Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2058 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Tunnel IPSEC, LB Pro v3, Zywall, solutions de contournements ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Tunnel IPSEC, LB Pro v3, Zywall, solutions de contournements ?

n°148495
Zboss
Si tu doutes, reboot...
Posté le 22-08-2017 à 13:13:50  profilanswer
 

Bonjour à tous,
 
Un de mes clients (PME) m'a contacté pour mettre en place un VPN afin que ses salariés nomades puissent se connecter au réseau de l'entreprise. Jusqu'alors l'existant était une liaison fibre avec une Livebox Pro v3, et pas d'équipements supplémentaires. Je propose donc l'achat d'un FW Zywall à placer derrière la Livebox, dans une DMZ (d'expérience ça marche plutôt pas mal) ainsi le Zywall s'occupe de tout, le VPN IPSEC nomade, le NAT, et en plus j'ai des logs plus précis, bref le client accepte.
 
Le problème c'est que lorsque j'ai reçu le Zywall et que j'ai voulu l'installer, je me suis rendu compte qu'il existait un tunnel VPN IPSEC de Livebox Pro à Livebox Pro entre mon client et un de ses partenaires (et personne n'avait pensé à me dire, en fait ils avaient oublié à quoi il servait mais il est bien utilisé...), et donc on se retrouve dans ce schéma :
 
http://zboss01.free.fr/Forum/Sol1.png
 
Au début, pas de panique, ça a l'air d'être de l'IPSEC classique sur la Livebox, donc je me dis que je vais réussir à reconfigurer le VPN entre le Zywall de mon client et la Livebox distante. Mais rien à faire, le tunnel ne monte pas. Je me renseigne sur Internet, et sur le site de Zyxel je tombe sur :  
 

Citation :

Nous avons également constaté avec certains clients qu'il est impossible de monter un tunnel VPN IPSec entre un USG et une Livebox v3.
Nous obtenons des message d'erreurs indiquant une incompatibilité entre les 2 protocoles.


 
Bon ça commence à sentir mauvais cette histoire.  :sweat:  Je commence alors à me dire que je pourrai placer un Zywall également du côté du partenaire de mon client, et que ça pourrait être la solution. Mais non ! Du côté du partenaire la Livebox gère par moins de 10 tunnels VPN avec d'autres partenaires, et à chaque fois de Livebox à Livebox ! (au passage c'est la première fois que je voyais un tunnel IPSEC fonctionner entre Livebox, et là j'en découvre un paquet d'un coup  [:ddr555] ).  
 
http://zboss01.free.fr/Forum/Sol2.png
 
Donc bon, je suis un peu baisé.
 
Je réfléchis et je me dis qu'il y a peut être moyen de maintenir le tunnel VPN IPSEC entre les Livebox, et en configurant les routes statiques adéquates sur les 2 Livebox Pro (si c'est possible !) peut être que j'ai un moyen de faire fonctionner le tunnel, mais à ce moment j'imagine que mon Zywall ne pourra plus faire office de serveur VPN IPSEC pour les connexions nomades, et que tout ce qui concerne l'IPSEC sera intercepté par la Livebox...
 
http://zboss01.free.fr/Forum/Sol4.png
 
Voyez -vous d'autres solutions ?  
 
 :hello:

Message cité 1 fois
Message édité par Zboss le 22-08-2017 à 16:59:54

---------------
Mario Kart for Ever
mood
Publicité
Posté le 22-08-2017 à 13:13:50  profilanswer
 

n°148501
Zboss
Si tu doutes, reboot...
Posté le 22-08-2017 à 17:18:24  profilanswer
 

Bon déjà après les premiers tests, si la Livebox 1 est configuré avec une DMZ qui pointe sur le Firewall Zyxel, le VPN ne monte pas (c'est logique dans un sens), donc je vais même devoir oublier la DMZ pour arriver à mes fins...  
 
Par contre je peux rajouter une route statique dans les Livebox Pro, donc ça au moins ça devrait marcher...


---------------
Mario Kart for Ever
n°148510
neodam
c'est joli mais ça sert a rien
Posté le 23-08-2017 à 00:03:44  profilanswer
 

Laisse tomber ton Zyxel et l'IPsec et fourgues lui un routeur qui gere OpenVpn (sur le site de pfsense ils ont plusieurs modeles) et fait du Road Warrior.

 

et encore plus easy tu fais toi meme l'appliance avec le PFS dedans.

 

ou part sur un autre type de VPN si le zywall est en mesure de le faire, du L2TP par exemple.

Message cité 1 fois
Message édité par neodam le 23-08-2017 à 00:05:13

---------------
LastFm
n°148516
BMenez
Posté le 23-08-2017 à 09:01:32  profilanswer
 

neodam a écrit :

ou part sur un autre type de VPN si le zywall est en mesure de le faire, du L2TP par exemple.


 
Mais du L2TP over IPsec ! :o  

n°148521
Zboss
Si tu doutes, reboot...
Posté le 23-08-2017 à 09:25:03  profilanswer
 

Avec le SSL-VPN proposé par le Zywall, je peux tout faire passer par le tunnel ou juste appli web et partage de fichiers ?


---------------
Mario Kart for Ever
n°148533
BMenez
Posté le 23-08-2017 à 10:46:05  profilanswer
 

Tu peux tout faire passer.

n°148536
Zboss
Si tu doutes, reboot...
Posté le 23-08-2017 à 11:08:16  profilanswer
 

Le Zywall propose IPSEC, L2TP (comme disait Neodam) et SSL-VPN. Je peux peut être m'en tirer honorablement avec un SSL-VPN ? Ça a l'air plus simple à mettre en place en plus (jamais utilisé autre chose que de l'IPSEC ou du PPTP encore ^^ )


Message édité par Zboss le 23-08-2017 à 11:08:50

---------------
Mario Kart for Ever
n°148537
BMenez
Posté le 23-08-2017 à 11:20:16  profilanswer
 

Le seul soucis des VPN SSL, c'est les clients (pas maintenus bien souvent ou provoquant des incompatibilités). Autrement côté utilisateur c'est souvent simple et efficace.

n°148547
Zboss
Si tu doutes, reboot...
Posté le 23-08-2017 à 12:13:35  profilanswer
 

Je vais essayer les autres types de VPN mais en conservant le Zywall. Déjà parce que je ne sais pas si je peux le renvoyer :D , et ensuite car dans le futur le client veut un double WAN et d'autres trucs que le Zywall fera très bien.


---------------
Mario Kart for Ever
n°148578
neodam
c'est joli mais ça sert a rien
Posté le 23-08-2017 à 19:30:25  profilanswer
 

Si c'est comme sur stormshield,
le SSL-VPN derriere c'est de l'OpenVPN a leur sauce (notamment sur le port 443 ) et meme si ils te disent de passer par leur applis propriétaire et payante pr le VPN, bah tu peux le faire avec n'mporte quel client OpenVPN qui tiens la route.


---------------
LastFm
mood
Publicité
Posté le 23-08-2017 à 19:30:25  profilanswer
 

n°148605
Charon_
Posté le 24-08-2017 à 16:48:28  profilanswer
 

Zboss a écrit :

Bonjour à tous,

 

Un de mes clients (PME) m'a contacté pour mettre en place un VPN afin que ses salariés nomades puissent se connecter au réseau de l'entreprise. Jusqu'alors l'existant était une liaison fibre avec une Livebox Pro v3, et pas d'équipements supplémentaires. Je propose donc l'achat d'un FW Zywall à placer derrière la Livebox, dans une DMZ (d'expérience ça marche plutôt pas mal) ainsi le Zywall s'occupe de tout, le VPN IPSEC nomade, le NAT, et en plus j'ai des logs plus précis, bref le client accepte.

 

Le problème c'est que lorsque j'ai reçu le Zywall et que j'ai voulu l'installer, je me suis rendu compte qu'il existait un tunnel VPN IPSEC de Livebox Pro à Livebox Pro entre mon client et un de ses partenaires (et personne n'avait pensé à me dire, en fait ils avaient oublié à quoi il servait mais il est bien utilisé...), et donc on se retrouve dans ce schéma :

 

http://zboss01.free.fr/Forum/Sol1.png

 

Au début, pas de panique, ça a l'air d'être de l'IPSEC classique sur la Livebox, donc je me dis que je vais réussir à reconfigurer le VPN entre le Zywall de mon client et la Livebox distante. Mais rien à faire, le tunnel ne monte pas. Je me renseigne sur Internet, et sur le site de Zyxel je tombe sur :

 
Citation :

Nous avons également constaté avec certains clients qu'il est impossible de monter un tunnel VPN IPSec entre un USG et une Livebox v3.
Nous obtenons des message d'erreurs indiquant une incompatibilité entre les 2 protocoles.

 

Bon ça commence à sentir mauvais cette histoire.  :sweat:  Je commence alors à me dire que je pourrai placer un Zywall également du côté du partenaire de mon client, et que ça pourrait être la solution. Mais non ! Du côté du partenaire la Livebox gère par moins de 10 tunnels VPN avec d'autres partenaires, et à chaque fois de Livebox à Livebox ! (au passage c'est la première fois que je voyais un tunnel IPSEC fonctionner entre Livebox, et là j'en découvre un paquet d'un coup  [:ddr555] ).

 

http://zboss01.free.fr/Forum/Sol2.png

 

Donc bon, je suis un peu baisé.

 

Je réfléchis et je me dis qu'il y a peut être moyen de maintenir le tunnel VPN IPSEC entre les Livebox, et en configurant les routes statiques adéquates sur les 2 Livebox Pro (si c'est possible !) peut être que j'ai un moyen de faire fonctionner le tunnel, mais à ce moment j'imagine que mon Zywall ne pourra plus faire office de serveur VPN IPSEC pour les connexions nomades, et que tout ce qui concerne l'IPSEC sera intercepté par la Livebox...

 

http://zboss01.free.fr/Forum/Sol4.png

 

Voyez -vous d'autres solutions ?

 

:hello:

 

Edit : c'est pour du client Nomade, je pensais avoir vu pour du IPSEC L2L, ... :-)
Ca peut aussi marcher dans ce sens. en faisant un tunnel classique en IKEv1 et les clients peuvent utiliser un client du type ShrewSoft.

 

Je n'ai pas tout lu tous les commentaires, mais pour faire du VPN sur un FW derrière un router qui te fait déjà le NAT, il faut simplement que le NAT-T fonctionne.
Il faut donc vérifier que le traffic UDP 4500 passe du routeur et sois dirigé vers ton FW afin que ton IPSEC fonctionne. Le site distant doit aussi supporter NAT-T dans ce cas précis.


Message édité par Charon_ le 24-08-2017 à 16:51:24

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Tunnel IPSEC, LB Pro v3, Zywall, solutions de contournements ?

 

Sujets relatifs
Livebox pro v3 + 2ème routeur sans mode bridgeVPN L2TP/IPSec PSK Windows 2008 et clients Android/IOs
VPN IPSec entre 1 modem-routeur et 1 routeurblocage ipsec
Stormshield v2 -> v3IPSec sur NAT
VPN ipsecWin 10 Pro sur domaine - empecher accès partages réseau
[RESOLU] SN300 et Config IPSecRéseau local en wifi ? Quelles solutions hardware.
Plus de sujets relatifs à : Tunnel IPSEC, LB Pro v3, Zywall, solutions de contournements ?



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR