Je rencontre différents souci dans la mise en place de mon VPN entre le siège principal du bureau (ipfixe, routeur nat) et d'autres postes (adsl particuliers ou cable).
Pour info, j'ai deux IPCOP en 1.4. L'un connecté via le câble, l'autre derrière un modem/routeur qui fait du NAT et qui est géré par mon FAI. (le routeur NAT transfert tous les ports vers mon ipcop et les protocols 50 et 51).
- Code: Tout sélectionner
Bureau INTERNET Collaborateurs
LAN-----IPCOP1-RouteurNAT-------INTERNET------Modem-IPCOP2---LAN
Afin de résoudre les différents soucis qui empêchent la mise en place de ce VPN, j'ai décidé de mieux comprendre le VPN IPsec, IKE en lisant un max de docs. J'ai donc parcouru le forum, et les docs suivantes.
Ma petite liste de leture:
http://forums.fr.ixus.net/viewtopic.php?t=24737
le newbie kit ipcop et son post sur "Configurer le VPN avec certificat entre 2 ipcops 1.4.0 & supérieur " la base, pragmatique mais empirique.
http://www.fr.ixus.net/pdf/mini-howto-vpnnat.pdf
How to en français pour mettre en place un vpn entre deux ipcop dont un est derrière un routeur qui fait du NAT..
http://www.fr.ixus.net/pdf/mini-howto-vpnnat.pdf
en inglich (english) encore du nat et du VPN avec exemple de fichier conf et schéma
http://www.commentcamarche.net/initiation/vpn.php3
les VPNs, une bonne introduction pour une vue d'ensemble
http://fr.wikipedia.org/wiki/VPN
les VPNs, une bonne introduction pour une vue d'ensemble (g l'impression que g déjà vu ça qqpart...)
http://www.securiteinfo.com/crypto/IPSec.shtml
Bonne vue d'ensemble et bonnes explications. Bonnes descriptions des composants du VPN IPSEC.
Permet de se rendre compte que derrière la simple interface grafique d'IPCOP se trouve une technique très pointue!! Plus on lit, plus on se rend compte que c complexe!!!
http://www.orbytes.fr/Site/ORBYTES_LABS/COURS/VPN/VPN.html
sortez les aspirines...là on comprend qu'on a rien compris
http://www.lesnouvelles.net/articles/vulnerabilites/693-vulnerabilite-niscc-vpn-ipsec.html
VPN ipsec, vulnérabilité, c'est pour plus tard mais bon je le garde sous le coude
Je pourrais vous taper ma config et mes logs de tentative de connection VPN en attendant votre soluce mais je préfère encore essayer de comprendre et résoudre le truc de manière logique et non pas empirique.
J'ai malgré tout quelques petites questions affin d'essayer de résoudre par moi même (+/-) mes soucis...
le VPN ipcop 1.4 est-il toujours une implémentation freeswan? Je viens de lire que IPCOP 1.4 utilise OPENSWAN. Le "howto ipcop derrière NAT" est fait pour une version 1.2 qui utilisait freeswan. Ce howto est-il toujours valable? (edit du 26 aout)
Le contenu du mini howto ipcop derrière un routeur NAT est-il toujours valable? Ma question sous jacente est, est-il possible de faire ce que propose le howto via l'interface grafique plutot que el lignes de commandes. Ce n'est pas qu'une question de fénéantise, c'est aussi et surtout l'intérret de garder un IPCOP non "customisé" et de garder une config "standard" qui peut être backupée par la suvegarde simple de la config ipcop.
J'entend parler au gré de mes lectures de l'option "nat traversal" s'active-t-elle dans ipcop (si oui comment) ou sur le routeur qui fait du nat?
si j'ai bien compris, le mode net to net correspond au mode "tunnel" (par opposition au mode "transport") ou bien correspond-t-il au mode nesting ?
si j'ai toujours bien compris ipcop utilise un secret partagé (ce sont les cacert et hostcert)(incompatible avec le NAT), pour remplacer le secret partagé on utilise RSA (voire le how to vpn derrière nat).
Quel protocol IPCOP utilise-til pour le transfert des données? AH, ESP ou les deux? Est-il possible de n'utiliser que ESP (qui semble plus compatible avec le NAT)? Si oui comment?
Savez-vous si la partie VPN du guide d'administration sera prochainement disponible?
Après ces lectures, je vous avoues que je suis arrivé à un stade ou plus je lis moins je comprend
ou du moins plus je me rend compte que je ne connais rien... C'est incroyable cette débauche de technologie derrière nos petits boutons...
