Authentification VPN derrière un routeur

[gnutux]

J'ai besoin d'établir un VPN entre deux IPCop, chaque IPCop étant derrière un modem/routeur ethernet.

Je crois ne pas être le seul à avoir besoin de cette fonctionnalité... Et parmi les posts que j'ai pu lire sur ce forum, je n'en ai trouvé aucun qui parle de l'authentification PSK. Pourtant, cela me semble être un réel problème : même si le routeur ne filtre pas les ports et rebalance tout sur l'interface rouge d'IPCop, il est quand même obligé de faire du NAT (afin de pouvoir router l'ip, privée, de l'interface rouge). Et l'authentification PSK ne passe pas à travers le NAT (à confirmer) !

La solution à laquelle je pense : reconfigurer "à la mano" FreeSWan (ou OpenSWan si l'on décide d'anticiper la sortie de la version finale de la 1.4...). Il faut refaire l'authentification par RSA, et, pendant qu'on y est, le routage à travers le routeur...

Quelqu'un aurait-il une autre idée ? Voir même une solution déjà au point ?

[gnutux]

Je suis en train de voir ce que l'on peut faire avec la Mandrake MNF en ce qui concerne le VPN, et j'en arrive rapidement à la conclusion suivante : elle utilise l'authentification RSA, ce qui permet de configurer un VPN derrière un routeur... (à la condition que le routeur soit "ipsec passthrough" bien sûr).

Mais parallèlement, je suis tombé sur un poste de Popoch qui nous dit :

pour faire du vpn via ton routeur et ton ipcop il faut que ton routeur gere l "ipsec pass through"...

L'adresse du post en question : viewtopic.php?t=19818

Alors ça veut dire que l'authentification PSK passe le NAT du routeur ?!?
Si quelqu'un a déjà implémenté le VPN d'IPCop derrière un routeur, faites le moi savoir SVP.

Perso, j'apprécie la souplesse de configuration qu'offre la mandrake MNF, mais pour certain client, IPCop serait plus adapté, car beaucoup plus simple de configuration...

Affaire à suivre...

[et9135]

salut GNUTUX,

je suis tombé sur le forum IXUS sur un article s'appellant mini how to : VPN IPCOP derrière un route NAT.

J'ai essayé et mis à part l'aspect galère de la saisie des clé RSA ça ne marche pas.

as tu ou qqu'un aurait il une idée ?

@+

[gnutux]

Non, justement, pas d'idée... J'avais déjà examiné en détail le mini howto dont tu parles, sans résultats. C'est ensuite que j'ai voulu tester la MNF, pensant qu'elle résolverait le problème avec une meilleur implémentation de l'authentification (RSA au lieu de PSK) ainsi qu'avec une interface web plus complète.

Pour l'authentification, c'est bon avec la MNF.
Mais pour l'interface, toujours pas moyen de configurer un VPN derrière un routeur NAT.
A moins qu'il y ai des champs que je n'utilise pas correctement ? Encore une fois, si quelqu'un a une idée

En fait, il faudrait que quelqu'un nous valide certains points, comme par exemple si le fait de travailler sur le masquage du réseau local qui se trouve entre le routeur et l'interface wan de la MNF peut être une solution, ou si ce n'est pas à ce niveau là que nous trouverons notre bonheur. Cela nous permettrait de ne pas douter du reste de la config , et nous pourrions concentrer nos recherche sur un point en particulier...

Avis au amateurs.

[et9135]

Salu GNUTUX,

Je crois que les solutions sont assez limités.
Le NAT doit être imperativement être desactivé du routeur pour faire fonctionner IPCOP
sinon marche po

Faudrait que tu vois avec la personne qui administre ton routeur pour le faire desactivé ça devrait être faisable.

Je vais procéder à un test jeudi prochain en changeant le modem/.routeur par un routeur et te tiens au courant. normalement ça doit marcher évidement.

@+

[Scooty]

Salu GNUTUX,

Je crois que les solutions sont assez limités.
Le NAT doit être imperativement être desactivé du routeur pour faire fonctionner IPCOP
sinon marche po

Faudrait que tu vois avec la personne qui administre ton routeur pour le faire desactivé ça devrait être faisable.

Je vais procéder à un test jeudi prochain en changeant le modem/.routeur par un routeur et te tiens au courant. normalement ça doit marcher évidement.

