Astaro -- internet -- passerelle - winXP (VPN)

Ce forum traite des autres distributions spécialisées, notamment les distributions sécurisées comme ASTARO ou COYOTE LINUX.

Modérateur: modos Ixus

Astaro -- internet -- passerelle - winXP (VPN)

Messagepar Wizard_Spike » 16 Sep 2004 11:24

J'espère que mon titre était compréhensible... ;)

Mon travail ici est de monter un VPN entre une machine nomade Win XP et Astaro. J'ai pas mal bossé dessus et je suis arrivé à le faire avec deux systèmes différents. L'un avec le L2TP over IPSEC intégré à Win XP et configuré comme tel sous Astaro, et l'autre avec le Client Astaro pour windows. Les deux fonctionnent très bien dans le cas suivant:

Image

Seulement voilà... Lorsque je place une passerelle entre le Win XP et son modem, les deux systèmes que j'avais configurés ne fonctionnent plus.

Image

Le contexte réel dans lequel je devrai placer le VPN est que la passerelle n'est pas du tout accessible et donc non configurable.

J'ai entendu parler d'un "Nat through IPSec" que certains routeur ne gèrent pas à ce que j'ai compris. Je me suis dit que comme la passerelle faisait un masquage, ça pouvais peut-être être considéré comme une forme de NAT qui serait pas géré à partir du moment ou la trame est de type IPSec...
Mais j'ai essayé pas mal de choses et notamment ceci (vous avez l'temps? :P):

Lorsque WinXp envoie une trame d'ouverture d'un tunnel VPN à Astaro, celui-ci vérifie que les protocoles de communications et de cryptages sont bien configurés mais il vérifie également le contexte demandé. C'est à dire qu'il vérifie les deux réseaux (local et distant) qu'il doit interconnecter. Si la demande diffère de la configuration qu'il a, il refuse.

Donc si on reprend la configuration qui fonctionne (qui correspond au premier shéma que j'ai posé plus haut) avec le système du Client Astaro pour Windows installé sur la machine Win XP, Astaro est configuré comme suit:

192.168.100.0/24 === AAA.AAA.AAA.AAA ... -dynamic IP address-
.........LAN........................IP pub Astaro..............IP pub WinXP......

La machine WinXP est seule (pas de réseau derrière). Ce cas fonctionne et la machine WinXP peut faire un ping sur une machine du réseau LAN. Win XP n'a pas d'adresse ip privée pour le VPN mais qu'importe, les communications ne se feront que depuis WIn Xp vers LAN.

Donc lorsque WinXP fait sa demande de tunnel VPN il fourni le contexte (vu dans les logs de IPSec VPN dans Astaro):
192.168.100.0/24 === AAA.AAA.AAA.AAA ... une addresse ip pub fournie par le FAI à la connexion.
impec'

Par contre, si je place la passerelle entre WinXP et son modem, le contexte qu'il envoie diffère. En effet WinXP a maintenant une adresse ip privée 192.168.0.2 qui communique avec la passerelle 192.168.0.1 qui a l'ip publique fourni par le FAI.
Le contexte envoyé alors par Win XP est:
192.168.100.0/24 === AAA.AAA.AAA.AAA ... ip_publique[192.168.0.2] === 192.168.0.2/32
Je me suis dit que c'était le masquage de l'adresse ip par la passerelle qui faisait ça...
Du coup, Astaro refuse la connexion...

J'ai alors essayé autre chose... Dans la configuration d'Astaro, j'ai ajouté un réseau distant et j'ai configuré la connexion comme suit:
192.168.100.0/24 === AAA.AAA.AAA.AAA . . . -dynamic IP address- === 192.168.0.2/32
.........LAN.......................IP pub Astaro..............IP pub WinXP

Et là, miracle, le tunnel s'est monté!! Seulement problème... aucune communication ne passe... bah oui, j'ai l'impression qu'Astaro ou le Client se mélange les pieds et lorsque je ping une machine du LAN depuis Win XP, rien n'arrive... Pourtant le Tunnel est monté (du moins les messages l'indiquent mais après...).
Si le tunnel s'est monté, cela prouve-t-il que le routeur gère le NAT through IPSec? Ou est-ce simplement que les côtés croient que le tunnel est monté alors que c'est pas vrai?

Une idée? Je ne cherche pas nécessairement à utiliser la méthode indiquée plus haut, je cherche un moyen n'importe lequel, de faire fonctionner ce VPN dans le cas où j'ai une passerelle entre WinXP et son modem.

Merci d'avance (et merci d'avoir tout lu!! ;))
Linux c'est dur!! pfiou....
Avatar de l’utilisateur
Wizard_Spike
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 20 Août 2003 00:00

Messagepar Wizard_Spike » 27 Sep 2004 11:55

C'est juste pour dire que j'existe encore, que ce topic aussi (^^!) et que je recherche toujours la réponse à mon problème.
Si quelqu'un a une idée, une piste, qu'il n'hésite pas, même si c'est dans un mois (j'aurais sûrement trouvé une parade ou changé de système mais ça m'intéresse quand même!!)

Merci à tous
Linux c'est dur!! pfiou....
Avatar de l’utilisateur
Wizard_Spike
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 20 Août 2003 00:00


Retour vers Autres distributions

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron