Probleme VPN IPSEC/reseau local/ WXP

[trezax]

Bonjour,

Voila j'ai un serieu probleme !

Je dispose de 4 PC:
un ordinateur portable,
un ordinateur avec 5 carte réseaux
deux autres ordinateurs

l'ordinateur portable a une @IP : 192.168.20.20/24 il est relié a l'ordinateur aux 5 cartes réseaux qui a lui une @IP: 192.168.20.100/24
les deux autres ordinateus sont reliés a l'ordinateur aux 5 cartes reseaux (que je vais desormais appelé ATT) dans le reseau 192.168.32.0/24

Tous ces ordinateurs sont sur XP et ne dispose pas d'une connexion internet.

Comme vous avez pu vous en rendre compte j'utilise l'ATT comme routeur entre les trois PC (portable + les 2 autres PC)
Ce que je voudrais faire c'est securiser tout le flux sortant de l'ordinateur portable via IPSEC.
Mais le gros du travail c'est que seul l'ATT doit utiliser IPSEC et non pas les deux autres PC du reseau bien que l'ordinateur portable doit communiquer avec eux.

Ce que j'ai tenté de faire donc c'est de mettre en place une stratégie de sécurité IP sur l'ordinateur portable permetant a celui ci de communiquer uniquement via IPSEC (négociant la securité qu'avant les ordinateurs utilisant IPSEC) et j'ai fait de meme en ce qui concerne l'ATT. Au final je reussis à communiquer en IPSEC uniquement avec l'ATT mais lorsque l'ordinateur portable tente de communiquer avec les deux autres (j'ai testé avec le ping) il n'arrive pas. Je sais que ceci est du au fait que ces postes n'ont pas IPSEC mais moi en fait ce que je voudrais, c'est pouvoir communiquer du portable au ATT et inversement uniquement en IPSEC, et que l'ATT puisse passer en clair la communication entre lui meme et les deux autres postes et inversement.

En résumé ce que je veux c'est que l'ATT puisse lorsqu'il recoit un msg du portable via les deux autres ordinateurs redirigé la communication en clair. DONC ca donnerait : communication cryptée entre portable et ATT puis en clair entre ATT et les deux autres, la réponse des deux autres sera donc en clair puis de l'ATT au portable ca redevient crypté. Est-ce possible ??

[ccnet]

Des choses compliquées, et, ou tordues, j'en ai vu. Je crois que je vais devoir réviser mon hit parade.
Pour commencer on ne comprend finalement pas grand chose tant la description du besoin est confuse et que par ailleur vous préjugez déjà très largement de solutions. Essayons d'y voir clair.

l'ATT puisse lorsqu'il recoit un msg du portable

Un message c'est quoi dans votre vocabulaire ?

La machine ATT avec ces 5 cartes réseaux, pourquoi 5 ? Toutes dans le même sous réseau ? Là je ne comprend pas.

Au milieu de cette jungle mon premier réflexe serait de vous dire mettez en place une vraie solution Firewall - routeur et solution Ipsec. Pour le moment je pense que vous faites totalement fausse route avec cette machine et ses 5 cartes réseaux. Voir Pfsense ou ipcop quand les besoins seront clairs il sera possible de choisir. Pour le moment c'est le brouillard.

[trezax]

Re

Bon, etant donné que j'ai été un peu vite je vais vous expliquer.
L'ATT a 5 cartes reseaux car dans un futur plus ou moins proche il y aura 5 sous reseaux pour le moment il y en a 2 mais bon ca va changer. Je suis en situation professionnel donc ça ne sert a rien de me demander les raisons pour lesquelles il y a 5 cartes car je n'en sais rien moi meme juste que cette configuration permettra l'utilisation sur l'ordinateur portable des applications des autres machines (application satelitte, et autre)

En ce qui concerne mon 'msg' grossierement c'est toutes le flux transitant entre les ordinateurs via l'ATT.

Bref, pour etre le plus clair possible, je dois mettre en place du flux securisé entre une partie d'un sous reseaux IP et l'ATT (typiquement le couple ordinateur portable/ ATT) via IPSEC, le reste du réseau peut etre en clair.
Par contre je ne peux utiliser ni logiciel ni matériel en plus de ce que j'ai, et tous les postes sont en XP pro (ATT inclus).

Moi ce que j'ai reussi a faire c'est securisé le couple ordi portable /ATT en utilisant IPSEC via la strategie du protocole IP (avec la MMC) mais il n'est plus possible pour l'ordinateur portable de communiquer avec les machines des autres sous reseau.
Ce qui est normal puisq'elles ne peuvent et ne doivent pas utiliser IPSEC. Ce que je voulais savoir c'est comment faire en sorte que l'ATT lorsqu'il recoit un paquet (crypté) de l'ordinateur portable vers les ordinateurs des autres sous réseau le décrypte d'abord chez lui, puis l'envoi en clair au destinataire puis la réponse soit ensuite crypté (par L'ATT) et renvoyer a l'ordinateur portable.

J'espere t'avoir apporter un peu d'eclaircissement dans tout ce brouillard

Merci d'avance dans tous les cas !

[ccnet]

L'ATT a 5 cartes reseaux car dans un futur plus ou moins proche il y aura 5 sous reseaux pour le moment il y en a 2 mais bon ca va changer.

Ce n'est pas parce qu'il y a 5 sous réseaux qu'il faut 5 cartes. C'est un problème d'adressage et de routage éventuellement.

Je suis en situation professionnel donc ça ne sert a rien de me demander les raisons pour lesquelles il y a 5 cartes car je n'en sais rien moi meme juste que cette configuration permettra l'utilisation sur l'ordinateur portable des applications des autres machines (application satelitte, et autre)

Il est trés hasardeux de faire les choses quand on ne sait pas pourquoi on les fait, ce qui revient à faire sans comprendre.
Puisque vous êtres en "situation professionelle", pourriez vous utiliser le vocabulaire professionel ?
Cette machine est un serveur d'application ? Application satellite ? Autre ? Ce n'est pas clair.

Par contre je ne peux utiliser ni logiciel ni matériel en plus de ce que j'ai, et tous les postes sont en XP pro (ATT inclus).

Là je me déclare incompétent. Les solutions exigent un minimum de ressources pour les mettre en oeuvre.
Si la raison c'est l'OS installé sur les postes, c'est une mauvaise raison.

[trezax]

Bon,

Je vois que vous etes tres pointilleux sur les details...
Je sais bien qu'il n'est pas necessaire d'avoir 5 carte reseaux pour faire 5 sous reseaux mais les choses sont telles que il y a besoin d'avoir 5 cartes. Peu importe le probleme n'est meme pas la ni meme dans le fait que je dise serveur d'application ou non. Quoi qu'il en soit, j'aurais pu avoir trois postes sur XP le probleme aurait été le meme, deux postes doivent utiliser IPSEC et un non maintenant les deux postes aux deux extrémités du réseaux doivent communiquer, hors seul un seul des deux utilise IPSEC, le poste du milieu disposant de deux cartes réseaux utilisent IPSEC et il doit donc faire le cryptage/decryptage des communication et donc faire l'interface entre communication crypté et communication en clair.

La communication cryptée entre le deux postes utilisant IPSEC a été faite, maintenant il me reste a mettre en place un moyen (surement lié au filtre IP et action de filtrage au niveau du poste/passerelle) pour passer d'une com crypté à clair et inversement.

[jdh]

Nicolas BOILEAU est connu pour cet aphorisme "ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément".


Certains d'entre nous ont vu des choses compliquées, mais là ce n'est pas clair du tout !

5 sous réseaux, c'est un méga réseau : on en compte souvent que 3, parfois 4. Il serait bien imprudent de confier à une seule machine (de type XP !) le routage/filtrage de 5 sous-réseaux.

Avec 5 cartes réseaux, le PC appelé "ATT" a combien d'adresses ? XP gère-t-il d'avoir des adresses du même réseau sur plusieurs interfaces ?

Si une machine a un lien ipsec avec une autre et qu'elle a une autre interface, le routage IMPOSE que la machine connectée en ipsec soit dans un réseau distinct.

Sans plus de renseignements, je vois mal donner des directions ...