IPTable et VPN

[morind79]

Bonjour, <BR> <BR>Voila, j'ai un petit soucis. Pour avoir acces au reseau de mon entreprise, je <BR>passe par une connexion VPN. Je travail de chez moi, j'ai une connexion <BR>ADSL et un ordinateur portable sous Windows 2000. Tout marche bien <BR>lorsque je me connecte a Internet via mon modem Speedtouch USB ADSL, <BR>je rentre sans soucis avec Cisco VPN client. <BR>Puis dernierement, je me suis dis que ce serait cool de pouvoir heberger <BR>sa propre messagerie, site web chez soi, donc Linux. J'ai choisi la RedHat <BR>car elle me paraissait mieux (allez savoir pourquoi) <BR>J'ai donc mis le modem ADSL sous RedHat 8, cree les scripts de connexion <BR>auto et reconnexion auto, et ai partager l'acces internet. <BR>La connexion Internet marche, et j'utilise RedHat comme passerelle, tout <BR>marche, la preuve jevous ecris ! <BR> <BR>Voici le schema de mon tout petit reseau : <BR> <BR>Internet <-> Modem ADSL <-> RedHat 8 <-> Portable sous Win2000 <BR> <BR>De mon portable, je peux surfer, recuperer mes Email, allez sur des sites <BR>FTP... Mais, lorsque je lance ma connexion VPN (de mon portable), rien <BR>ne se connecte, il me dit : Remote peer is no longer responding <BR> <BR>Qqu'un aurait une idee, merci de m'aider, je suis extremement debutant <BR>sous linux. <BR> <BR>Merci a tous <BR> <BR>Denis

[stardust]

Salut, <BR> <BR>En fait c'est un pas évident à expliquer clairement : <BR> <BR>Avant, lorsque ton portable était connecté directement à ton modem ADSL, c'est ton portable qui récupérait pour lui même l'adresse IP publique affectée par ton fournisseur d'accès. <BR> <BR>Maintenant c'est ta REDHAT. <BR> <BR>J'imagine que tu as un réseau privé derrière ta REDHAT et que tu fais de la translation d'adresse (Sinon tu ne pourrais pas surfer !!) <BR> <BR>Le problème vient de la translation justement car IPSEC ne la supporte pas. <BR> <BR>POURQUOI ça marche pas au travers de la translation (infos Netasq): <BR> <BR>Lors de l’établissement d’un tunnel VPN, il y a création d’une SA (Security Association) pour les deux entités distantes. Cette SA contient les paramètres permettant aux deux entités de mettre en place les services de sécurité entre elles. Elle contient le protocole de sécurité AH ou ESP utilisé avec les services de sécurité (confidentialité, intégrité, authentification, protection contre le rejeu), les algorithmes et clés de chiffrement, la fonction de hachage. La SA contient aussi le mode du protocole IPSEC (tunnel ou transport), la durée de vie de la SA. Une SA est identifiée par le triplet suivant : <BR> <BR>- indice SPI (Security Parameters Index) <BR> <BR>- adresse de l’équipement de sécurité distant <BR> <BR>- protocole de sécurité (AH ou ESP) <BR> <BR>Un tunnel est associé à une SA (remarque : la SA est recréée au bout d’un intervalle de temps défini). Il est donc directement associé aux adresses IP des extrémités. Les adresses utilisées pour identifier une SA sont les adresses privées des extrémités. <BR> <BR>Lorsqu’une extrémité du tunnel reçoit une demande d'établissement de tunnel VPN, elle vérifie si le tunnel demandé a bien été défini par l'administrateur (tunnel défini au moyen de l'interface graphique). Si c'est le cas, le tunnel VPN se monte entre les deux extrémités. <BR> <BR>Ensuite, lorsqu'une extrémité reçoit un paquet ESP du tunnel VPN, elle vérifie à quelle SA correspond le paquet reçu. Si l’adresse IP source est modifiée, l’entité ne peut plus déterminer la SA correspondante et les paquets ESP sont rejetés. <BR> <BR>La translation d’adresse sur la route que devrait emprunter un VPN interdit la création de ce dernier puisque l’adresse source d’une des extrémités est modifiée (adresse privée vers adresse publique). <BR> <BR>Il faut utiliser une astuce : <BR>- Encapsuler les paquets ESP/IP dans de l'UDP, ou bien <BR>- Encapsuler les paquets ESP/IP dans du TCP ou bien <BR>- Faire du NAT-Traversal (NAT-T) <BR>J'ai aussi entendu parler d'une fonctionnalité nommée "IPSEC pass through" <BR>Il existe peut être d'autres astuces ??? <BR> <BR>Malheureusement pour toi, je ne sais pas te dire comment cela se configure, ni si cela est possible, sur ta REDHAT <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Je crois que dans le client VPN Cisco on peut choisir un mode IPSEC/TCP ou IPSEC/UDP ... <BR> <BR>Si tu avance sur ce sujet, je suis intéressé. <BR> <BR>Je te souhaite bon courage.

[morind79]

Salut, <BR> <BR>Merci de votre reponse, je vais faire des recherches.... <BR> <BR>J'ai deja trouve un site qui parle de NAT-T avec <!-- BBCode auto-link start --><a href="http://www.freeswan.org/" target="_blank">http://www.freeswan.org/</a><!-- BBCode auto-link end --> <BR>mais je ne sais pas trop. <BR> <BR>Je pensais qu'avec une regle dans IPTable le tour serait joué mais, ce n'est pas <BR>le cas. <BR> <BR>Si il y a d'autre infos, n'hesitez pas a en faire part sur ce forum. <BR> <BR>Merci <BR> <BR>Denis

[tomtom]

Un moyen encore plus simple serait de configurer le VPN sur la passerelle ! <BR>Si c'est de l'IPSec (ce que sous-entend la reponse précédente), tu peux facilement moter le tunnel avec Freeswann, à condition de pouvoir également toucher à la config coté boulot. <BR> <BR>Une autre piste : <BR><!-- BBCode auto-link start --><a href="http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html" target="_blank">http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html</a><!-- BBCode auto-link end --> <BR> <BR>Permet de passer un vpn au travers d'une connexion natée avec IPTables... <BR> <BR>Attention, il y a du boulot et il faut bien comprendre les principes, mais ca marche : Je 'ai fait ! <BR> <BR>Bon courage ! <BR> <BR>Thomas

[morind79]

Bon, <BR> <BR>je crois avoir resolu mon probleme, je passe en UDP, et tout marche correctement. <BR> <BR>Voila. <BR> <BR>A Bientot <BR> <BR>Denis