut-être ça, mais est-ce que ça colle avec cette connexion "momentanée"? Si le routeur ne savait pas gérer ça, est-ce que la connexion pourrait s'établir, même pour un court moment?

Fxbrg · Answer

Re :-)

Je viens de ma palucher les observateurs d'évènements à la fois sur le serveur et le client, rien de transcendantal!!

Sur le client, je vois bien l'initialisation de Remote Access, me disant que L'utilisateur bernard a établi une connexion à AdV en utilisant le périphérique VPN3-1 (evènement 20158), puis 1mn et quelques plus loin, que La connexion à AdV effectuée par l'utilisateur bernard utilisant le périphérique VPN3-1 a été déconnectée, avec un code 20159, et en cliquant sur le lien, rien de plus... Si ça se trouve c'est un code normal de fin de session...
Entre les deux, trois messages du service Explorateur d'ordinateur (démarrage, en cours, arrêté)

Je viens de refaire un essai, et un autre message est présent : TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées. (tjrs sur le client) - mais comme à chaque tentative de connexion, ça me tue la connexion Internet et Skype (dont j'ai besoin pour le boulot), je ne suis pas sur qu'il y ait lien... En l'occurrence il y a 1'30 entre le premier message remote access et celui-ci...

Bref, ça me prend le chou :-)

Je ne sais plus où chercher...

Encore merci,

JF

brupala · Answer

mais comme à chaque tentative de connexion, ça me tue la connexion Internet et Skype (dont j'ai besoin pour le boulot)
ça tu peux l'empêcher : il faut suppprimer la coche "utiliser la route par défaut vers le réseau distant"
https://docs.microsoft.com/en-us/
vpn et navigation internet

Fxbrg · Answer

Wow, super la petite case à cocher!! Merci :-)

Dans le message précédent, le message de remote Access dit "L'utilisateur bernard a établi une connexion à AdV en utilisant le périphérique VPN3-1.". En regardant la liste des ports sur le serveurs, le VPN3-1 est en L2TP et non PPTP... A moins que le VPN3-1 dont il est question soit sur le client?

Voici pourtant ce que me dit la zone détails de ma connexion : 
Type de peripherique : vpn
Type de serveur : PPP
Transports : TCP/IP
Authentification : MS CHAP V2
Cryptage : MPPE 128
Compression : MPPC
Trame multi lien PPP : actif
Adresse IP serveur : 192.168.1.113
Adresse IP Client : 192.168.1.110

C'est donc bien du PPTP...?

Je viens de couper le chauffage, mon neurone fait le job à lui tout seul!! :-)

brupala · Answer

ah oui,
en plus, tu mets des adresses ip dans le plan de numérotation de ton réseau local sur ton vpn ?
essaies plutôt d'imposer des adresses différentes sur le vpn : par exemple , la plage 10.0.0.1 à 10.0.0.2 (sur le serveur) l'autre adresse sera attribuée directement au client .

Fxbrg · Answer

Je suis bien d'accord avec toi, je voudrais bien changer tout ça, mais je sais pô comment (sur le serveur). Et je suppose que si j'utilise une plage 10.0.0.2 sur le serveur, l'adresse du client va être dans la même plage, je vais devoir faire des translations des deux cotés pour utiliser les réseaux local et distant? 

Sur le serveur (2003), je vais dans la console Routage et Accès distant, mais là où faut-il aller pour déclarer l'adresse ip fixe du vpn coté serveur?

Désolé de t'embêter avec ça, j'apprends beaucoup!! Merci!!

Fxbrg · Answer

La galère continue!!

A force de bricoler, j'ai réussi à planter carrément la connexion!! Erreur 678...:-( Sans doute lien de cause à effet, dans mes interfaces réseau, j'ai bien les trois activées (lan, interne et boucle de rappel), par contre dans routage IP, l'interface Interne me dit que l'IP est non disponible et que son état est non opérationnel. Je n'ai pas trouvé comment réaffecter une adresse IP...(le premier qui dit que je suis pas doué est prié de se taire!! lol)

J'ai donc décidé de repartir sur une base propre, j'ai donc désinstallé puis réinstallé le rôle VPN, kifkif!! Toujours le problème ci-dessus... Ce qui me fait dire que peut-être le problème de ma minute est aussi plus profond que le VPN, peut-être en rapport avec DHCP ou une stratégie quelconque...

En attendant, quelqu'un voit-il une solution pour rendre cette interface Interne de nouveau opérationnelle?

D'avance un grand merci!!

Cordialement,

JF

brupala · Answer

j'ai pas de serveur 2K3 sous la main , c'est quoi cette interface interne ?

Fxbrg · Answer

C'est une bonne question, que je te remercie de poser!! lol

Quand ça marchait (pendant la minute heureuse), cette interface interne avait l'adresse IP du tunnel VPN coté serveur...Depuis qu'elle est non opérationnelle, je ne peux plus me connecter. Je me disais que c'est une interface virtuelle (de toute façon je n'ai qu'une carte réseau bien réelle) créée par le serveur VPN. J'ai mes deux autres interfaces : LAN, adresse IP fixe du serveur sur le LAN, et la boucle de rappel, 127.0.0.1. Ces deux dernières sont opérationnelles. A noter que l'interface Interne est quand même déclarée activée... mais IP non disponible. Peut-être faut-il créer une stratégie d'accès distant avec détermination des adresses IP du serveur VPN? EN fait suite à un de tes posts précédents où tu conseillais de changer l'adresse du VPN pour 10.0.0.x par exemple, je ne trouve pas comment faire ça...

Ce qui est bizarre, c'est que malgré une désinstallation et une réinstallation, le problème persiste. Du coup je me demande si il ne faut pas chercher ailleurs, genre sécurité ou DHCP ou...?

Encore merci de t'intéresser à mon cas,

Bon week-end,

JF

brupala · Answer

changer l'adresse du VPN pour 10.0.0.x par exemple, je ne trouve pas comment faire ça... 
il te faut préciser une plage statique au lieu de l'attribution dynamique:
ça doit se présenter comme ceci:  http://www.supinfo-projects.com/fr/2006/vpn%5F2003/3/

Fxbrg · Answer

Merci Brupala, j'ai suivi toutes les phases de l'installation, mais je reste avec mon problème de non connexion et cette foutue Interface Interne non opérationnelle, IP non disponoble... J'ai désinstallé, réinstallé le VPN de multiples fois, impossible de récupérer cette interface... Je crains d'avoir foutu le bronx dans la base de registre (sans y avoir touché directement, je précise :-)

Ce qui m'étonne (et me désole), c'est qu'en cliquant droit sur les différentes interfaces, quasiment tous les choix possibles sont grisés, je ne peux rien faire, ni voir ni changer. Je suis pourtant loggé en administrateur...

En lisant un post sur un autre forum, je me demande si à force d'installer/désinstaller/réinstaller, je n'ai pas ajouté des connexions et le pauvre système ne sais plus où donner de la tête... Supposons que je veuille revenir à ma configuration "de base", à savoir sans le VPN, juste une carte réseau utilisée pour le LAN, où devrais-je aller voir dans la BdrR?

D'avance merci encore une fois :-)

Jean-François

brupala · Answer

essaie via le gestionnaire de périphériques de supprimer ces connexions, en affichant les éléments cachés.

Fxbrg · Answer

Hello again :-)

Je viens d'afficher toutes mes cartes réseaux, y compris cachées. J'ai les suivantes : 
 - HP NC7760 Gigabit Server adapter (ma carte physique)
 - Miniport Wan (IP)
 - Miniport WAN (PPPOE)
 - Miniport réseau étendu L2TP
 - Miniport Réseau étendu PPTP
 - Parallèle direct
 - Carte asynchrone RAS

La première est donc ma carte physique, je la garde :-) les deux miniports WAN et PPPOE sont liés à l'accès internet je suppose, donc je les garde aussi. J'ai désactivé les deux miniports réseau étendu, et effectivement ils disparaissent dans la liste des ports dans le Routage et Accès distant. Par contre j'aurais bien supprimé la carte asynchrone RAS (je suppose que c'est elle qui gère le Routage et accès distant), mais ça m'est interdit (je n'ai pas le choix de la désactiver, juste de la désinstaller), j'ai un message me disant qu'elle peut être requis pour le démarrage de l'ordinateur... Quand j'ouvre ses propriétés, je ne peux que voir son état (OK) et le pilote (aucune mise à jour dispo).

Dommage, c'était bien essayé :-)

Je sèche...

JF

brupala · Answer

normalment, 
tu dois pouvoir supprimer tes connexions vpn dans routage et accès distant .
je suis bien sec aussi ...

Fxbrg · Answer

Ben non... Tout ce que je peux faire, c'est les voir ou les actualiser... Comme je le disais plus haut, la plupart des actions possibles sont grisées, je ne sais pas pourquoi...(même loggé en admin).

Je vais chercher un pont et me jeter dans le lac, je ne vois plus que ça :-)

Merci,

JF

Fxbrg · Answer

Même pas drôle!! lol

Si je n'arrive pas à faire marcher ce VPN natif dans 2003 server, y-a-t-il une bonne alternative (l'idée étant si possible d'utiliser un client simple, comme celui intégré à Windows XP). OpenVPN est-il une bonne solution? Ou Hamachi?

Conseils et avis bienvenus :-)

JF

brupala · Answer

openvpn ou hamachi fonctionnent , ils installent tous les deux des interfaces virtuelles .
hamachi présente le défaut de passer par un serveur extérieur sur le net, mais il est très facile à installer et configurer .
openvpn, c'est du solide , et pas trop compliqué si on maitrise bien le mécanisme des clés et des certificats .

Fxbrg · Answer

Merci du conseil... Je n'ai pas eu le temps mais il faut que je m'y mette... Intuitivement je penche vers OpenVpn, quel client faut-il utiliser?

Bon week-end!! (et il part mal lol)

Jean-François

Fxbrg · Answer

Ca y est, j'ai trouvé!! Fo pas être pressé... lol

Sur le serveur, le seul endroit où je voyais 1mn, c'est sur le profil d'appel entrant. J'ai coché les cases "Délai pendant lequel le serveur peut demeurer inactif avant déconnexion" et "Délai d'expiration", ce qui n'a rien changé, puis je les ai décochées, et là miracle, tout fonctionne!!

Du coup j'ai déclaré mon VPN sur une plage 10.0.0.x et TSE passe par le VPN, que demander de plus??

Encore merci,

JF

Deconnexion VPN

29 réponses

Discussions similaires