# Connexion VPN impossible sous OSX



## Makime (22 Octobre 2013)

Bonjour à tous !! 

Je viens vers vous car j'ai fais une tonne de tests différents et là je suis à court d'idée.
Je vous explique mon installation.

J'ai mon Macbook pro sous OS X 10.8 J'ai un Windows Seven installer via Bootcamp que j'utilise soit nativement (pour quelques jeux) soit avec Parallels Desktop pour travailler.

Pour travailler à distance j'ai besoins de me connecté à mon VPN fourni par un serveur Windows 2008R2.

J'arrive à me connecter au VPN sous Windows natif (bootcamp) mais impossible de m'y connecté sous OSX, j'ai essayer un VPN gratuit (VPNBook) et la connexion PPTP passe très bien toujours sous OSX.

quand je suis à l'entreprise si je me connecte au VPN "local" en utilisant l'adresse IP du serveur directement cela fonctionne très bien. (sous Windows et OSX)

Du coup là je seche completement. 

Ah si derniere petit information. dans les log du serveur Windows il m'écrit : 


			
				Serveur Windows 2008 R2 Log a dit:
			
		

> Une connexion entre le serveur VPN et le client VPN XX.XX.XX.XXX a été établie, mais la connexion VPN na pas pu aboutir. Cet incident est le plus souvent causé par un pare-feu ou un routeur entre le serveur VPN et le client VPN qui nest pas configuré pour autoriser des paquets GRE (Generic Routing Encapsulation) (protocole 47).



(de mémoire quand j'ai monter le VPN pour moi et les commerciaux de l'entreprise certains sous windows 7 avaient ce problème que j'ai résolu effectivement en accordant les droits d'entrer et de sortie au niveau du par feu Windows. Chose que je n'ai pas trouvé sous OSX)


----------



## Polo35230 (22 Octobre 2013)

Bonjour,

Je ne sais pas si j'ai bien compris le pb.
En local, tout marche avec le client VPN VPNBook (sous émulation windows et Mac OSX)?
Via Internet, le serveur windows renvoie le message d'erreur cité?

En PPTP, le client VPN établit deux sessions, une pour la gestion de la com, et l'autre pour les données.
La gestion de la com se fait sur le port TCP 1723
Le transfert des data via le protocole GRE (identifiant 47). 47 n'est pas un numéro de port. GRE ne s'appuie ni sur TCP, ni sur UDP. Donc pas de numéro de port. C'est de l'IP dans IP...

Le message d'erreur est clair, la gestion de la com (dont l'établissement) se fait bien, mais pas la partie Data.

C'est donc soit le pare-feu qui n'autorise pas le protocole GRE, soit les paquets GRE ne passent à cause d'une MTU trop grande, si les équipements (routeurs, Firewall) ne gèrent pas correctement le bit DF (gérant la fragmentation), le protocole GRE, comme tous les protocoles de tunneling générant une encapsulation supplémentaire.
Pour vérifier si c'est un pb de MTU, il faudrait faire un essai en baissant la MTU dans la conf réseau du Mac. Par exemple, mettre 1450 (au lieu de 1500).

Si ça ne marche tjs pas, il faudrait faire un test de connexion (en relevant l'heure du test), et ensuite aller voir les logs du firewall, et regarder s'il n'y a pas une info sur le blocage du protocole 47.


----------



## Polo35230 (22 Octobre 2013)

S'il n'y a rien dans le firewall, le blocage peut être au nieveau du routeur. Certains routeurs bloquent les VPN.
Dans certains cas, pour les laisser passer, il faut activer la fonction VPN Pass-Through.


----------



## Makime (23 Octobre 2013)

Et bien en local tout fonctionne très bien que se soit sous OSX ou sous Windows (sous bootcamp ou avec parrallels desktop) 

(En mettant donc l'adresse du serveur VPN directement 192.168.XX.XX et étant connecté sur le réseau local donc)

par contre à distance sous windows ça fonctionne mais pas sous OSX

(En passant par la passerelle que j'ai monté)

Effectivement le message d'erreur est claire mais je ne trouvais pas de "par feu" a proprement parlé sur OSX je n'avais pas vu la petite option MTU (je connais pas du tout d'ailleurs) 

Une chose est sur ce n'est pas un problème de matériel, routeur ou autre étant donné que cela fonctionne bien sous windows.

