none
Connexion VPN vers un SBS 2003 RRS feed

  • Discussion générale

  • Bonjour,

    J'essaye de me connecter à un serveur SBS 2003 R2 via VPN.
    -    Le Firewall (côté serveur) est configuré pour tout laisser passer => le port 1723 et les autres
    -    Le Firewall local (côté clients) est désactivé
    -    J'ai testé avec W7 Enterprise SP1, W7 HP SP1 et XP Pro SP3 => même résultats
    -    J'ai essayé à partir de 2 réseaux différents (côté client) => même résultats
    -    RRAS est configuré via la Liste de Tâches, en utilisant L2TP (pre-shared key) ou PPTP
    -    La Stratégie d'Accès Distant a été configurée pour autoriser le groupe d'utilisateur Mobiles
    -    J'ai testé l'accès avec un utilisateur du groupe Mobile, et avec l'Administrateur => mêmes résultats
    -    J'utilise l'authentification Windows (pas le RADIUS)

    Quand le serveur et le client sont configurés en PPTP, je reçois l'erreur 807 (le VPN se déconnecte immédiatement).
    Quand le serveur et le client sont configurés en L2TP, je reçois l'erreur 789 (erreur durant les négociations).

    Cependant, les services distants suivants fonctionnent correctement (même avec le Firewall actif ) :
    -    Remote Desktop (RDP) sur le serveur
    -    Webmail
    -    Accès Web distant (https://site.name.domain/remote)

    Pourriez-vous m'aider à résoudre ce problème SVP ?
    Merci d'avance.
    lundi 27 février 2012 08:07

Toutes les réponses

  • Bonjour,

    rendez-vous ici et tenez-nous du résultat.

    Cordialement,


    KETATA Ramy (Si ma réponse vous a été utile, Merci de Voter comme Utile et/ou de la marquer comme réponse)

    lundi 27 février 2012 09:28
  • Bonjour
     
    Sur SBS 2003, si vous avez joué les assistant (connexion internet et
    connexion à distance), la configuration VPN en PPTP se crée seule.
    lorsque ça ne fonctionne pas, généralement, c'est le protocole GRE qui
    ne passe pas (soit sur la connexion du SBS soit sur la connexion du
    client disant).
    Les routeurs ou box internet que vous utilisez sont il "PPTP
    passtrought" ?
     
    Repassez les assistants de connexion à distance et de connexion
    internet.
     
    hth
    @+lolo
     
    lundi 27 février 2012 11:53
  • Merci pour ces informations, je testerai. Mais j'ai effectué un autre test, préoccupant. J'essaye de me connecter en telnet, du serveur vers lui-même. 1) telnet 127.0.0.1 23 => OK 2) telnet 127.0.0.1 1723 => NOK Le Firewall local du serveur est désactivé, et le RRAS aussi. D'où peut provenir ce bloquage du port 1723 ?
    lundi 27 février 2012 13:29
  • Bonjour,

    ce bloquage du port 1723 est dû au firewall.

    Il faut bien configurer le firewall afin d'autoriser cette connexion.

    Cordialement,


    KETATA Ramy (Si ma réponse vous a été utile, Merci de Voter comme Utile et/ou de la marquer comme réponse)

    lundi 27 février 2012 23:07
  • Après plusieurs heures de tests supplémentaires, j'ai de nouvelles informations concernant ce problème.
    1) Le VPN peut être établi sans problème à l'intérieur même du LAN => la configuration du serveur est OK
    2) J'ai découvert que, même si le firewall est configuré en "pass all", le protocole GRE est bloqué.

    Donc, la question qui reste en suspens est : comment configurer le VPN passthrough ou autoriser le protocole GRE (dans les 2 sens) sur un firewall Netasq ?
    Je n'ai pas encore trouvé de documentation claire à ce sujet.
    mardi 28 février 2012 05:39
  • Bonjour,

    je vous oriente vers ce lien

    Cordialement,


    KETATA Ramy (Si ma réponse vous a été utile, Merci de Voter comme Utile et/ou de la marquer comme réponse)

    mardi 28 février 2012 08:41
  • Bonjour,

    Merci pour cette information, mais je rencontre un problème dès les premières lignes.

    1. Cliquez sur le bouton Démarrer, pointez sur programmes, pointez sur Outils d'administration et puis cliquez sur administration du routage et accès distant.
    2. Double-cliquez sur Routage IP, puis sur Résumé.

    Or, dans Routage IP, il n'y a pas de menu Résumé...

    mardi 28 février 2012 08:59
  • Clic droit sur Ports -> sélectionnez Wan Miniport [SSTP] -> Configurer ...->

    KETATA Ramy (Si ma réponse vous a été utile, Merci de Voter comme Utile et/ou de la marquer comme réponse)

    mardi 28 février 2012 09:57
  • Il n'y a pas de SSTP, j'essaye d'utiliser du PPTP.
    Et tout devrait être OK au niveau du serveur, car sur le LAN, le VPN s'établit sans problème.

    J'ai recontacté le FAI pour vérifier le routage, et je cherche toujours des informations sur la configuration GRE pour le firewall.

    mardi 28 février 2012 10:08
  • Bonjour,

    Comme mentionné dans la réponse de Laurent, après la mise en place du SBS2003, le VPN est installé et configuré en PPTP.

    Ce que vous devez faire, c'est d'ouvrir les ports suivants sur le routeur et faire UNE REDICTION sur le serveur SBS (redirection vers l'adresse IP Lan du SBS2003).

    Pour que la connexion VPN passe, il faut ouvrir les ports : 1723, 1721 (PPTP/UDP), plus le PORT 47 qui correspond au GRE qui obligatoire pour l'encapsulation des packets durant la connexion VPN.

    Checkez le nombre de connexion autorisées (au moins une pour faire le test depuis l'externe)

    Récapitulons :

    -----------------

    a. Ouverture des ports 1723 - 1721 - 47 (généralement dans les paramétres avancés du routeur -> Rubrique Parefeu ou NAT) et redirection vers l'adresse IP locale du serveur SBS.

    b. Vérification et autorisation des connexions en PPTP (démarrer > Outils d'administrations -> Routage et accès distant -> Développer nomduserveur -> Ports -> Right click -> Propriétés (ou double clique sur ports) et puis sélectionnez PPTP et cliquez sur configurer et enfin spécifiez le nombre de connexionx autorisées (en fonction du besoin)).

    Merci de nous tenir au courant.

    Goodluck

    A bienôt.

    Normalement, ça devrait fonctionner


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    mercredi 29 février 2012 01:27
  • Bonjour
     
    Non, le protocole nommé "GRE(47)" n'a rien à voir avec le port 47.
    Il s'agit d'un protocole à autoriser sur le routeur (souvent noté PPTP
    passtrought).
     
    Il faut router le port 1723 en TCP vers l'IP du SBS.
     
    Une question éventuelle : le SBS 2003 a t'il 1 ou 2 cartes réseau ?
     
    hth
    @+lolo
     
    mercredi 29 février 2012 09:23
  • @Laurent :

    Il ne suffit pas d'autoriser le port 1723 et le rediriger vers l'ip du sbs !

    Avec une autorisation et routage des ports 1723 1721 et 47 (GRE !!!) je n'ai jamais eu de problème pour les connexions VPN.

    Méthode validée pour un SBS avec une ou deux cartes réseaux !

    Merci de ton retour Athena0501.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    mercredi 29 février 2012 23:42
  • Bonjour,

    Je ne suis toujours pas parvenu à configurer le firewall pour le protocole GRE (47).
    Cependant, j'ai pu iplémenter une solution VPN utilisant L2PT-IPsec.

    J'ai trouvé les informations nécessaires pour configurer le firewall sur cette page :
    http://technet.microsoft.com/fr-fr/library/cc737500%28v=ws.10%29.aspx

    Mon problème est donc résolu.
    Merci à tous pour votre aide.
    jeudi 1 mars 2012 06:13
  • @Hicham :
    Pour ma part le 1723 a toujours été suffisant (avec des pare-feu vpn passthrough)
    Evidemment ouvrir en plus le 1721 et le 47 (et pourquoi pas les 48, 49 et 2012 - attention à la fin du monde :) ) n'empêchera pas que cela fonctionne, mais de là à dire que c'est nécessaire...

    Et le protocole GRE 47 n'a rien à voir avec le port 47

    http://poptop.sourceforge.net/dox/gre-protocol-unavailable.phtml
    3. Protocol 47 NOT port 47
    This is a simple but extremely common problem. Do not get port 47 confused with protocol 47. Opening port 47 on your firewall is not the same as allowing protocol 47 or gre.

    Cordialement
    --
    Yves Gourlé [MVP SBS - MCSA - MCITP]
    http://blog.gourle.com
    http://www.easy-info.com

    "Hicham KADIRI" a écrit dans le message de groupe de discussion : aefd91b0-5bff-4be2-a9a5-575851735537@communitybridge.codeplex.com...

    @Laurent :

    Il ne suffit pas d'autoriser le port 1723 et le rediriger vers l'ip du sbs !

    Avec une autorisation et routage des ports 1723 1721 et 47 (GRE !!!) je n'ai jamais eu de problème pour les connexions VPN.

    Méthode validée pour un SBS avec une ou deux cartes réseaux !

    Merci de ton retour Athena0501.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    jeudi 1 mars 2012 07:40
    Modérateur