@+

si si il est possible de connecter un vpn avec un ipcop derriere un routeur NAT. je l'ai deja fait avec deux version 1.3 d'ipcop (donc freeswan) et le cryptage rsa... Cependant j'essaie de le faire avec la 1.4 et j'ai quelques problemes avec le meme routeur, rien n'a changé mis à part ipcop

[et9135]

bonjour scooty,

malheureusement le modem que je possède ne permet pas de desactiver le NAT (ou l'intervenant ne veut pas)
donc sur un site la solution que j'avais etait de changer le modem/routeur par un modem et bien entendu ça marche.
Sur le second site ils vont repasser la telephonie en analogique.
Lors de se changement je serais à même de faire desactiver la fonctionalité de routage voir même faire changer le modem/ routeur par un modem.

Du fait de la telephonie sur IP (qui marche mal chez ce prestataire) nous étions dans l'obligation de concerver le routage sur le modem.

Merci des infos tout de même ça me permet quand même de remettre les idées en place et de faire un refresh sur des infos que l'on tendance à oublier.

[Scooty]

bonjour scooty,

malheureusement le modem que je possède ne permet pas de desactiver le NAT (ou l'intervenant ne veut pas)
donc sur un site la solution que j'avais etait de changer le modem/routeur par un modem et bien entendu ça marche.
Sur le second site ils vont repasser la telephonie en analogique.
Lors de se changement je serais à même de faire desactiver la fonctionalité de routage voir même faire changer le modem/ routeur par un modem.

Du fait de la telephonie sur IP (qui marche mal chez ce prestataire) nous étions dans l'obligation de concerver le routage sur le modem.

Merci des infos tout de même ça me permet quand même de remettre les idées en place et de faire un refresh sur des infos que l'on tendance à oublier.

eh bien je confirme... avec ipcop 1.4 on peut lancer un vpn avec un routeur NAT (sans désactiver le NAT!!!)... il suffit de passer en cryptage RSA bien sur (via PSK les clés ne passent pas). par contre j'ai lu quelque part qu'il fallait rajouter l'option "nat_traversal" pour que ca fonctionne.. Etant donné que je n'ai pas testé sans ca je ne sais pas si c'est obligatoire... Mais bon vue que t'es passé en modem tu n'as peut etre pas besoin de t'embeter finalement moi j'ai préféré faire avec le routeur car ca donne une sécurité en plus ..
bon courage!

[et9135]

merci de l'info scooty mais ça m'interresse d'une part pour culture personnel et d'autre part pour le second site.

Par contre pour la génération de clé RSA j'avais essayé avec la version 1.3 d'ipcop (avec mal car l'utilisation de VI ne m'est pas simple pour intégrer les clé RSA) et y marchais pas po.

Tu peux d'ailleur peut être m'eclairer sur comment faire pour éviter de saisir cette clé, longue et fastudueuse, sans erreur dans les fichiers adéquats (du genre copier coller a la windaube).

Hé oui on se lance dans le monde linux avec le peu de connaissance que je détiens et ce n'est pas facile.

merci d'avance

[Scooty]

merci de l'info scooty mais ça m'interresse d'une part pour culture personnel et d'autre part pour le second site.

Par contre pour la génération de clé RSA j'avais essayé avec la version 1.3 d'ipcop (avec mal car l'utilisation de VI ne m'est pas simple pour intégrer les clé RSA) et y marchais pas po.

Tu peux d'ailleur peut être m'eclairer sur comment faire pour éviter de saisir cette clé, longue et fastudueuse, sans erreur dans les fichiers adéquats (du genre copier coller a la windaube).

Hé oui on se lance dans le monde linux avec le peu de connaissance que je détiens et ce n'est pas facile.

merci d'avance

j'ai aussi monté du vpn sous 1.3 derriere un routeur et ca marche bien aussi...
sinon pour les clés eh ben c'est tout bête, j'ouvre le port ssh via l'interface web "Systeme> Accès SSH" sous la 1.4 et j'active en cliquant sur la boite de dialogue "Activé"
tu peux ensuite te connecter avec putty (récupérable sous telecharger.com) via le port 222 et la tu peux faire du copier/coller sous windows (selection puis enter pour coller puis clic droit souris pour coller)
vala...

[et9135]

ok merci de l'info scooty ça me servira certainement pour certaines de mes actions