Merci Polo35230 je vais tester en réduisant la MTU ce soir en rentrant chez moi.


----------



## Polo35230 (23 Octobre 2013)

Je ne parlais pas du firewal du Mac, mais de celui (s'il y en a un) côté serveur windows.



Makime a dit:


> Une chose est sur ce n'est pas un problème de matériel, routeur ou autre étant donné que cela fonctionne bien sous windows.


Tu as raison, le pb est côté Mac...
Mais il n'y a pas que l'OS.
Les clients VPN (celui de seven et VPNBook) ne sont pas les mêmes. Ils sont configurés à l'identique (en PPTP) ?
Comme ça coince avec le Mac en PPTP (à cause de GRE) , si côté passerelle VPN sur le serveur, tu as configuré que PPTP, tu pourrais rajouter L2TP et essayer côté Mac avec un client L2TP (qui n'utilise pas GRE)


----------



## Makime (28 Octobre 2013)

Je ne peux malheureusement pas passé par le L2TP visiblement le routeur que l'entreprise Keyyo (FAI) nous à fourni ne supporte pas le L2TP (je comprend pas trop pourquoi ..... mais bon je suis pas expert non plus.) (Pour la petite histoire je n'ai pas accès à l'administration de mon routeur/modem Keyyo (ils veulent éviter les SAV et donc ne donnent pas l'accès admin à leurs matériels))

Je pense vraiment que la connexion ne sort même pas de mon MAC car après une tentative de connexion au VPN la deuxième tentative l'erreur de connexion est annoncé de façon trop cash et top rapide. 

D'ailleurs l'erreur en question la voilà :


----------



## Polo35230 (29 Octobre 2013)

Pour pouvoir se connecter sur le serveur VPN windows 2008, les gens de Keyyo on dû faire des choses dans le routeur au niveau de la table Pat/Nat pour laisser passer le protocole PPTP, et rediriger sur le serveur. Il faudrait savoir ce qu'il y a dedans.
L2TP ne passe pas, parce que dans le routeur, le nécessaire n'a peut-être pas été fait pour laisser passer, et rediriger ce protocole (port TCP et UDP 1701) sur le serveur.

Le truc qui cloche, dans tout ça, c'est que ça marche avec le client VPN windows...
Ce qu'il faudrait vérifier, sur le client windows, c'est s'il est configuré avec une adresse IP privée fixe, ou si c'est le serveur VPN qui lui affecte une adresse privée dans une plage bien définie.
Il faudrait configurer le client VPN Mac de la même façon que le client windows, et accéder avec le même couple identifiant/mot de passe.

Je pense que la solution au pb est vraissemblablement dans le routeur, et que les logs donneraient des indications.
Ce qu'il faudrait demander à Keyyo, c'est si leur routeur (Zyxel)? laisse passer GRE, et de désactiver le firewall pour faire un test.
Leur demander aussi le contenu des tables Pat/Nat.


Makime a dit:


> ils veulent éviter les SAV et donc ne donnent pas l'accès admin à leurs matériels))


Dans le cadre d'un raccordement professionnel, on peut demander au FAI un accès au routeur avec des droits réduits (en lecture). Ça permet de voir un certain nbre de choses au niveau routage, sécurité (firewall, access-lists..), et surtout les logs.


Makime a dit:


> Je pense vraiment que la connexion ne sort même pas de mon MAC car après une tentative de connexion au VPN la deuxième tentative l'erreur de connexion est annoncé de façon trop cash et top rapide.


En dernier recours, il y aura  la possibilité de le vérifier en faisant sur le Mac une trace tcpdump (ou mieux, via wireshark) de la connexion au serveur VPN. On verra la connexion sur le port 1723, et ce qui se passe au niveau du protocole GRE.
Dans une fenêtre Terminal, faire:
sudo tcpdump -n -i enX host AdresseIpPubliqueDuSiteDistant   (dans enX, X est le numéro de l'interface réseau active)
Puis faire une connexion au serveur VPN.


----------

