VPN L2TP/IPSEC Versus IPTABLES

Résolu/Fermé
kelux
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
- 30 août 2005 à 11:25
sympaval
Messages postés
19
Date d'inscription
samedi 4 avril 2009
Statut
Membre
Dernière intervention
5 mai 2011
- 18 juin 2010 à 16:16
Hello à tous et spécial bonjour à ceux que je connais et qui me reconnaissent (notamment Brupala :)

Je rencontre quelques soucis de filtrage avec iptables et un serveur VPN sous Windows 2003 (en L2TP/IPSEC).

Ma passerelle fait office de firewall avec iptables, le serveur 2003 est dans le LAN et il est natté (ça surprend hein ? mais j'expose la config...). Le VPN en local fonctionne à merveille, mais par accès à distance ce n'est pas encore ça :þ


Voici ce que j'ai tenté de faire :

#ISAKMP (sport a été mis de coté)
iptables -t nat -A PREROUTING -i $net -p udp --dport 500 --to-destination $2003:500

iptables -A FORWARD -i $net -o $lan -p udp --dport 500 -m state --state NEW -j ACCEPT

#ESP et AH
iptables -A FORWARD -i $net -o $lan -p esp -j ACCEPT
iptables -A FORWARD -o $net -i $lan -p esp -j ACCEPT

iptables -A FORWARD -i $net -o $lan -p 51 -j ACCEPT
iptables -A FORWARD -o $net -i $lan -p 51 -j ACCEPT


Pour les hooks FORWARD et OUTPUT vers le net , c'est ouvert.

Dois je aussi "prérouté" le traffic ESP et AH (je me demande si j' ai besoin de AH...) vers le serveur 2003 ?
Dois je aussi utiliser SNAT ?

Autre info : le client qui tente de se connecter n'est pas natté, connexion directe.

Merci d'avoir pris le temps de lire mon post :)

3 réponses

kelux
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
430
1 sept. 2005 à 11:36
Salut tout le monde :)

Pas d'avis la dessus ?

Je cherche juste à comprendre le fonctionnement de ce fameux VPN L2TP/IPSEC afin de faire au mieux le filtrage ....

@+
0
kelux
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
430
15 sept. 2008 à 16:41
Oulala quel vieux post :)

J'ai trouvé la solution a cet épineux problème, celui de mettre un serveur VPN derrière un NAT.

Il s'agissait d'un problème sur le client ... un comportement par défaut qui avait été modifié dans le SP2 de XP. A l'époque je ne sais pas si le sp2 était sorti ... mais je pouvais mettre ça sur le dos des règles de filtrage...

Pour résumé, ceux qui cherchent à mettre un serveur VPN (sous Windows) derrière un routeur et du NAT :

- regles de filtrage UDP 500 : rediriger tout le flux UDP 500 en source et destination vers le serveur VPN.
- regles de filtrage UDP 4500 : rediriger tout le flux UDP 4500 en source et destination vers le serveur VPN.
- modifier une clé de registre sous XP : https://support.microsoft.com/en-us

Je n'ai trouvé la solution qu'en juillet 2006 ...


Note : en procédant ainsi, il y a des effets de bord. Il n'est pas conseillé de mettre un serveur VPN derrière du NAT.
Un serveur VPN devrait toujours avoir une IP publique ...

Imaginez que vous ayez cette architecture en place, les clients se connectent depuis l'extérieur sur votre VPN, jusque là tout va bien ...
Maintenant on vous demande, depuis votre réseau, d'accéder à un VPN IPSEC d'une autre société/branche/filiale.
Ba vous l'aurez dans l'os !

Le client envoie sa demande de connexion au serveur VPN de l'autre boite ... et il attendra la réponse ... mais il va l'attendre longtemps ... cela dit le serveur VPN extérieur réponds, mais mais, à cause des règles de redirection sur le routeur, les flux "VPN" seront tout le temps redirigés vers le serveur VPN de votre réseau et jamais sur le client qui essaie de se connecter à un autre VPN extérieur ...


@+
0
sympaval
Messages postés
19
Date d'inscription
samedi 4 avril 2009
Statut
Membre
Dernière intervention
5 mai 2011
1
Modifié par sympaval le 18/06/2010 à 16:42
Salut Kelux!

C'est très généreux de ta part de mettre ta solution sur le site.

Moi j'ai un Serveur VPN sous Linux derrière une machine NAT Linux avec deux interfaces externes pour la gestion de mes liaisons internet.

Alors si je dois suivre tes indications, doit-je faire les redirections sur les deux interfaces internet de mon routeur d'entrée(ma machine NAT)?

Et du côté client je configure les deux adresses publiques de ma machine NAT?

Je souhaiterais avoir un peu d'orientation sur la façon dont je dois gérer les redirections des connexions VPN, dans ce cas où ma machine NAT possède deux interfaces externes.

Merci de m'orienter un peu plus en détail
0