IP d'un Roadwarrior (VPN)

[antarex]

Tout d'abord merci pour les nombreuses aides que ce forum m'a déjà apporté dans l'installation d'une MNF, elle commence à bien fonctionner comme je le souhaite <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>A présent je commence à lire les docs et mails concernant le VPN, afin de définir un roadwarrior (poste itinérant)... seulement voila, dans aucune des docs je ne vois à quel moment je dois configurer l'IP de mon subnet "LAN" que je souhaite attribuer au roadwarrior... <BR> <BR>Mon but donc... <BR> <BR>J'ai 3 interfaces sur ma MNF : WAN, LAN et DMZ <BR> <BR>WAN et DMZ utilisent des IP publiques, LAN utilise un range privé avec masquarading sur l'IP WAN. Je n'utilise pas de DHCP. <BR> <BR>Je souhaite établir un pont VPN à partir d'un portable extérieur afin que ce portable puisse utiliser une des adresses du LAN, afin d'avoir accès aux diffrentes machines du réseau. J'ai réservé à cet effet une adresse IP sur le subnet du LAN. <BR> <BR>Seulement voila, j'ai beau lire les docs sur le sujet, je ne trouve nulle part trace de la configuration de l'IP que je souhaite voir attribuée à mon roadwarrior une fois le pont VPN établi... MNF ne permettrait-elle que un pont "LAN to LAN" ? (donc sans attribution d'IP locale au poste client) <BR> <BR>

[tomtom]

Le client n'aura jamais une adresse du lan ! <BR>(du reste, même dans une config lan-lan, les plans d'adressage doivent etre differents !). <BR> <BR>t.

[antarex]

A quoi va me servir le VPN alors ? Mes stations sont configurées pour ne pas accepter de connexion depuis un autre subnet que celui du LAN, le principe même d'un VPN Roadwarrior est de placer une station unique dans le lan au travers d'un tunnel virtuel... <BR> <BR>Je ne vais quand même pas configurer mes machines pour accepter une connexion depuis 0.0.0.0/0 (ne connaissant pas l'IP que le roadwarrior va avoir sur le net) ce serait contraire au principe même de sécurité. <BR> <BR>Dans le cas d'un LAN-2-LAN je sais quel subnet (privé) utilise le lan de l'autre côté, je peux donc sur les stations autoriser ce subnet là uniquement, mais ce n'est pas le cas lorsqu'on parle d'un poste itinérant ayant comme seule connexion son IP publique internet variable...

[tomtom]

Et pourtant c'est le principe du road-warrior ! <BR> <BR>Tu fais des erreurs de conception. <BR> <BR>1- si le client road-warrior avait une adresse du lan, comment feraient les stations pour l'adresser ? Tu connais le protocole de routage ? Une station du lan veut parler à une autre station du lan, elle va faire une resolution d'adresse (arp) et va envoyer le paquet...sur le lan (puisque la station pense que l'autre est sur le lan bien sur !). Or ce paquet n'arrivera pas, à moins de mettre en place des mecanismes de proxy-arp; <BR> <BR>2-le filtrage de paquets en provenance d'internet au niveau du firewall ne se fait pas sur l'adresse source. Cela se fait sur l'interface d'entrée.. Une vois que le vpn est mis en place (moyennant une authentification forte !); les paquets envoyés par le client arrivent par une interface dediée (ipsec0 en general), et le firewall sait router les paquets dans cette interface vers le client distant. Il sait aussi les laisser passer vers le lan. <BR> <BR>En fait, cela marche exactement de la même manière que dans le cas du lan-lan. <BR> <BR>t. <BR> <BR>

[antarex]

> 1- si le client road-warrior avait une adresse du lan, comment feraient les <BR>> stations pour l'adresser ? Tu connais le protocole de routage ? Une station du lan <BR>> veut parler à une autre station du lan, elle va faire une resolution d'adresse (arp) <BR>> et va envoyer <BR> <BR>Le principe est le même que pour une passerelle dial-up par exemple, le serveur VPN (ici le firewall) configure sur sa propre interface LAN les adresses IP qu'il attribue aux clients VPN, une sorte de proxy-arp, c'est en tout cas ainsi que je l'ai toujours vu pour des clients itinérants (contrairement aux liaisons lan2lan qui elles routent 2 subnet définis à l'avance). <BR> <BR>C'est ainsi que cela se passe en tout cas avec le VPN de Cisco, celui de Symantec, celui de Watchguard et celui de MS. <BR> <BR>Et c'est d'ailleurs logique : en aucun cas les stations du réseau ne doivent pouvoir faire la différence entre une autre station du réseau et une station connectée à distance, cela doit être transparent à l'usage non ? <BR> <BR> <BR>> 2-le filtrage de paquets en provenance d'internet au niveau du firewall ne se fait <BR>> pas sur l'adresse source. Cela se fait sur l'interface d'entrée.. Une vois que le vpn <BR>> est mis en place (moyennant une authentification forte !); les paquets envoyés <BR>> par le client arrivent par une interface dediée (ipsec0 en general), et le firewall <BR>> sait router les paquets dans cette interface vers le client distant. Il sait aussi les <BR>> laisser passer vers le lan. <BR> <BR>Je ne parle pas au niveau des règles firewall mais au niveau des serveurs eux mêmes... j'ai certains doits sur les serveurs qui dépendent des adresses IP d'origine (à charge du firewall justement de garantir à mon serveur que l'IP qui se présente est bien celle qu'elle prétend, le firewall vérifie si il n'y a pas de spoofing, le serveur ensuite autorise les IP qu'il reconnait). <BR> <BR>Exemple simple, le serveur mail... je veux bien évidemment que ma station puisse utiliser le serveur mail du réseau pour envoyer des mails... mais ce serveur limite le droit de relay à certaines ranges d'IP... comment dois-je faire dans le cas du VPN Road-warrior de la MNF ? si l'adresse du portable en VPN est dans le masque 0.0.0.0/0 je ne peux quand même pas ouvrir le relay à tout le monde ?

[sebastien133]

La solution : Une translation d'adresse source du VPN vers le LAN... <BR> <BR>Cela doit pouvoir fonctionner... <BR> <BR>Respectueusement, <BR> <BR>Sébastien133.

[Guepi]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-01-14 22:55, antarex a écrit: <BR>(...) <BR>Le principe est le même que pour une passerelle dial-up par exemple, le serveur VPN (ici le firewall) configure sur sa propre interface LAN les adresses IP qu'il attribue aux clients VPN, une sorte de proxy-arp, c'est en tout cas ainsi que je l'ai toujours vu pour des clients itinérants (contrairement aux liaisons lan2lan qui elles routent 2 subnet définis à l'avance). <BR> <BR>C'est ainsi que cela se passe en tout cas avec le VPN de Cisco, celui de Symantec, celui de Watchguard et celui de MS. <BR>(...) <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je pense que tu parles d'un RAS (Remote Access Server) : Celui-ci s'accapare quelques adresses IP pour les postes clients qui l'appellent. Et c'est effectivement transparent ainsi. <BR> <BR>Ainsi, sur ton "LAN", le RAS possède 5/6 adresses IP, qu'il route vers les clients repsectifs. <BR> <BR>Un VPN ne va pas fonctionner de cette manière. <BR> <BR>Il faut considérer que les seules routes possibles sont des zones VPN vers LAN, et inversement. <BR> <BR>Tu peux bien évidemment prendre une classe 192.168.0.0/24 pour ton LAN <BR>et prendre une classe 10.0.0.0/24 pour ton VPN (voire même 192.168.1.0/24) <BR> <BR>