Bonjour,

J'ai une question un peu bête. Nous possédons une connexion sdsl 2mo oleane. Nous souhaitons monter un vpn sur cette connexion pour des sauvegardes (c'est un zywall derrière le routeur oleane)

Cependant, il y a des ports qui semblent bloquer la négociation du vpn.

Quels sont les ports dont il faut demander l'ouverture?

Merci d'avance (c't'un peu chiant les tests avec oleane...)

L2TP ? PPTP ? IPSEC en AH et/ou ESP ?

IPSEC ESP-DES-SHA1  

up

Help  

l'ike (500) ? bootp_client et serveur (67 et 68) ?

je ne sais pô...

UDP 500 dans les deux sens pour les négociations des SA, plus IP protocole 50

Merci,

Je n'ai pas bien pigé ça       Je veux dire, il faut que je demande le protocole 50 sur le port 500 (et l'ouverture de ce dernier), c'est ça ?

non. La négociation des SA se fait en UDP sur le port 500.
 
Mais ensuite les paquets cryptés du VPN sont en ESP. ESP est encapsulé dans IP directement, il faut donc juste vérifier que l'équipement laisse passer le protocole 50
http://www.iana.org/assignments/protocol-numbers

Oki, merci

Je reviens vous embêter
 
J'ai fait ouvrir le port 500 udp et le protocole 50. Cependant ça ne marche pas...et comme je n'ai aucune main sur le outeur oleane, difficile de savoir pourquoi.
 
Ce que je sais c'est que la phase 1 ne passe pas. Les transmissions de paquets IKE se succèdent sans reponse. Pourtant le port 500 semble bien ouvert lorsque je fais un nmap sur l'adresse.
 
si quelqu'un a une idée....

Bonjour,
 
J'ai le même problème : connexion oléane avec un parefeu entre mon lan et le routeur cisco de chez oléane.
Mon parefeu est monté sur une mandrake avec shorewall. Je vois les paquets quitter l'interface wan de mon linux mais après ils sont paumés dans la nature. Je n'ai aucune réception de l'autre côté où je veux me connecter par vpn
 
Des infos là dessus ?

Nope, j'ai tjs le même soucis.  
 
Il n'y a, à mon avis, qu'une solution. Faire ça en direct, avec un techos de oleane qui pourra voir le log du routeur. J'vais essayer de voir cela cet après-midi, je te tiens au jus si j'ai du nouveau

Bonjour,

Je reviens sur mon problème...

Lors du montage du tunnel, le routeur A negocie avec le zywall en 80.15.40.40 (passe à travers du bintec par le port 500)
Le zywall reçoit comme remote 80.16.60.60, accepte et renvoie une transmission avec son adresse 192.168.1.2

Le routeur A reçoit cela, voit 192.168.1.2 en remote....qu'il ne connait pas et rejete la demande.

Si je mets dans le my address du zywall l'ip publique 80.15.40.40....ça ne passe pas
Si je mets 192.168.1.2 dans le remote du router A...ça ne passe pas, logique.

En un mot comme en cent.... HELP !  

je place un drapal et je te répondrai du taf, la j'ai pas le temps

Ok

Pour que l'ESP soit encapsulé dans de l'UDP 500 (afin de permettre le NAT) il faut activer l'option : NAT TRAVERSAL.
 
tu as fais ca?
 
Edit: après lecture plus approfondie tu as l'air de l'avoir fait ... je regarde mieux

Oui, c'est noté sur mon schema

 
Ton Bintec Oleane ne fait pas du NAT? tu devrais arriver en 80.15.40.40 de l'autre coté !

MMMhhhh....en fait il faudrait que mon routeur oleane soit en mode bridge....me demande si ils sont okay pour cela chez oleane

Soit ton Bintec est en mode bridge et c'est ton FW qui l'adresse 80.15.40.40.
 
Soit il fait du nat et ca revient au même en sortie.
 
Pour info: Notre routeur Oléane est en mode routeur mais il redirige TOUT le trafic vers notre deuxième adresse IP publique qui est affecté à notre FW.
 
N'avez vous pas plusieur adresse IP public?

Yep, à mon avis il natte tout sur le 192.168.1.2

Je ne comprends pas ?

Il y a quoi derrière la deuxième adresse ?

Soit il fait du nat et ca revient au même en sortie.

En sortie peut-être mais dans la negociation l'adresse qui est renvoyée, c'est l'adresse du FW/VPn....c'est à dire 192.168.1.2[b][/b]

Si ton bintec fait du NAT l'adresse visible sur ton Routeur A sera 80.15.40.40.
 
Si tu vas sur Internet par exemple ton Bintec fait bien du NAT pour pouvoir transmettre les réponse des serveurs web vers une adresse IP publique (donc routable)

Dans ta topologie réseau il y a 4 adresses:
 
LAN1 (ou adresse unique1) - passerelle VPN1   ---------------------- passerelle VPN 2 - LAN2 (ou adresse unique2)
 
donc:
 
192.168.1.0 - 80.16.60.60 ------------ 80.15.40.40 - 192.168.2.0
ou
192.168.1.10 - 80.16.60.60 ------------ 80.15.40.40 - 192.168.2.20

Nous sommes d'accord,

dans la negociation le routeur A reçoi bien un message de 80.15.40.40
Seulement, l'ip contenue dans le message c'est 192.168.1.2 (le myaddress du zywall qui gère le vpn)

Bon, c'est quoi comme VPN que tu veux monter?
 
C'est le Poste A (192.168.1.0) qui monte un VPN Client to LAN sur le Zywall?

En fait ce sont les deux

Je veux monter un tunnel de la becane 192.168.1.10 à la 192.168.2.20.

Ca fonctionne très bien, si il n'y a pas cette addition Bintec + firewall...et je pense que le fait qu'ils nattent tous les deux est redhibitoire

Alors il ne faut pas faire de NAT sur le BINTEC il faut donc avoir une IP publique sur le Zywall.
 
Avec ton SDSL oleane tu dois avoir un pack d'adresse IP publique donc tu en attribues une au Zywall.

Sinon il ne faut pas faire de NAT sur le Zywall car dans ce cas il ne sert à rien.

Pourquoi un pack d'adresses IP ?

Si j'ai une iP publique, et que le bintec est en bridge, c'est le zywall qui recupère l'ip publique (comme s'il etait relié à un modem classique), non ? pourquoi il en faudrait deux ?

'suis neuenu, j'pige vraiment pas la  

Ton bintec aura 80.15.40.40 et ton zywall 80.15.40.41 par exemple...
 
Le bintec fait office de routeur (Pas NAT) c'est tout.
 
Ton Zywall est donc accessible en direct du net.
 

Je n'ai pas la main sur le bintec....c'est oleane.

Je vois pas mal d'utilité au zywall derrière, notamment le fait qu'il gère la qos et l'aggregation de lignes.

Sans compter qu'une fois un port ouvert par oleane, il faut les rappeler pour le verouiller même si ce n'est que pour 24h...avec un zywall derrière je rebloque ce que je veux.

L'ideal serait que le bintec se comporte comme un modem classique

et donc mon Ip publique "utile" sera le 80.15.40.41 ?

 
Je te parlais pas de le supprimer, juste ne pas faire de NAT en sortie dans ce cas précis. Tu ne peux pas créer des règles spécifiques?
 
Bon alors ta solution c'est de demander à Oléane d'avoir ton adresse publique sur ton Zywall. comme je te l'ai dis juste au dessus

Un truc dans le genre ?

Yes, le bintec route tout ce qui arrive sur le 80.15.40.40 vers le 80.15.40.41.
 
Après tu peux leur demander de router que certains protocoles pour avoir un peu moins d'attaques sur le Zywall en direct.
 

bon, je viens de tout lire
 
alors, j'ai fais la meme chose a ma bouate
 
sauf qu'a la place d'un bintec oleane, c'est un modem adsl alcatel que j'ai (et un autre... mais c'est pas le sujet), et franchement, cascader des routeurs (bintec/zywall, ou alcatel/zywall dans mon cas), c'est la chiotte pour le VPN.... surtout quand, comme dans ce cas la, tu ne peux exposer ton adresse LAN sinon le routeur modem A ne capte plus rien.....
 
donc, Routeur alcatel (bintec pour toi) en bridge... du coup, c'est plus qu'un modem, et c'est le zywall qui s'occupe de tout.
 
sinon pour les ports....
 
si tu fais du GRE tunneling (souvent commun dans les VPN), faut ouvrir le port 1723 pour le protocole 47 (GRE)....

Je vais les appeler pour voir ce qu'ils peuvent faire
 
Une fois bintec en bridge, la connexion wan du zywall vous la comment ? En ethernet avec obtention auto de l'ip par l'isp je suppute...