Bien le bonjour à tous !
 
On me demande de mettre en place un VPN pour le télétravail mais même avec toutes les informations glané sur le net je sèche.
Le but étant du faire du nomad <> Site.
 
Corriger moi si je me trompe.
 
Client VPN Utilisé : Connexion distante de Microsoft ( est-ce possible afin d'éviter un client payant ? )
Serveur : NetASQ U250-A v 9.1.2.3
 
Architecture
 
Client 1 |
Client 2 | BOX Client X <> Internet <> Routeur / Firewall / Serveur VPN <> LAN ( VLAN X pour les clients VPN, Adresse IP Distribué via un serveur 2016 (si possible))
Client 3 |
 
Configuration du serveur
 
Un peux paumé sur ce que peux supporter le client natif de Windows (7 et 10) et sur les algorithmes "robuste".
 
Phase 1 :
 

 
Phase 2 :
 

 
Correspondants
Passerelle locale : je suppose que c'est l'IP publique d'écoute ?
 

 
PSK Users
Dans un premier temps pour valider le fonctionnement.
Par certificat dans un second (le netasq sera le PKI - certificat de test déjà généré ).
 

 
Définition du tunnel
Réseau local : Vers quel réseau les utilisateurs vont être connectés (correspond à un VLAN X, l'interface VLAN a une IP et un serveur DHCP externe distribue les IPs)
Réseau nomade : Correspond aux IP des clients ( any car plusieurs clients donc plusieurs IP publique )
 

 
Règle de pare-feu
 

 
NAT ( j'ai de gros doute ici )
 

 
 
Résultat sur un Windows 10
 

 
Configuration client
 

 
 
J'utilise une connexion 4G free de chez moi. J'ai aussi essayé une connexion 4G Bouygues ( partage téléphone et BOX 4G ).
 
Cela fait une semaine que je            
 
Merci d'avance pour vôtre aide !
 
Cordialement,
dimdim

la doc est présente sur le site de stormshield par contre bonne chance pour la faire marcher, il y a trop de contraintes.

Plutôt mettre en place un VPN SSL, non ?

normalement tu n'as pas de nat à faire pour du vpn sur un netasq/stormshield car il existe des regles implicites pour ouvrir les ports ike

Elles sont dans Security Policy -> implicit rules

regarde si "Allow ISAKMP and the ESP protocol for ipsec vpn peers" est sur enable et profite en pour supprimer ta regle de nat

apres c'est sur que pour du nomade on recommande plus du vpn SSL moins contraignant niveau conf client, il exite un client vpn ssl stormshield gratuit en plus il me semble (sinon le serveur est compatible openvpn client)

Ce que tu cherches,  c'est plutôt du VPN SSL, non de l'IPSEC

Pourquoi tu dis ça ?

Merci pour vôtre implication !
 
le-gentil-hobbit : J'ai oublié la capture mais c'est bien sur activé.
 
Log thegreenbow
 

 
Sortie nmap
 
PORT     STATE         SERVICE   VERSION
500/udp  open|filtered isakmp
4500/udp open|filtered nat-t-ike
 
nmap est incapable de me donner l'état mais c'est normal ( vu sur le site de nmap ).
 
Concernant la doc, je ne trouve que des doc minimaliste et je crois qu'il faut un compte chez stormshield pour avoir plus (je creuserai ça).
 
Pour le VPN SSL ça me parait impossible vu le nombre d'équipement (une 50ene en comptant tout les types) que je doit rendre disponible et leurs natures (serveur web, partage smb : NAS, application de vidéosurveillance).
De l'IPSec pour connecter une machine sur le réseau (comme si elle y été) ça me parait le plus adapté.
 
Je vais aussi essayé ( aujourd'hui ) avec un équipement en amont ( un routeur mikrotik RB450 ).
 
Je vous tiens au jus ( de tomate ) !
 
Merci encore !

Je ne comprends pas ton impossibilité de VPN SSL.
 
Qu'un VPN soit SSL ou IPSEC n'a rien à voir avec les services à atteindre sur ton LAN.
 
Dans les deux cas, cela rend le même service : celui de VPN.
 
Le VPN SSL est aujourd'hui la norme pour les nomades et télétravailleurs.

Le vpn ipsec est plutôt utilisé pour connecté 2 sites entre eux, le vpn ssl lui est utilisé principalement pour relié des nomades quelque soit le nombre de serveur que tu as.

Non le vpn ipsec est fait pour tout.

Tu as pas de logs sur ton Fw voir ce qui bloque ?
Met toi en mode config aussi, la elle est à off

Certes on peut faire du nomade en IPSEC mais c'est moins aisé à config et debug  que le SSL et cela à moins de chance de passer qu'un tunnel sur le port 443.

 
  tu peux sourcer ton information ?
C'est quoi le problème avec du VPN IPSec entre deux clients ?

Je suis d'accord avec Spardhas, c'est pas qu'il y a un "problème" avec Ipsec, c'est qu'en règle général pour des clients nomades on fait du vpn ssl.  
C'est généralement plus simple et rapide à mettre en place.

Vu le nb de solutions vpn ssl qui se sont fait méchamment trouées ces derniers temps c'est plutôt qqch à déconseiller.
L'anssi dit la même chose si je dis pas de conneries.
 
Après le pb c'est que dans la plupart des hotspots, seul http/https est ouvert là bah pas le choix, difficile de monter de l'ipsec

Bonjour à tous,
 
Le tunnel est en place ( avec l'aide de la spie ).
Ils voulaient monter un tunnel SSL mais le Netasq n'est plus à jour depuis un moment ( il ne possède pas toutes les options ).
 
Je dois faire une doc, je la mettrai à disposition.
 
Merci pour vos suggestions et vôtre implication.

Un firewall doit être a jours !!!!
dimdim31600 va vite te former
 
de plus c'est plus netasq mais stormshield depuis un moement et on est en version 3.7.11

 
Bienvenu dans le service publique !
 
Plus de contrat sur le netasq depuis le Dimanche 20 Septembre 2015                
 
Le DSI/RSSI ne voyait pas l’intérêt de mettre un antivirus sur les postes à la base.          
Ils ont commencé avec un avast gratuit puis on est passé sur un Sophos Endpoint (après maintes remarque de ma part / je n'aurais pas choisi cette solution mais les voies du seigneurs sont IMPÉNÉTRABLE).
 
Bref, toutes l'infrastructures réseaux est a changer, la mairie a évolué mais pas l'infra donc beaucoup de congestions, les rocades sont sous dimensionnées (on le sens sur la téléphonie).
Il était question de Stormshield mais ça sera peux être un Sophos (il me semble que maintenant on peut faire fonctionner de concert firewall et antivirus).
 
Pour les formatons, je ne crois pas que le CNFPT dispose de formation sur des équipement précis (d'une marque ou d'une autre, il faut que je regarde ce point).
 
Mais sinon tout à fait d'accord avec toi skoizer !

je suis aussi dans le service publique
tu trouveras des recomandations anssi, tu peux montrer a tes supérieurs.
un firewall avec ips ne permet pas de se soustraire d'un antivirus sur les postes de travail.  
tous les flux ne peuvent être decrypter par les firewall et il ne détecte pas tout.

Bonsoir à tous !
 
Voici la réalisation :
 
https://mega.nz/#!cE0UQCKD!NUS73CFz [...] umyhp9jlrY

Merci pour ta documentation !!

Bonjour
Je lutte depuis plusieurs jours pour faire fonctionner un VPN stormshield sur un client natif Microsoft avec un certificat
 
Le fichier n est plus disponible en. Téléchargement  
Un petit up ?
 
Merci

Pourtant tu as tout sur mystormshield

Il y a bien un document sur Mystormsheil mais cela ne fonctionne pas
D ou ma demande ici