France Hardware : Forums de discussion - Découvrez notre nouveau comparateur d'offres Internet
Retrouvez les prix près de chez vous :  
Index du forum | Liste des membres | Liste des groupes | Inscription | F-A-Q | Recherche
Pseudo :    Password :     
29 582 membres enregistrés - 2 070 007 posts - 122 250 topics
Index des forums FH  | Index des forums DegroupNews
      Internet et réseaux
           Modems-Routeurs
                Mise en place d'un VPN
172 connectés(record : 3218 le 14 December 2018 - 15 h 13)

Vous devez vous connecter pour répondre au topic.
Mise en place d'un VPN

Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 16 March 2010 - 13 h 20 m 45 s
Bonjour,

Dans le site A j'ai :

- Six postes sous Windows XP.
- Un serveur applicatif sous Windows Server 2003. Adresse IP = 192.168.1.126
- Un serveur Active Directory sous Windows Server 2003. Adresse IP = 192.168.1.125
- Un switch qui relie les six postes et les deux serveurs.
- Un routeur qui est relié au switch. Adresse IP = 192.168.1.130 et 81.X.Y.Z

Le routeur qui fait firewall/VPN est un XINCOM (XC-DPG503) VPN IPSec (30 tunnels).
Par ailleurs, comme il s'agit d'une liaison client-serveur, l'IPSec est utilisé en mode transport.
L'encapsulation que j'utilise est : ESP.
La méthode de cryptage est : DES.
La méthode d'authentification est : SHA1.

Dans le site B j'ai :

- Le client avec un poste sous Windows XP. Adresse IP = 192.168.1.44
- Une LiveBox Orange. Adresse IP = 85.X.Y.Z

Entre les deux sites j'ai :

- Le WAN.



LE BUT :

- Le client doit pouvoir se connecter à distance à partir de son poste à l'aide de "Connexion Bureau à distance" au serveur Active Directory dont j'ai déjà créé le compte.

Comment dois-je m'y prendre au niveau de la configuration du routeur dans le site A pour que la connexion puisse s'établir ?

Merci d'avance pour votre aide.




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 16 March 2010 - 13 h 32 m 25 s
Il faut déjà que tu configure un tunnel VPN entre ton routeur, et apparement ton poste client (la livebox ne fera pas passerelle VPN).
Ton routeur sera configuré en VPN à la demande, et c'est ton client qui établiera la connexion.
Au niveau de la topologie, tu peux peut-être mettre ceci :
192.168.1.44/32===85.X.Y.Z------------81.X.Y.Z===192.168.1.0/24
En fait ... je ne sais pas si ça va être une bonne idée d'avoir le même sous-réseau des 2 côtés. Tu vas avoir des soucis de routage.
Je te conseille de passer le réseau du client en 192.168.0.0/24, sinon il faudra faire de la translation d'adresses.




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 16 March 2010 - 15 h 54 m 20 s
Malheureusement, je ne peux pas demander au client de changer son adresse IP. (Je suis en stage de deuxième année de BTS Informatique de Gestion Option ARLE)

D'autant plus qu'il est vrai que la LiveBox Orange est considéré comme un élément passif ne faisant pas la fonction VPN d'où l'utilisation IPSec en mode transport et non tunnel.

Que se soit dans le site A ou dans le site B les adresses en LAN restent en 192.168.1.X ce qui complique un peu ma tâche à vrai dire.

J'avais tenté précédemment après avoir activé le NAT du routeur, de créer un alias NAT avec comme adresse LAN celle du serveur active directory (192.168.1.125) et comme adresse WAN celle du client (85.X.Y.Z) en acceptant tous les protocoles ainsi que tous les ports aussi bien côté WAN que LAN.

(Je fais d'abord les tests à partir de l'endroit où je fais mon stage avant de répéter la configuration avec l'adresse du client pour voir si ça fonctionne)

Cela avait coupé internet au client puisqu'en mode transport de mon protocole IPSec, les entêtes IP ont été modifiés par la conversion NAT.

