Généralités sur la notion de VPN site à site

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Généralités sur la notion de VPN site à site

Messagepar TigreRouge » 10 Mai 2006 15:10

Bonjour à tous,

Je vais devoir bientôt mettre en place une liaison VPN site à site (2 PIX de CIsco) et je me pose encore des questions générales....

Admettons qu'on ait l'adressage suivant pour les 2 sites A et B:
A : 192.168.201.0/24
B : 10.0.1.0/24

Que va signifier concrètement l'établissement de la liaison VPN site à site entre A et B?
:arrow: Est ce que toutes les adresses de chacun des réseaux seront concernés par le VPN? Si oui, dans ce cas, quid du NAT? Comment faire la part des choses entre une sortie vers l'outside "classique" et un passage par le tunnel VPN?
:arrow: Si je suis sur le site A, est-ce que je pourrai pinger directement une adresse du site B?

Hum..je ne dois pas être très clair, mais c'est parce que ça ne l'est pas dans ma tête... :? Je n'arrive pas à me représenter la notion du VPN site à site (alors que client VPN - serveur VPN, j'arrive à le concevoir)... Je précise que j'ai fait des recherches sur le net avant de demander votre aide, mais sans succès...

Merci d'avance pour vos explications générales sur cette notion, pas bien compliqué certainement, mais pour un novice comme moi :wink:

TigreRouge
TigreRouge
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Juil 2004 12:24

Messagepar Methos_Hi » 10 Mai 2006 21:42

Virtuellement, c'est comme si tu avais un routeur sur chaque site interconnecté par une liason bas débit.

Une fois la connexion établie, ce n'est qu'un problème de routage.

Les clients doivent avoir les bonnes routes.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar Franck78 » 10 Mai 2006 23:35

Methos_Hi a écrit:Virtuellement, c'est comme si tu avais un routeur sur chaque site interconnecté par une liason bas débit.


Euh, pourquoi 'bas débit' ??? Une image plus correcte serait deux 'demi' routeur ou effectivement un routeur coupé en deux parties ou plus, ces parties étant reliées entres elles, généralement en étoile.
D'ou l'importance d'avoir un numéro de réseau différent pour chaque site.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Gandalf » 10 Mai 2006 23:42

Très ( très ) basiquement si tu as un réseau A et un réseau B, le tunnel VPN va permettre de rapprocher ces 2 réseaux et n'en faire qu'un ! C'est une image, bien sûr car ce n'est pas "techniquement" comme ça que ça se passe, mais le résultat ressemble à ça !
M. Caleca l'explique, encore une fois, mieux que moi ( je sais, c'est pas dur :? ! ) : http://christian.caleca.free.fr/vpn/le_principe.htm

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Methos_Hi » 11 Mai 2006 00:11

Les extrémités des tunnels sont des routeurs à part entière avec des tables de routage qui vont bien.
Ils peuvent même être firewall pour filtrer les flux entre les réseaux.

Bas débit car les liaisons xDSL pro plafonnent dans la plupart des cas à 2Mbits, et l'upload des ADSL 2+ public à 1 MBit.
J'aurais pu dire moyen débit pour différencier du RTC ou RNIS.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar TigreRouge » 11 Mai 2006 10:38

Ok, merci pour vos éclaircissements.

Je retiens que monter un tunnel VPN site à site équivaut à interconnecter deux routeurs distants, au travers du net. L'ensemble routeur A - tunnel - routeur B équivaut alors à un unique routeur comme l'explique M. Caleca.
Et si je comprends bien, c'est pour ça qu'il faut un numéro de réseau différent pour chaque site :?: Pour éviter des pbs de routage :?: Comment ferait-on si on avait 2 numéros identiques :?:

Une autre question. J'ai le réseau suivant:
Image
(tiré du site Cisco)

Une fois un tunnel VPN site à site monté entre les 2 firewall PIX, doit-on encore configurer les clients au niveau de leur table de routage :?:

Merci d'avance pour vos lumières :wink:
TigreRouge
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Juil 2004 12:24

Messagepar Methos_Hi » 11 Mai 2006 23:35

Je ne comprends pas trop ce que sont les routeurs dans ton schéma. Si ce sont les PIX qui établissent le tunnel, ce sont eux les routeurs qui donnent accès au tunnel.

Pour le routage, si ce sont déjà eux respectivement pour chaque site les passerelles par défaut pour les clients, il n'y a rien à faire.
En revanche, dans le cas contraire, il faut un route sur chaque client qui indique que pour le réseau distant il faut utiliser le PIX local.

Lorsque les réseaux sont les mêmes, c'est la $%#&!. Il existe bien des astuces avec du MASQUERADING ou du NAT statique mais c'est dur à maintenir.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron