Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1631 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN IP-Sec Site-to-site : Routages ?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

VPN IP-Sec Site-to-site : Routages ?

n°153438
789456132a​ze
Posté le 19-04-2018 à 12:11:22  profilanswer
 

Bonjour,
 
J'ai une petite question concernant de routage concernant une connexion VPN IPSec Site-to-site.  
J'ai deux réseaux :
       -A : 192.168.1.0 (Adresse réseau) / 255.255.255.0 (Masque) / 192.168.1.1 (Adresse routeur)
       -B : 192.168.2.0 (Adresse réseau) / 255.255.255.0 (Masque) / 192.168.2.70 (Adresse routeur)
 
La liaison IPSec est mise en place, cependant j'aimerais depuis le réseau A accéder aux équipements du réseau B, et inversement. Comme ils ne sont pas sous le même sous réseau j'imagine que je dois ajouter des règles de routage...
Je dois aussi pouvoir me connecter avec un VPN PPTP à un de ces routeurs (Donc soit avoir une adresse en 192.168.1.XXX ou 192.168.2.XXX) et pouvoir accéder aux équipements de l'autre réseau. Le mieux serait donc d'avoir des routages des adresses en 192.168.2.XXX vers des adresses en 192.168.1.XXX
 
Quelles règles dois-je ajouter ? J'ai essayé plusieurs choses mais ça ne fonctionne pas (ci-dessous capture)
http://www.image-heberg.fr/files/15241323851893633692.jpg
 
 
 
 
Merci !  :)  
 
 

mood
Publicité
Posté le 19-04-2018 à 12:11:22  profilanswer
 

n°153439
Ivy gu
Posté le 19-04-2018 à 12:13:41  profilanswer
 

ipsec route based ou policy based ?


---------------
Infused with cruelty, malice, and abstract jazz music.
n°153440
789456132a​ze
Posté le 19-04-2018 à 12:18:16  profilanswer
 

Route based je suppose. C'est transparent sur les routeurs

n°153441
Je@nb
Modérateur
In ze cloud
Posté le 19-04-2018 à 12:58:37  profilanswer
 

regarde qd même c'est pas aussi simple

n°153443
789456132a​ze
Posté le 19-04-2018 à 13:57:00  profilanswer
 

C'est bien du route based dont il s'agit

n°153445
Ivy gu
Posté le 19-04-2018 à 14:22:47  profilanswer
 

donc tes routes sont à créer via les interfaces tunnel de part et d'autre.


---------------
Infused with cruelty, malice, and abstract jazz music.
n°153449
789456132a​ze
Posté le 19-04-2018 à 16:11:55  profilanswer
 

Peux-tu détailler un peu plus stp?
 
Dans mon routeur, les seules possibilités de routage sont : routage statique, DNAT ou SNAT. Aucune possibilité de créer des routes dans la configuration du tunnel
 

n°153456
Ivy gu
Posté le 19-04-2018 à 17:00:41  profilanswer
 

c'est pas dans la configuration du tunnel, c'est une route statique.


---------------
Infused with cruelty, malice, and abstract jazz music.
n°153457
Charon_
Posté le 19-04-2018 à 17:18:02  profilanswer
 

Elle est bizarre ta route en tout cas. Une addresse IP de host pour une route avec un masque en /24 ?
Je te conseillerai plutôt un masque /32 si c'est une route pour 1 IP.
Ou bien de préciser le subnet 192.168.2.0/24 à la place.
 
Pour ton PPTP, tu dois déclarer un autre subnet car celui-ci autorisera des clients "remote", pas directement connecté à ton FW. Ensuite, il faudra simplement autoriser cela dans ta policy.
Pour le route based ou policy based, tout dépend si ton VPN sur le hardware utilise une interface virtuelle (route based) ou des "access-list" (SRC IP - DST IP qui premettrai d'identifier à quel tunnel cela correspond) : Policy based

n°153458
789456132a​ze
Posté le 19-04-2018 à 17:36:11  profilanswer
 

J'ai bel et bien déclaré une route statique dans chacun des routeurs (Voir capture ci-dessous)
http://www.image-heberg.fr/files/1524151906638495750.png
 
Entre routeurs j'arrive à pinger les équipements réciproquement. Cependant étant donné que je me connecte à un des sites en VPN PPTP, j'ai une adresse IP qui m'est donnée par le DHCP (Donc j'ai soit une adresse en 192.168.1.XXX, soit en 192.168.2.XXX) --> Impossible d'avoir accès aux équipements !
 
