web-dev-qa-db-fra.com

Comment se connecter à un VPN Cisco via UFW

J'utilise Ubuntu 11.04 (version 64 bits) et j'aimerais pouvoir me connecter au serveur VPN (Cisco) de ma société. Je parviens à me connecter au serveur VPN lorsque je désactive UFW mais, malgré diverses tentatives, je ne trouvais pas les règles appropriées à entrer dans UFW afin de gérer cette connexion lorsque UFW est activé (Network-Manager continue de dire que ma connexion a échoué).

J'ai les paquets suivants installés:

  • vpnc
  • gestionnaire de réseau-vpnc
  • gestionnaire de réseau-pptp
  • gestionnaire de réseau-pptp-gnome
  • gestionnaire de réseau-vpnc-gnome
  • pptp-linux

Voici mes règles UFW:

443/tcp                    ALLOW       Anywhere
143                        ALLOW       Anywhere
Samba                      ALLOW       Anywhere
53,137,138/udp             ALLOW OUT   Anywhere
20,21,22,25,80,139,443,5900,8001/tcp ALLOW OUT   Anywhere
23399                      ALLOW OUT   Anywhere
19294/tcp                  ALLOW OUT   Anywhere
19295/udp                  ALLOW OUT   Anywhere
19302/udp                  ALLOW OUT   Anywhere
1863,5222,5223,6667,8010/tcp ALLOW OUT   Anywhere
6891:6900,6901/udp         ALLOW OUT   Anywhere
6891:6900,6901/tcp         ALLOW OUT   Anywhere
15399                      ALLOW OUT   Anywhere
5269/tcp                   ALLOW OUT   Anywhere
993/tcp                    ALLOW OUT   Anywhere
587/tcp                    ALLOW OUT   Anywhere
Anywhere                   DENY OUT    Anywhere

Lors de l’exécution de 10.10 et de Firestarter, j’ai pu me connecter au même serveur VPN après avoir entré les lignes suivantes dans/etc/firestarter/user-pre:

iptables -A INPUT -j ACCEPT -s xxx.xxx.xx.xxx -p esp
iptables -A INPUT -j ACCEPT -s xxx.xxx.xx.xxx -p udp -m multiport --sports isakmp,10000
iptables -A INPUT -j ACCEPT -i tun+
iptables -A OUTPUT -j ACCEPT -d xxx.xxx.xx.xxx -p esp
iptables -A OUTPUT -j ACCEPT -d xxx.xxx.xx.xxx -p udp -m multiport --dports isakmp,10000
iptables -A OUTPUT -j ACCEPT -o tun+

(Le xxx.xxx.xxx.xxx étant remplacé par l'adresse IP de mon serveur)

Ainsi, quelles sont les règles appropriées à entrer dans UFW pour correspondre à celles qui fonctionnaient lorsque Firestarter fonctionnait comme pare-feu? Plus généralement, quels paramètres dois-je utiliser dans UFW pour que la connexion fonctionne?

networkingvpnciscoufw
4
Alkalyzer

Je n'arrive pas à y croire: je l'ai résolu!

Ce sont les lignes que j’ai ajoutées dans /etc/ufw/before.rules:

-A ufw-before-input -s xxx.xxx.xxx.xxx -p esp -j ACCEPT 
-A ufw-before-input -s xxx.xxx.xxx.xxx -p udp -m multiport --sports isakmp,10000 -j ACCEPT 
-A ufw-before-input -i wlan0 -j ACCEPT 
-A ufw-before-output -d xxx.xxx.xxx.xxx -p esp -j ACCEPT 
-A ufw-before-output -d xxx.xxx.xxx.xxx -p udp -m multiport --sports isakmp,10000 -j ACCEPT 
-A ufw-before-output -o wlan0 -j ACCEPT

Dans mes tentatives précédentes, j'ai commis deux erreurs:

  1. J'ai copié du code de LibreOffice Writer dans gedit et je n'ai pas remarqué que deux tirets avaient été remplacés par un long tiret utilisant le système de correction automatique.
  2. Alors que firestarter devait autoriser l’accès (à la fois en entrée et en sortie) à l’interface "tun +", uww a besoin que cet accès soit autorisé à l’interface que j’utilise pour contacter le serveur VPN (wlan0 dans mon cas).
2
Alkalyzer