J'utilise pourtant l'encapsulation ESP, et sont activés sur le routeur le "IPSec Passthrough" ainsi que le "PPTP Passthrough".

Donc j'aimerai savoir déjà comment régler le problème de NAT correctement et ensuite configurer le tunnel VPN adéquat.

Ce que tu appelles la topologie, c'est en fait la configuration qu'il faudrait mettre dans le tunnel VPN ?

Merci d'avance pour tes réponses Woofy.




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 16 March 2010 - 18 h 28 m 42 s
Alors pour IPSec en mode transport ... je ne suis pas convaincu de son utilité. Un tunnel serait mieux non ? Sinon il faut que tu ouvre les ports vers le serveur pour la connexion à distance, et faire les redirections de port et d'adresse. C'est peut-être effectivement le plus simple à configurer.

Pour le tunnel VPN :
Tu peux mettre en place de la translation d'adresse histoire de te sortir de l'adressage identique.
En gros, ton client se connectera sur 192.168.2.126 par exemple, que tu va translater vers 192.168.1.126. Et lorsque tu répondra, tu ne répondra pas à 192.168.1.44 mais à 192.168.0.44, translaté vers 192.168.1.44. Tu aura donc translation d'adresse dans les 2 sens.
En gros, translater 192.168.2.0/24 vers 192.168.1.0/24, et 192.168.0.44/32 vers 192.168.1.44/32 (par exemple, après tu prend ce que tu veux comme adresse virtuelles, tant que les masques de réseau sont identiques).

Comment ça se fait côté routeur et côté Windows ? Aucune idée :/


Message édité 1 fois, la dernière par Woofy le 16 March 2010 - 18 h 30.


Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 17 March 2010 - 11 h 46 m 17 s
Le soucis c'est que je n'ai pas la possibilité de changer les adresses privées locales dans les sites A et B donc il me sera difficile de changer les sous réseaux surtout de là où je suis. Les sites sont distants de 300 km donc c'est compliqué.

Je me suis documenté un peu partout sur le web et j'ai vu qu'il y avait le protocole NAT-T dit NAT-Traversal permettant justement une encapsulation des entêtes IP dans les paquets UDP.

Le petit problème c'est que je n'ai pas d'option NAT-Traversal dans la configuration de l'interface web de mon routeur. Je me demandais si c'était la même chose que IPSec Passthrough.

En fait, il n'y aurait pas la possibilité de faire autrement que de changer obligatoirement les adresses privées locales de part et d'autres ?

Une fois encore, merci de tes réponses Woofy.




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 17 March 2010 - 12 h 46 m 37 s
Justement, tu ne change pas les IP privées.
Tu met juste de la translation d'adresse en place. Ca n'est pas du NAT Traversal.

Je t'explique :

Tu monte un tunnel VPN entre ton client et ton routeur sur le site B.
Tu fais croire au client que l'ip du serveur est 192.168.2.126.
Il envoie donc une demande de connexion à travers le tunnel vers cette adresse.
Sur le routeur, lorsque la demande arrive, tu translate l'adresse 192.168.2.126 vers 192.168.1.126, et tu la redirige vers le serveur, qui l'accepte et qui répond.
Mais pour que la réponse arrive, il faut faire la même chose dans l'autre sens.

Donc, ça se passe comme ça.

Client : départ du paquet, vers 192.168.2.126
Translation de l'ip source du paquet : 192.168.1.44 => 192.168.0.44
Traversée du tunnel
Routeur : arrivée du paquet, translation de l'ip destination : 192.168.2.126 => 192.168.1.126
Serveur : arrivée du paquet. Source : 192.168.0.44, destination : 192.168.1.126.
Serveur : réponse, envoie du paquet. Source : 192.168.1.126, destination : 192.168.0.44
Routeur : Translation de l'ip source du paquet : 192.168.1.126 => 192.168.2.126
Traversée du tunnel
Client : arrivée du paquet. Translation de l'adresse de destination : 192.168.0.44 => 192.168.1.44.
Arrivée du paquet : source 192.168.2.126, destination 192.168.1.44.

Voila, c'est comme ça que doit se passer le NAT. Pour le NAT-T, c'est encore autre chose.