J'aurai plutôt voulu tout mettre sur le même sous-réseau ("Translater" les adresses en 192.168.2.XXX en 192.168.1.XXX serait parfait), afin d’accéder sans encombre à tous les équipements
 
 
Merci

mood
Publicité
Posté le 19-04-2018 à 17:36:11  profilanswer
 

n°153459
Charon_
Posté le 19-04-2018 à 17:40:41  profilanswer
 

Normalement, pour le PPTP, tu devrais avoir un autre addressage IP, car ce dernier est assigné à des host accessible via VPN -> WAN.
Le fait qu'ils héritent d'une IP prevenant d'un DHCP du LAN n'est pas correct. A moins que ce DHCP soit ton FW auquel cas, il devrait tout de même allouer un espace différent pour bien faire les choses.
 
En gros maintenance tout fonctionne pour ton site-to-site VPN, hormis lorsque les clients se connectent via remote VPN (PPTP) ?

n°153461
789456132a​ze
Posté le 19-04-2018 à 17:52:58  profilanswer
 

Tout ne fonctionne pas bien non. Le ping des équipements est possible réciproquement depuis les 2 sites, MAIS...
   -Si je me connecte avec mon PC en local sur le site A ou B, je me vois attribuer une adresse en 192.168.1.XXX ou 2.XXX par le DHCP. Les équipements de l'autre réseau sont inaccessibles (Pourtant j'arrive à les pinger depuis le routeur)
   -Si je me connecte en VPN PPTP, c'est la même galère puisque c'est le DHCP aussi qui m'attribue une adresse  
 
Il n'y a pas de firewall, juste deux modems-routeurs

n°153463
Charon_
Posté le 19-04-2018 à 18:04:58  profilanswer
 

Au niveau de ton domaine d'encryption, il doit y avoir quelque chose qui ne joue pas.
Vérifie les IP sources et destination des 2 côtés. Ton VPN semble UP visiblement si tu arrives à faire des ping depuis ton routeur.

n°153465
Ivy gu
Posté le 19-04-2018 à 18:57:40  profilanswer
 

il ne faut pas spécifier de domaine d'encryption en route based.


---------------
Infused with cruelty, malice, and abstract jazz music.
n°153473
789456132a​ze
Posté le 20-04-2018 à 11:30:04  profilanswer
 

Je dois avouer que vous me perdez un peu là... Une illustration valant mieux que du texte, voici ma config (Je n'ai pas la possibilité de configurer d'autres paramètres) :
http://www.image-heberg.fr/files/15242163581502481972.jpg
 
Pour les domaines d'encryption, je n'ai pas vraiment le choix de les spécifier ou pas

n°153493
Charon_
Posté le 20-04-2018 à 22:00:58  profilanswer
 

Merci Ivy,  
tu as certainement raison sur ce point, faute pour ma part, d'avoir de l'expérience sur ce type de tunnel.
 
 
789456132aze,
Ta config n'a rien qui pourrait nous mettre réellement sur une piste. Quel est la marque de ce routeur/fw ?

n°153494
Ivy gu
Posté le 20-04-2018 à 22:01:30  profilanswer
 

donc c'est du policy based, pas de route statique à configurer et le routage (ce qui est envoyé dans le tunnel ou pas) se décide en fonction de la configuration du domaine d'encryption (et dès qu'on sort d'un cas très basique ça devient merdique [:wade:3] )


Message édité par Ivy gu le 20-04-2018 à 22:02:08

---------------
Infused with cruelty, malice, and abstract jazz music.
n°153522
789456132a​ze
Posté le 23-04-2018 à 18:10:48  profilanswer
 

C'est un routeur de la marque "ETIC".  
 
J'ai essayé d'enlever la route statique, ça ne change rien du tout.
 
Je pense que en local ça ne pose pas de problèmes pour la connexion puisque l'on peut choisir soit une IP en 192.168.1.XXX ou 192.168.2.XXX.  
C'est lors de l'accès VPN PPTP que ça doit foirer car le DHCP me donne une adresse en 192.168.1.XXX (Ou 192.168.2.XXX) --> Résultat :  Je ne peux pas accéder aux équipement sur l'autre sous-réseau.
 
J'ai déjà configuré un autre VPN IP-Sec entre les deux mêmes routeurs que ceux-ci, et ça fonctionnait très bien (Par contre les 2 sites avaient leurs équipements sur le même sous-réseau !).
 
 
Désolé je ne vois pas trop ce que je pourrai vous donner pour vous donner des pistes...
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN IP-Sec Site-to-site : Routages ?

 

Sujets relatifs
Problème de communication Cisco IP Phone CP-3905Réservation IP pou Raspberry
[Aide] VPN transparent entre Box SFR et Edge Router (2 sites)?VPN et problème accès réseau local (partage fichier)
Plusieurs Svr web et une IPOpen VPN sur VPS OVH - questions de noob
Hyperv replica --- Vpn ipsec problemVPN entre Livebox 4 Pro et SOPHOS UTM9
Chine et VPN d'entreprise 
Plus de sujets relatifs à : VPN IP-Sec Site-to-site : Routages ?


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR