Bonjour je suis stagiaire dans une société de service en informatique et me voila bien embêté pour l'établissement d'un tunnel VPN IPsec.
En effet je dois établir un tunnel entre deux sites en utilisant des Zywall 2+.
 
la configuration fonctionne très bien (testé en local), mais aujourd'hui en réel rien ne fonctionnent.
le firewall VPN est la passerelle par defaut du LAN 150.0.0.0/24 mais il est lui méme dans un LAN 192.168.2.0/24
le modem routeur est un sagem noir et blanc de chez Nordnet et il redirige tous les protocoles vers l'ip du firewall.
 
Avez vous une idée?  
 
           IP WAN
 ******ROUTER*******
       192.168.2.254
              |
              |
       192.168.2.253
******ZYWALL*******
        150.0.0.99
              |
              |
            LAN
 
PS: d'autre service fonctionne très bien (TN5250,FTP,L2TP...)

le lan en 150.0.0.0 utilise de l'adressage public, ce qui n'est pas top;  
 
pour l'ipsec avec le nat, il faut s'assurer que les flux udp 500 et 4500 sont bien transmises par le routeur WAN vers le zywall, et que l'option nat-t (ou nat traversal) est bien activée.

Salut,
 
As-tu une option IPSEC Passthrough sur le modem Sagem ?

Si tu fais de l'ipsec en AH ça ne passe pas le NAT

le lan en 150.0.0.0 n'est pas un problème et tous les protocoles sont redirigé vers l'ip wan du firewall 192.168.2.253.
je n'ais pas la main sur le modem Sagem le FAI ne veut pas me donner le mot de passe la seul chose qu'il me propose c'est de changé pour un modem bridgé.
mais moi je veux que sa fonctionnent derrière sans changé de matérielles. C'est possible ???

redirigé ou pas, si tu modifies le paquet, AH va gueuler puisque le paquet est modifié donc invalide

donc sa marche pas?

vu qu'on a aucune idée de ta conf on risque pas de pouvoir te répondre.

pourquoi tu demande ma config? avant ça tu me disait que c'est pas possible?!?!?

Y'en a qui font vraiment tout pour qu'on les aide

il y a un "Si" au début de la ligne de dreamer18. N'ayant aucune info il met des suppositions. Soit tu les donnes et il peut te conseiller, soit tu regardes par toi même.
 
Ptetre qu'il te demande les infos pour pouvoir te hacker hein  

la supposition est justement vraie c'est bien de l'ipsec en Authentication Header et il dis que c'est pas possible, le problème ne vient pas de la! pourquoi il me demande ma config???

Parce que personne ici n'est devin et personne ne peut répondre sans connaître les différents éléments du réseau/configuration. En ayant connaissance de toute ta configuration tu ne peux répondre à ton problème, comment veux tu que quelqu'un n'ayant quasiment aucune info, on peut t'aider ?

A part donner éléments classiques (style NAT traversal, translation UDP 500 vers l'end point, nat vs AH, etc...) tu n'aura aucune réponse concrête.

Il suffit souvent d'un détail omis pour que l'on réponde à côté donc soit tu donnes des éléments, soit tu te débrouilles tout seul