Par contre, il est possible que tu ne puisse pas configurer le NAT sur ton client.
Dans ce cas, ben il faudra trouver autre chose :/




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 17 March 2010 - 16 h 49 m 41 s


Le 17 mars 2010 - 12 h 46, Woofy a écrit :
Client : départ du paquet, vers 192.168.2.126
Translation de l'ip source du paquet : 192.168.1.44 => 192.168.0.44
Traversée du tunnel
Routeur : arrivée du paquet, translation de l'ip destination : 192.168.2.126 => 192.168.1.126
Serveur : arrivée du paquet. Source : 192.168.0.44, destination : 192.168.1.126.
Serveur : réponse, envoie du paquet. Source : 192.168.1.126, destination : 192.168.0.44
Routeur : Translation de l'ip source du paquet : 192.168.1.126 => 192.168.2.126
Traversée du tunnel
Client : arrivée du paquet. Translation de l'adresse de destination : 192.168.0.44 => 192.168.1.44.
Arrivée du paquet : source 192.168.2.126, destination 192.168.1.44.

En fait, chacune de tes lignes correspond à un alias NAT c'est bien ça ?
C'est une ligne à configurer et qui s'ajoute sur le routeur.



Le 17 mars 2010 - 12 h 46, Woofy a écrit :
Par contre, il est possible que tu ne puisse pas configurer le NAT sur ton client.
Dans ce cas, ben il faudra trouver autre chose :/

Je n'ai pas encore fait les tests. Néanmoins, dans le cas où je ne parvenais pas à configurer le NAT sur le client, quelle autre solution s'offrerait à moi ?




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 17 March 2010 - 17 h 54 m 32 s
Non, c'est un scénario ! :)
Il n'y a que 2 lignes qui représentent du NAT : "Translation ..."

Pour faire autrement, je l'ai abordé dans mon post au dessus : router un port vers ton routeur et faire du TSE via l'ip publique de ton site.




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 18 March 2010 - 10 h 51 m 53 s
Bonjour Woofy,

J'ai une autre petite question parce que tout n'est pas encore très clair dans ma tête.

Comment je peux faire croire au client que l'adresse du serveur serait 192.168.2.125 ?

Et quand il veut envoyer une demande de connexion à travers le tunnel vers l'adresse en 192.168.2.125 il faut qu'il s'y prenne comment ? Grâce au Bureau à distance ?

De plus, si j'ai bien compris, dans ton scénario, il y a bien deux lignes de NAT à ajouter sur le routeur, mais aussi deux lignes de NAT à ajouter côté client. Donc comment je m'y prend pour ajouter les deux lignes côté client ? Parce que je n'ai pas accès à la livebox du client.

Par ailleurs, j'ai toujours pensé que la translation d'adresse s'effectuait obligatoirement entre une adresse privée et une adresse publique et vice versa mais je ne pensais pas que ça pouvait se faire aussi entre deux adresses privées d'un sous réseau différent en fait.

Désolé ce sont peut être des questions un peu bêtes mais ça ne fait pas encore un an que je fais du réseau alors je travaille dur. ;)

Merci de m'accorder de ton précieux temps Woofy.


Message édité 1 fois, la dernière par Ladrazar le 18 March 2010 - 11 h 20.


Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 29 March 2010 - 12 h 08 m 54 s
Bonjour,

Woofy, j'ai finalement pu changer l'adresse locale du site B en 192.168.0.X
Maintenant, je n'ai plus aucun problème de conflit d'adresse pour le NAT.

De plus, j'ai créé deux alias NAT pour faire le lien entre adresse publique / privée, et privée / publique.
donc de 82.X.Y.Z ==> 192.168.1.125 et de 192.168.1.125 ==> 82.X.Y.Z

J'ai également créé un tunnel en 82.X.Y.Z pour les adresses distantes 192.168.0.10 à 192.168.0.100 correspondant maintenant au site B.

Mais malgré tout cela, lorsque je me connecte avec bureau à distance à l'adresse 81.X.Y.Z (adresse publique du routeur que je tente de bien configurer) la connexion échoue encore en me disant que : "Cet ordinateur ne peut pas se connecter à l'ordinateur distant. Essayer de vous reconnecter. Si le problème persiste, contactez le propriétaire de l'ordinateur distant ou l'administrateur réseau."

Si tu peux m'aiguiller davantage, je t'en serait reconnaissant.

Cordialement.




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 29 March 2010 - 12 h 47 m 13 s
Désolé pour l'absence de réponse, j'étais en vacances ! :D
Bon, si le tunnel ne monte pas, je ne sais pas. Il faudrait regarder du côté des logs du routeur.




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 29 March 2010 - 13 h 14 m 53 s
Pas de problème ^^

Effectivement dans les logs, je vois souvent les mêmes lignes qui réaparaîssent à savoir :

Time | Priority | Module | Message |

2010/03/29 11:45:16 | Error | ike | Failed to complete phase1 negotiation (timeup) [Remote 82.X.Y.Z:500), Local 81.X.Y.Z:500 WAN1)]

Qu'est-ce que cela peut-il bien signifier ?

La vraie configuration du NAT et du tunnel les voici :

NAT Alias List

State | Local LAN IP | WAN IP | Allow Inbound | Protocol | WAN Port Range | LAN Port range | WAN

Disabled | 192.168.1.125 | 82.X.Y.Z | Yes | ALL | Tous les ports | Tous les ports | WAN1

Disabled | 82.X.Y.Z | 192.168.1.125 | Yes | ALL | Tous les ports | Tous les ports | WAN1

Je me demande si cela est juste puisque mettre une adresse publique dans la catégorie Local LAN IP ça sonne faux non ? Le NAT faisant la conversion publique/privée et privée/publique. Lorsque j'active seulement le premier alias ou les deux alias apparemment ça coupe internet aux autres clients du site A...

Tunnel List

State | Name | Security Gateway | Remote Network | Security Level | Key Type | Interfaces | Negociation Status

Enabled | TEST | 82.X.Y.Z | 192.168.0.10 à 192.168.0.100 | DES/SHA1 | IKE | WAN1 connected | Initiator main 1st

Par ailleurs, j'ai utilisé l'option keep tunnel alive et donc heartbeat.

Je suis prenneur si tu as des idées. ^^




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 29 March 2010 - 13 h 27 m 59 s
Alors IKE, c'est l'un des 2 protocoles qui vont monter le tunnel VPN (tu fais en gros de l'IPSEC (phase 2) encapsulé dans l'IKE (phase 1)).
Là, on voit qu'il n'a pas pu monter la phase 1. Peut-être un problème de clé partagée (aussi appelé secret, ou mot de passe). Il faudrait voir les lignes avant, pourquoi la phase 1 ne monte pas.
Pour le reste, je ne sais pas trop. Mais tu redirige tout les ports vers tout les ports, c'est un peu beaucoup non ?
De toute façon, si tu fais un tunnel VPN, a priori tu n'a pas besoin de NAT, vu que le site B sera en fait vu comme étant virtuellement sur le LAN.




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 31 March 2010 - 15 h 40 m 48 s
Le fait de rediriger tous les ports vers tous les ports ne va pas bloquer quoi que se soit normalement. (Enfin j'espère, parce que sur le site A, ils utilisent beaucoup de logiciels donc je ne vais pas me taper les numéros de ports correspondant à chaque application à la main) :D

Voici une partie des logs :

Time | Priority | Module | Message |

2010/03/29 11:45:16 | Info. | ike | Phase1 Initiator(Main) : 1st [Remote (82.X.Y.Z:500), Local (81.X.Y.Z:500 WAN1)]

2010/03/29 11:45:16 | Info. | ike | Start with Main mode [Remote (82.X.Y.Z:500), Local (81.X.Y.Z:500 WAN1)]

2010/03/29 11:45:16 | Info. | ike | Start phase1 negotiation [Remote (82.X.Y.Z:500), Local (81.X.Y.Z:500 WAN1)]

2010/03/29 11:45:16 | Info. | ike | Phase1 SA not found, start negotiation [Remote (82.X.Y.Z:500), Local (81.X.Y.Z:500 WAN1)]

2010/03/29 11:45:16 | Error | ike | Failed to complete phase1 negotiation (timeup) [Remote (82.X.Y.Z:500), Local (81.X.Y.Z:500 WAN1)]

Cela à l'air de se répéter éternellement apparemment. Donc je confirme qu'il y a bien quelque chose de louche mais quoi très précisément ? That is the question...

J'avais oublié de préciser pour le NAT que j'avais mis en "disabled" parce qu'en "enabled", les clients du site A n'avaient plus d'internet. Donc si on admet que je n'ai pas besoin du NAT mes deux alias "Disabled" ne gênent en rien la configuration de mon tunnel VPN en principe.

Dans l'attente de ta réponse.
Cordialement.


Message édité 1 fois, la dernière par Ladrazar le 31 March 2010 - 15 h 42.


Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 31 March 2010 - 15 h 42 m 57 s
"Phase1 SA not found".
En gros, il ne trouve pas de tunnel correspondant, de 82.X.Y.Z vers 81.X.Y.Z




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 01 April 2010 - 11 h 50 m 21 s
Ca serait donc la configuration de mon tunnel qui serait fossée ?
Je ne comprend pas d'où vient l'erreur à dire vrai...




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 01 April 2010 - 11 h 57 m 51 s
En gros c'est ça.
Il faut revoir la conf de ton tunnel VPN sur ton routeur. C'est là que ça merdoie.




Ladrazar


Messages : 10
Inscrit le 16/03/10
Non connecté
  Posté le 01 April 2010 - 12 h 56 m 11 s
Serait-ce l'adresse IP que j'ai mis sur le réseau local qui alimenterait mon problème de plus de deux semaines ?

Ou bien est-ce qu'il faut que je mette également tous les ports dans la plage des ports comme j'avais pu le faire avec mon alias NAT ?

Si tu veux dans la configuration de mon tunnel j'ai mis ça :

Local Security Network : 192.168.1.125 (adresse du serveur AD, site A) Port Range 0 ~ 0

Remote Security Network : from 192.168.0.10 to 192.168.0.100 (adresse client site B) Port Range 0 ~ 0

Remote Security Gateway : 82.X.Y.Z (adresse freebox site B)

Concernant l'encapsulation, c'est toujours du ESP, le cryptage du DES et l'authentification le SHA1.
Je suis toujours en autokey IKE et dans la phase1 negotiation je suis en Main Mode (cela correspond bien au log)

Ensuite, je n'ai pas mis de PFS (Perfect Forward Secrecy)
La durée de vie de la clé est de 3600 secondes.

A la fin, j'ai la fameuse ligne qui résume tout et que j'avais donné un peu plus haut sur le forum à savoir :

Enabled | TEST | 82.X.Y.Z | 192.168.0.10 à 192.168.0.100 | DES/SHA1 | IKE | WAN1 connected | Initiator main 1st

Que penses-tu de ça ?

Merci une fois de plus de tes réponses.




Woofy
Totalement inutile, complètement indispensable

Messages : 31 592
Inscrit le 11/01/02
Ville : Lyon
Non connecté
  Posté le 02 April 2010 - 09 h 23 m 28 s
Heu ... expliqué comme ça, ça m'a l'air d'être bon, mais après est-ce qu'il n'attend pas une connexion de la part de 192.168.0.10 à 100 vers 82.X.Y.Z ?
Désolé, au vu des logs, c'est tout ce que je peux te dire, après je ne connais pas la configuration de ton matériel.




Page genérée en 0.3941 secondes par RahForum 2.0 | Gzip off |  Stats |  Metaforums |  RSS
© 2004 Cerbere Systems.
Prix Matériel Informatique | Informatique Lyon | Informatique Grenoble | Informatique Annecy | Informatique Marseille | Informatique Bordeaux | Forum Informatique
ADSL | Actualité ADSL | Deligo | Appareil photo | Commande Au Volant
Creative Commons
Message Boards and Forums Directory