Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1681 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Mise en place VPN IP Sec

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Mise en place VPN IP Sec

n°168741
dimdim3160​0
Posté le 13-03-2020 à 15:35:50  profilanswer
 

Bien le bonjour à tous !
 
On me demande de mettre en place un VPN pour le télétravail mais même avec toutes les informations glané sur le net je sèche.
Le but étant du faire du nomad <> Site.
 
Corriger moi si je me trompe.
 
Client VPN Utilisé : Connexion distante de Microsoft ( est-ce possible afin d'éviter un client payant ? )
Serveur : NetASQ U250-A v 9.1.2.3
 
Architecture
 
Client 1 |
Client 2 | BOX Client X <> Internet <> Routeur / Firewall / Serveur VPN <> LAN ( VLAN X pour les clients VPN, Adresse IP Distribué via un serveur 2016 (si possible))
Client 3 |
 
Configuration du serveur
 
Un peux paumé sur ce que peux supporter le client natif de Windows (7 et 10) et sur les algorithmes "robuste".
 
Phase 1 :
 
https://zupimages.net/up/20/11/56zg.png
 
Phase 2 :
 
https://zupimages.net/up/20/11/d1rh.png
 
Correspondants
Passerelle locale : je suppose que c'est l'IP publique d'écoute ?
 
https://zupimages.net/up/20/11/hyhq.png
 
PSK Users
Dans un premier temps pour valider le fonctionnement.
Par certificat dans un second (le netasq sera le PKI - certificat de test déjà généré ).
 
https://zupimages.net/up/20/11/l6o6.png
 
Définition du tunnel
Réseau local : Vers quel réseau les utilisateurs vont être connectés (correspond à un VLAN X, l'interface VLAN a une IP et un serveur DHCP externe distribue les IPs)
Réseau nomade : Correspond aux IP des clients ( any car plusieurs clients donc plusieurs IP publique )
 
https://zupimages.net/up/20/11/x8a2.png
 
Règle de pare-feu
 
https://zupimages.net/up/20/11/yzox.png
 
NAT ( j'ai de gros doute ici )
 
https://zupimages.net/up/20/11/0g97.png
 
 
Résultat sur un Windows 10
 
https://zupimages.net/up/20/11/i8ff.png
 
Configuration client
 
https://zupimages.net/up/20/11/nu0y.png
 
 
J'utilise une connexion 4G free de chez moi. J'ai aussi essayé une connexion 4G Bouygues ( partage téléphone et BOX 4G ).
 
Cela fait une semaine que je  :cry:  :cry:  :cry:  :cry:  :cry:  
 
Merci d'avance pour vôtre aide !
 
Cordialement,
dimdim


Message édité par Wolfman le 13-03-2020 à 16:17:43
mood
Publicité
Posté le 13-03-2020 à 15:35:50  profilanswer
 

n°168744
Je@nb
Modérateur
In ze cloud
Posté le 13-03-2020 à 17:54:33  profilanswer
 

la doc est présente sur le site de stormshield par contre bonne chance pour la faire marcher, il y a trop de contraintes.

n°168745
ShonGail
En phase de calmitude ...
Posté le 13-03-2020 à 19:39:20  profilanswer
 

Plutôt mettre en place un VPN SSL, non ?

n°168749
le-gentil-​hobbit
Georges est Gay Surtout :O
Posté le 13-03-2020 à 20:50:35  profilanswer
 

normalement tu n'as pas de nat à faire pour du vpn sur un netasq/stormshield car il existe des regles implicites pour ouvrir les ports ike

 

Elles sont dans Security Policy -> implicit rules

 

regarde si "Allow ISAKMP and the ESP protocol for ipsec vpn peers" est sur enable et profite en pour supprimer ta regle de nat :)

 

apres c'est sur que pour du nomade on recommande plus du vpn SSL moins contraignant niveau conf client, il exite un client vpn ssl stormshield gratuit en plus il me semble :) (sinon le serveur est compatible openvpn client)


