Bonjour,
j'aurais mis le temps mais j'ai enfin trouvé 🙂
j'avais un souci avec les VPN utilisant le protocole de tunnel point-à-point (PPTP) et ma configuration du pare-feu Ufw.
Ufw est configuré pour refuser les connexions rentrantes, jusque là rien d'anormale, mais il est aussi configuré pour refuser les connexions sortantes, ensuite des règles sont définies pour autoriser aux cas par cas les connexions sortantes nécessaires ( HTTP, HTTPS, POP, SMTP, etc…)
Le problème c'est que Ufw ne gère pas en natif le protocole GRE indispensable avec le protocole PPTP pour créer un réseau privé virtuel (VPN).
Après moult recherche j'ai trouvé une solution via le forum anglais d'Ubuntu :
a) ouvrir Nautilus en administrateur : sudo nautilus
b) éditer le fichier before.rules dans le dossier etc/ufw
c) rajouter ces lignes :
# allow GRE
-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT
-A ufw-before-input -p tcp -s 192.168.1.1/0 –sport 1723 -j ACCEPT
-A ufw-before-output -p tcp -d 192.168.1.1/0 –dport 1723 -j ACCEPT
ce qui donne ça :
# allow MULTICAST, be sure the MULTICAST line above is uncommented
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT
# allow GRE
-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT
-A ufw-before-input -p tcp -s 192.168.1.1/0 –sport 1723 -j ACCEPT
-A ufw-before-output -p tcp -d 192.168.1.1/0 –dport 1723 -j ACCEPT
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
d) sauvegarder et faites la même chose pour le fichier before6.rules avec la variante :
# allow GRE
-A ufw6-before-input -p 47 -j ACCEPT
-A ufw6-before-output -p 47 -j ACCEPT
-A ufw6-before-input -p tcp -s 192.168.1.1/0 –sport 1723 -j ACCEPT
-A ufw6-before-output -p tcp -d 192.168.1.1/0 –dport 1723 -j ACCEPT
e) sauvegarder et redémarrer, et voilà vous pouvez connecter votre VPN en PPTP et Ufw configuré en mode paranoïa 🙂
Remarques :
Réaliser sous une Ubuntu 10.10
Il faut que le port 1723 en TCP ( lié au protocole PPTP ) soit autorisé en sortie.
Cette manip ne concerne que le PPTP, l'OpenVPN ne nécessite aucune manip tout fonctionne en natif.
Alors bien sur il aurait suffit d'autoriser toutes les connexions sortantes, mais déja pourquoi utiliser un pare-feu si c'est pour l'utiliser à moitié ? on est sur une distribution GNU/Linux donc à priori ( sauf à utiliser des dépôts exotiques ) tous les programmes qui ont besoin de communiquer vers l'extérieur sont légitimes, etc, etc. Certes tout cela est recevable mais cela aurait été trop facile 😀
Bonne fin de WK.
