[VPN] L2TP/IPSEC (certificat)
Résolu/Fermé
Nunuxnewby
Nunuxnewby
- Messages postés
- 432
- Date d'inscription
- jeudi 15 juillet 2004
- Statut
- Contributeur
- Dernière intervention
- 5 février 2010
Nunuxnewby
- Messages postés
- 432
- Date d'inscription
- jeudi 15 juillet 2004
- Statut
- Contributeur
- Dernière intervention
- 5 février 2010
A voir également:
- [VPN] L2TP/IPSEC (certificat)
- [VPN] L2TP/IPSEC (certificat) ✓ - Forum - Réseau
- VPN L2TP/IPSEC Versus IPTABLES ✓ - Forum - Réseau
- VPN L2TP perte accès distant ✓ - Forum - Windows serveur
- VPN L2TP et Windows Seven 64 bits ✓ - Forum - Réseau
- Client linux debian L2TP/Ipsec - Serveur W2K3 ✓ - Forum - Debian
5 réponses
brupala
22 janv. 2007 à 15:57
- Messages postés
- 103173
- Date d'inscription
- lundi 16 juillet 2001
- Statut
- Membre
- Dernière intervention
- 21 mai 2022
22 janv. 2007 à 15:57
presque simple:
on peut faire de l'ipsec (ou de l'openvpn) soit avec des certificats (ce qui nécéssite un tiers qui sera autorité de certification , ce tiers pouvant etre le serveur lui même), soit avec des clés prépartagées donc renseignées à l'avance de chaque coté du vpn , elles permettront de démarrer la négociation IKE qui va décider de l'échange des clés de cryptage.
ipsec nécéssite de forwarder au moins ESP (protocole 50) voire ESP +AH (protocoles 50 et 51) et aussi IKE (port 500 sur UDP) http://technet2.microsoft.com/WindowsServer/en/library/6e268195-6750-494a-8f19-25d07911926f1033.mspx?mfr=true http://www.formation.ssi.gouv.fr/stages/documentation/architecture_securisee/vpn.html
tandis que pptp nécéssite de forwarder GRE (protocole 47).
aussi: https://www.frameip.com/ipsec/
mais,
si tu ne peux forwarder tout cela dans ton routeur, tu peux peut-etre y configurer vpn passthrought (ipsec ou pptp, selon le cas) ou carrément une adresse DMZ qui recevra tout le traffic entrant inconnu non redirigeable par la nat.
autre piste intéressante: openvpn permet d'établir des connexions vpn sans forwarder de protocole ip : il suffit de forwarder le port choisi pour openvpn (1194 ou 5000 autrefois sur udp par défaut). ce qui est plus simple.
openvpn permet l'authentification par clé prépartagée comme ici: http://cox07.free.fr/tutoriaux.html#config ou par certificats , tout comme ipsec.
je te conseille donc openvpn : plus simple à faire passer dans un nat.
on peut faire de l'ipsec (ou de l'openvpn) soit avec des certificats (ce qui nécéssite un tiers qui sera autorité de certification , ce tiers pouvant etre le serveur lui même), soit avec des clés prépartagées donc renseignées à l'avance de chaque coté du vpn , elles permettront de démarrer la négociation IKE qui va décider de l'échange des clés de cryptage.
ipsec nécéssite de forwarder au moins ESP (protocole 50) voire ESP +AH (protocoles 50 et 51) et aussi IKE (port 500 sur UDP) http://technet2.microsoft.com/WindowsServer/en/library/6e268195-6750-494a-8f19-25d07911926f1033.mspx?mfr=true http://www.formation.ssi.gouv.fr/stages/documentation/architecture_securisee/vpn.html
tandis que pptp nécéssite de forwarder GRE (protocole 47).
aussi: https://www.frameip.com/ipsec/
mais,
si tu ne peux forwarder tout cela dans ton routeur, tu peux peut-etre y configurer vpn passthrought (ipsec ou pptp, selon le cas) ou carrément une adresse DMZ qui recevra tout le traffic entrant inconnu non redirigeable par la nat.
autre piste intéressante: openvpn permet d'établir des connexions vpn sans forwarder de protocole ip : il suffit de forwarder le port choisi pour openvpn (1194 ou 5000 autrefois sur udp par défaut). ce qui est plus simple.
openvpn permet l'authentification par clé prépartagée comme ici: http://cox07.free.fr/tutoriaux.html#config ou par certificats , tout comme ipsec.
je te conseille donc openvpn : plus simple à faire passer dans un nat.
brupala
22 janv. 2007 à 13:39
- Messages postés
- 103173
- Date d'inscription
- lundi 16 juillet 2001
- Statut
- Membre
- Dernière intervention
- 21 mai 2022
22 janv. 2007 à 13:39
salut,
si tu n'y arrives pas par pptp, (forward du protocole GRE) tu n'y arriveras pas plus (et encore moins) par IPSEC (il faut alors forwarder ESP au lieu de GRE).
Quand à la gestion des certificats, c'est assez complexe car tu dois mettre en place un serveur de certificats , une PKI, seulement possible avec un windows 2000 serveur (ou linux) , donc assez complexe.
les certificats du serveur et du client devant etre cryptés par l'autorité de certification .
tu peux utiliser ipsec sans certificat: avec des clés prépartagées , c'est moins sécurisé et plus limité dans les fonctions.
si tu n'y arrives pas par pptp, (forward du protocole GRE) tu n'y arriveras pas plus (et encore moins) par IPSEC (il faut alors forwarder ESP au lieu de GRE).
Quand à la gestion des certificats, c'est assez complexe car tu dois mettre en place un serveur de certificats , une PKI, seulement possible avec un windows 2000 serveur (ou linux) , donc assez complexe.
les certificats du serveur et du client devant etre cryptés par l'autorité de certification .
tu peux utiliser ipsec sans certificat: avec des clés prépartagées , c'est moins sécurisé et plus limité dans les fonctions.
Nunuxnewby
22 janv. 2007 à 14:03
- Messages postés
- 432
- Date d'inscription
- jeudi 15 juillet 2004
- Statut
- Contributeur
- Dernière intervention
- 5 février 2010
22 janv. 2007 à 14:03
Je te remercie de ta réponse Brupala, en plus j'espérais inconsciemment que ce soit toi qui me réponde, ta renommée sur CCM dans le domaine du réseau te poursuit ! ;-)
Bon, cette voie est sans issue, je vais peut être me tourner vers "himachi". Mais je n'aime pas cette solution!
Par contre, j'ai mal compris si tu sous entendais que je pouvais utiliser les clés pré partagés ou si ce n'était pas non plus possible...
Je n'ai pas besoin pour mes rendu réseau d'une très grande sécurité donc si je peux utiliser cette alternative...
Donc si je peux utiliser cette solution, pourrais tu me donner les tuyaux que je sache par où commencer?
Merci
Bon, cette voie est sans issue, je vais peut être me tourner vers "himachi". Mais je n'aime pas cette solution!
Par contre, j'ai mal compris si tu sous entendais que je pouvais utiliser les clés pré partagés ou si ce n'était pas non plus possible...
Je n'ai pas besoin pour mes rendu réseau d'une très grande sécurité donc si je peux utiliser cette alternative...
Donc si je peux utiliser cette solution, pourrais tu me donner les tuyaux que je sache par où commencer?
Merci
Nunuxnewby
22 janv. 2007 à 18:34
- Messages postés
- 432
- Date d'inscription
- jeudi 15 juillet 2004
- Statut
- Contributeur
- Dernière intervention
- 5 février 2010
22 janv. 2007 à 18:34
Merci pour tes conseils éclairés et pour les liens bien utiles!
Je vais donc jeter un coup d'oeil à openVPN!
Je pense que je ne vais pas tarder à cocher la case "résolu" dès que j'aurais testé cet open VPN!
Je vais donc jeter un coup d'oeil à openVPN!
Je pense que je ne vais pas tarder à cocher la case "résolu" dès que j'aurais testé cet open VPN!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Nunuxnewby
23 janv. 2007 à 13:04
- Messages postés
- 432
- Date d'inscription
- jeudi 15 juillet 2004
- Statut
- Contributeur
- Dernière intervention
- 5 février 2010
23 janv. 2007 à 13:04
Bon ben voilà...
J'ai réussi à configurer openVPN, mais les PC que je vais utiliser pour mes rendus 3D appartiennent à des amis, or vu la complexité de configuration d'openVPN, je ne vais pas leur demander de l'installer et le configurer!
Mais openVPN est bien!
Donc je vais opter pour la solution de facilité (interchanger les modems)
Merci pour ton aide
J'ai réussi à configurer openVPN, mais les PC que je vais utiliser pour mes rendus 3D appartiennent à des amis, or vu la complexité de configuration d'openVPN, je ne vais pas leur demander de l'installer et le configurer!
Mais openVPN est bien!
Donc je vais opter pour la solution de facilité (interchanger les modems)
Merci pour ton aide
