Plusieurs postes connectés derrière du NAT - VPN

[netspirit]

Bonsoir à tous, <BR> <BR>J'ai beau cherché dans la doc du site freeswan.org pour le paramétrage de ipsec.conf lorsque l'on a plusieurs postes clients Windows XP d'un VPN MNF8.2 je n'arrive pas à trouver comment faire. <BR>MA CONFIG : <BR>Une passerelle MNF8.2 à jour sur un réseau. <BR>Un site (plusieurs sites à terme) distant sur lesquels je n'ai pas la main et qui sont déjà équipé en équipement réseau (firewall, routeur). <BR>Lorsque je paramétre un poste Windows XP avec le client IPSec et la doc de Eric Faure revue par François Martin, ça fonctionne parfaitement. <BR>Mais si je paramétre un second poste avec la même chose (en changeant juste le nom de conn poste1-net et conn poste1 vers conn poste2-net et conn poste2) ça ne fonctionne pas pour le second poste et j'obtiens dans /var/log/syslog : invalid cookie. De plus au lieu d'avoir pluto "poste2-net" je vois "poste1-net" ce qui me laisse supposer que la configuration de plusieurs postes situés derrière un équipement qui fait du NAT est plus compliqué que ce que je croyais sur FreeSwan. <BR> <BR>J'en suis à me demander si il faut créer autant de certificat qu'il y a de machines clientes (roadWarrior enRTC ou natés). Et si c'est le cas, faut-il les nommer comme le nom que l'on utilise dans les fichiers de configuration "conn nom_du_poste". <BR> <BR>Existe t-il une solution plus simple avec MNF pour connecter des postes distants (établissement sans passerelle VPN + itinérants) sans devoir gérer chaque poste individuellement et sans affaiblir la sécurité ? Car si l'on a plusieurs centaines de postes distants ça devient compliqué à gérer... <BR> <BR>Merci pour vos commentaires. <BR>@+ <BR> <BR>_________________ <BR>Nous ne savons pas le vrai si nous ne savons la cause - PLATON<BR><BR><font size=-2></font>

[Umabel]

Ben met toi en NAT-T port 4500... c pu simple <BR>Sinon pour les certifs ... lol... evite de tous les rentrer... ca c pour l'ultime soluce... le suicide!!! lol

[netspirit]

J'étais déjà en NAT-T sur le routeur du site distant servant au test de pré-production. C'est un routeur NetGear RP614 qui est VPN pass through (donc NAT-T), seule ombre au tableau et c'est indiqué nulle part, ce routeur ne sait pas laisser passer plus d'un poste en NAT-T d'où mon problème lors de mes tests. Toutes mes configs étaient bonnes, juste un souci de matériel et aucune indication sur la doc Netgear ni sur leur site Web. <BR>C'est un des gurus de FreeSwan qui m'a mis la puce à l'oreille en me faisant faire différents tests. <BR>Sinon sur d'autres équipements compatibles NAT-T tout fonctionne correctement. <BR>petit conseil pour ceux qui comme moi auraient à déployer des VPN sur plusieurs sites distants qui ne doivent pas se voir et qui n'ont pas forcément accès aux mêmes ressources sur le LAN : Créer un certificat par entité et par groupe dans l'entité comme ça en cas de coupure administrative de l'accès au VPN pour x raison (rupture du contrat ou autre), vous ne bloquez que le certificat du groupe ou de l'entité. Pour ceux qui parlent Anglais il y a de très bonnes explications sur les certificats X.509 et leur utilisation ici : <!-- BBCode auto-link start --><a href="http://www.strongsec.com/index.htm" target="_blank">http://www.strongsec.com/index.htm</a><!-- BBCode auto-link end --> (puis voir dans FreeSwan et installation guide). <BR>Idem pour les RoadWarriors, faites un certificat par poste car si jamais vous en avez un qui se fait voler vous ne serez pas obligé de redéployer tous vos certificats ! C'est plus costaud à gérer au début mais la sécurité c'est aussi cela. <BR>@+ <BR>Olivier