Message édité par le-gentil-hobbit le 13-03-2020 à 20:51:59
n°168804
Spardhas
Posté le 15-03-2020 à 08:15:50  profilanswer
 

Ce que tu cherches,  c'est plutôt du VPN SSL, non de l'IPSEC

n°168805
Je@nb
Modérateur
In ze cloud
Posté le 15-03-2020 à 10:17:12  profilanswer
 

Pourquoi tu dis ça ?

n°168827
dimdim3160​0
Posté le 16-03-2020 à 07:02:59  profilanswer
 

Merci pour vôtre implication !
 
le-gentil-hobbit : J'ai oublié la capture mais c'est bien sur activé.
 
Log thegreenbow
 
https://zupimages.net/up/20/12/skkg.png
 
Sortie nmap
 
PORT     STATE         SERVICE   VERSION
500/udp  open|filtered isakmp
4500/udp open|filtered nat-t-ike
 
nmap est incapable de me donner l'état mais c'est normal ( vu sur le site de nmap ).
 
Concernant la doc, je ne trouve que des doc minimaliste et je crois qu'il faut un compte chez stormshield pour avoir plus (je creuserai ça).
 
Pour le VPN SSL ça me parait impossible vu le nombre d'équipement (une 50ene en comptant tout les types) que je doit rendre disponible et leurs natures (serveur web, partage smb : NAS, application de vidéosurveillance).
De l'IPSec pour connecter une machine sur le réseau (comme si elle y été) ça me parait le plus adapté.
 
Je vais aussi essayé ( aujourd'hui ) avec un équipement en amont ( un routeur mikrotik RB450 ).
 
Je vous tiens au jus ( de tomate ) !
 
Merci encore !

n°168828
ShonGail
En phase de calmitude ...
Posté le 16-03-2020 à 07:21:19  profilanswer
 

Je ne comprends pas ton impossibilité de VPN SSL.
 
Qu'un VPN soit SSL ou IPSEC n'a rien à voir avec les services à atteindre sur ton LAN.
 
Dans les deux cas, cela rend le même service : celui de VPN.
 
Le VPN SSL est aujourd'hui la norme pour les nomades et télétravailleurs.

n°168829
Spardhas
Posté le 16-03-2020 à 08:05:38  profilanswer
 

Le vpn ipsec est plutôt utilisé pour connecté 2 sites entre eux, le vpn ssl lui est utilisé principalement pour relié des nomades quelque soit le nombre de serveur que tu as.

n°168830
Je@nb
Modérateur
In ze cloud
Posté le 16-03-2020 à 08:42:42  profilanswer
 

Non le vpn ipsec est fait pour tout.

  

Tu as pas de logs sur ton Fw voir ce qui bloque ?
Met toi en mode config aussi, la elle est à off


Message édité par Je@nb le 16-03-2020 à 08:43:41
mood
Publicité
Posté le 16-03-2020 à 08:42:42  profilanswer
 

n°168831
ShonGail
En phase de calmitude ...
Posté le 16-03-2020 à 09:00:19  profilanswer
 

Certes on peut faire du nomade en IPSEC mais c'est moins aisé à config et debug  que le SSL et cela à moins de chance de passer qu'un tunnel sur le port 443.

n°168847
Roude Leiw
Mir wëlle bleiwe wat mir sinn
Posté le 17-03-2020 à 14:13:03  profilanswer
 

Spardhas a écrit :

Le vpn ipsec est plutôt utilisé pour connecté 2 sites entre eux, le vpn ssl lui est utilisé principalement pour relié des nomades quelque soit le nombre de serveur que tu as.


 
 :heink: tu peux sourcer ton information ?
C'est quoi le problème avec du VPN IPSec entre deux clients ?


---------------
' OR 1=1;--
n°168848
ledge01
Posté le 17-03-2020 à 14:24:36  profilanswer
 

Je suis d'accord avec Spardhas, c'est pas qu'il y a un "problème" avec Ipsec, c'est qu'en règle général pour des clients nomades on fait du vpn ssl.  
C'est généralement plus simple et rapide à mettre en place.

n°168854
Je@nb
Modérateur
In ze cloud
Posté le 17-03-2020 à 17:37:22  profilanswer
 

Vu le nb de solutions vpn ssl qui se sont fait méchamment trouées ces derniers temps c'est plutôt qqch à déconseiller.
L'anssi dit la même chose si je dis pas de conneries.
 
Après le pb c'est que dans la plupart des hotspots, seul http/https est ouvert là bah pas le choix, difficile de monter de l'ipsec

n°168886
dimdim3160​0
Posté le 18-03-2020 à 09:20:59  profilanswer
 

Bonjour à tous,
 
Le tunnel est en place ( avec l'aide de la spie ).
Ils voulaient monter un tunnel SSL mais le Netasq n'est plus à jour depuis un moment ( il ne possède pas toutes les options ).
 
Je dois faire une doc, je la mettrai à disposition.
 
Merci pour vos suggestions et vôtre implication.


Message édité par dimdim31600 le 18-03-2020 à 16:43:39
n°168903
skoizer
tripoux et tête de veau
Posté le 18-03-2020 à 17:24:04  profilanswer
 

Un firewall doit être a jours !!!!
dimdim31600 va vite te former
 
de plus c'est plus netasq mais stormshield depuis un moement et on est en version 3.7.11


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°168942
dimdim3160​0
Posté le 23-03-2020 à 09:13:30  profilanswer
 

skoizer a écrit :

Un firewall doit être a jours !!!!
dimdim31600 va vite te former
 
de plus c'est plus netasq mais stormshield depuis un moement et on est en version 3.7.11


 
Bienvenu dans le service publique !
 
Plus de contrat sur le netasq depuis le Dimanche 20 Septembre 2015  :lol:  :lol:  :lol:  :lol:  :cry:  :cry:  :cry:  
 
Le DSI/RSSI ne voyait pas l’intérêt de mettre un antivirus sur les postes à la base.  :lol:  :lol:  :cry:  :cry:  
Ils ont commencé avec un avast gratuit puis on est passé sur un Sophos Endpoint (après maintes remarque de ma part / je n'aurais pas choisi cette solution mais les voies du seigneurs sont IMPÉNÉTRABLE).
 
Bref, toutes l'infrastructures réseaux est a changer, la mairie a évolué mais pas l'infra donc beaucoup de congestions, les rocades sont sous dimensionnées (on le sens sur la téléphonie).
Il était question de Stormshield mais ça sera peux être un Sophos (il me semble que maintenant on peut faire fonctionner de concert firewall et antivirus).
 
Pour les formatons, je ne crois pas que le CNFPT dispose de formation sur des équipement précis (d'une marque ou d'une autre, il faut que je regarde ce point).
 
Mais sinon tout à fait d'accord avec toi skoizer !

n°168944
skoizer
tripoux et tête de veau
Posté le 23-03-2020 à 11:53:06  profilanswer
 

je suis aussi dans le service publique
tu trouveras des recomandations anssi, tu peux montrer a tes supérieurs.
un firewall avec ips ne permet pas de se soustraire d'un antivirus sur les postes de travail.  
tous les flux ne peuvent être decrypter par les firewall et il ne détecte pas tout.


Message édité par skoizer le 23-03-2020 à 11:53:47

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Mise en place VPN IP Sec

 

Sujets relatifs
Adressage IP : 2 réseaux 2 serveurs synchronisés 1 portableping sur réseaux local freebox à partir du reseaux distant VPN
VPN et NATConnexion VPN depuis un sous réseau privé
Téléphonie IP pour une TPE : SIP Trunk vs VOIP "centrex" (par ex OVH)Mise en place PRA - Routage
Mise en place d'une solution SIP sur NuméricableOuverture de session longue VPN
Plus de sujets relatifs à : Mise en place VPN IP Sec


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR