Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1764 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Creer VPN inter-site (site-to-site)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Creer VPN inter-site (site-to-site)

n°149327
mirage2
Posté le 11-10-2017 à 17:18:44  profilanswer
 

Bonjour,
 
 
pour un réseau d'entreprise j'aimerais relié 3 sites entre-eux.
 
Les sites sont distants (lieux différents), et ont chacun un routeur edgerouteur (avec une ip publique joignable sur chaque)....
Le serveur voip est également sur un serveur distant (je ne sais pas si ça peut poser des problèmes).
 
Donc je voudrais que ces sites soit lié entre-eux et donc pinguer les machines local entre chaque site.
Par contre je voudrais aussi avoir des clients nomade ... qui puissent se connecter ou ils veulent grâce à ce vpn site-to-site.  
 
Exemple:
Site 1  edgeRouteur <---------------------> Site 2 edgeRouteur <---------------------> Site 3  edgeRouteur
 
 
J'avais penser a créer un serveur openvpn qui soit situer en dehors de ces trois sites et ensuite relier ces trois sites à ce serveur via ipSec.
Le client nomade pourrait donc se connecter a ce serveur VPN qui est lui-même connecter aux 3 sites.
 
MAIS je n'y arrive pas du tout... je ne sais pas comment relier tous ces sites au serveur openvpn.
 
Je ne sais pas si c'est clair.  
 
 
Merci d'avance.

mood
Publicité
Posté le 11-10-2017 à 17:18:44  profilanswer
 

n°149328
Je@nb
Modérateur
Kindly give dime
Posté le 11-10-2017 à 17:20:30  profilanswer
 

relie les edge router entre eux via un vpn ipsec et sur un des sites tu fais de l'openvpn pour les clients nomades

n°149329
mirage2
Posté le 11-10-2017 à 17:24:42  profilanswer
 

Wow réponse super rapide !
 
Comment je fais de l'openVpn sur un des routeurs ?  
Et pour l'ipsec entre eux, est-ce que je dois activer la fonction "Automatically open firewall and exclude from NAT" ?  
 
Merci

n°149330
Je@nb
Modérateur
Kindly give dime
Posté le 11-10-2017 à 17:36:27  profilanswer
 

bah tu lis les docs/tutos
et pour l'ipsec, c'est en fn de ta conf actuelle.

n°149331
mirage2
Posté le 11-10-2017 à 17:45:32  profilanswer
 

Merci !
 
Le problème c'est que j'ai chercher super longtemps et je nai pas trouvé pour le serveur openvpn.
 
Du coup j'imagine que je n'est pas besoin d'un serveur openvpn (sous linux) séparé ? tous se fait avec les routeurs ?

n°149332
Charon_
Posté le 11-10-2017 à 19:03:13  profilanswer
 

Hello,
 
Je ne pense pas qu’il soit nécessaire de faire un VPN sur chaque sites pour les clients nomades.
Ce que tu veux faire est assez simple. Il faut simplement implémenter tes VPN entre les sites, et ajouter les “clients nomades” aux “security association” de ces dits VPN.  
En gros, il faut ajouter le range IP des “clients nomades” au pool d’IP locale avec les 2 routeurs distants pour ton VPN. C’est à faire sur chaque routeur si chacune on leurs clients nomades respectifs.
Pour un VPN, t’es clients nomades ne sont qu’un range d’IP de plus. Il faut bien évidemment partager correctement les range IP locaux et distants pour chaque VPN.
OpenVPN n’est absolument pas nécessaire si ces sites on déjà une solution “remote VPN”

n°149333
mirage2
Posté le 11-10-2017 à 20:29:43  profilanswer
 

Ok donc en clair.
 
Pour les routeurs (edgerouteur), je vais dans la partie "vpn" puis "site-to-site" et je configure .... (peer, local subnet etc....).
 
D'ailleurs y a t'il un risque que cela perturbe le réseau local ? Puisque les téléphones ip se connecte au serveur IPBX qui est en dehors du réseau...
 
Et quand j'ai fait la configurations inter-site (sur les 3 routeurs, donc 6 configs si je dit pas n'importe quoi), je dois rajouter les clients nomades aux "security association"... et ça se trouve ou ça ? ^^"
 
A savoir que j'utilise l'interface graphique des edgerouteur ... la config inter-site en image :
https://community.ubnt.com/ubnt/att [...] erface.jpg
 
J'imagine donc que je vais devoir passer par ssh sur le serveur pour faire des configs en plus ?  
 
 
Désolé pour les questions un peu stupide, mais je n'ai jamais mis en place un VPN.
 
Merci d'avance !

n°149334
Charon_
Posté le 11-10-2017 à 21:17:10  profilanswer
 

Non, pas de perturbation avec ta téléphonie, cela n’a rien à voir.
Pour les clients nomades, il faut les ajouter justement à l’endroit où tu as posté cette image.
Il faut aussi configurer la partie négociation de ton tunnel, la phase 1.
 
Sinon pour que tu puisses mieux comprendre les VPN , regarde simplement sur Internet : ISAKMP et IPSEC

n°149337
mirage2
Posté le 11-10-2017 à 21:42:06  profilanswer
 

D'accord, même si j'ai toujours du mal pour les nomades.
 
J'avais lu ce tuto https://help.ubnt.com/hc/en-us/arti [...] te-to-Site
 
Donc en gros si on prend 2 sites, un avec une ip local de 192.168.1.0/24 et l'autre avec 192.168.2.0/24.
 
Une ip publique pour le 1 de 10.0.1.0/24 et 10.0.2.0/24 pour le 2.
 
Donc dans l'interface graphique sur le site 1 (routeur 1):
 
peer: 10.0.2.0
Local Ip: 10.0.1.0
 
Pre-shared-khey: MonMotDePasse
 
Local subnet: 192.168.1.0
Remote subnet: 192.168.2.0
 
Puis apply en laissant cocher "Automatically open firewall...."
 
Pareil sur le site 2 (routeur 2) mais en inversant les local et remote subnet --- peer et local ip.
 
Donc à ce niveau je devrais pouvoir pinguer les machines des deux réseaux via chaque site ?
 
(Avec mon troisième site je devrais donc faire la même chose (ce qui fait 6 configurations comme celle-ci en tout)).


Message édité par mirage2 le 11-10-2017 à 21:45:00
n°149341
mirage2
Posté le 12-10-2017 à 08:04:11  profilanswer
 

En fait ce que j'aimerais ce serait des exemples concret avec des exemples de configuration du serveur openvpn pour les nomades, la phase 1, et de l'inter-site.
 
 
C'est peut-être beaucoup demandé mais actuellement j'en ai vraiment besoin.
 
Merci d'avance.

mood
Publicité
Posté le 12-10-2017 à 08:04:11  profilanswer
 

n°149344
mirage2
Posté le 12-10-2017 à 11:18:16  profilanswer
 

Personne ?  
Pour les user nomade j'utiliserais l2tp configuré sur le edgerouteur 1 est-ce correct ?

n°149351
mirage2
Posté le 12-10-2017 à 14:16:34  profilanswer
 

Bonjour,
 
après avoir mis en place un vpn site-to-site avec mes deux edgerouteur j'ai "configuré" le l2tp pour la connexion "nomade"
Pareil pour pptp.
 
Pptp fonctionne mais l2tp non... sur windows ça me met que "La connexion a été interdite par une stratégie...."
 
J'attend vos suggestions.
 
Merci d'avance.

n°149352
mirage2
Posté le 12-10-2017 à 14:27:34  profilanswer
 

Sur mon tel android ça fonctionne ...

n°149353
Je@nb
Modérateur
Kindly give dime
Posté le 12-10-2017 à 15:14:33  profilanswer
 

Les sujets suivant ont été fusionnés à ce sujet par Je@nb

  • Vpn L2TP edgerouter

n°149354
mirage2
Posté le 12-10-2017 à 15:31:04  profilanswer
 

Effectivement j'aurais du continuer ici ;)
 
Sinon j'aurais (encore), une question.
Est-ce mieux L2TP ou openvpn ? (pour les nomades)
 
Merci d'avance

n°149355
mirage2
Posté le 12-10-2017 à 15:50:46  profilanswer
 

Plus précisément ça me met ça:
 
Thu Oct 12 15:49:31 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Oct 12 15:49:31 2017 TLS Error: TLS handshake failed
Thu Oct 12 15:49:31 2017 SIGUSR1[soft,tls-error] received, process restarting
Thu Oct 12 15:49:31 2017 MANAGEMENT: >STATE:1507816171,RECONNECTING,tls-error,,
Thu Oct 12 15:49:31 2017 Restart pause, 2 second(s)
Thu Oct 12 15:49:33 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Oct 12 15:49:33 2017 UDPv4 link local: [undef]
Thu Oct 12 15:49:33 2017 UDPv4 link remote: [AF_INET]IP PUBLIQUE ROUTEUR:port
Thu Oct 12 15:49:33 2017 MANAGEMENT: >STATE:1507816173,WAIT,,,

n°149356
dims
if it ain't brocken, mod it !
Posté le 12-10-2017 à 16:05:45  profilanswer
 

si tes routeurs gèrent le L2TP prend ça.
ça t'évitera d'installer un autre truc a coté et d'avoir a gérer de la maintenance en plus
 
ton L2TP, tu le fais avec certificat ou PSK ?

n°149357
mirage2
Posté le 12-10-2017 à 16:07:37  profilanswer
 

Oui c'est ce que je me dis aussi... après j'ai vu que le openvpn était plus rapide, mais est-ce vraiment significatif par rapport au l2tp ?!
 
Mon l2tp je le fait avec PSK


Message édité par mirage2 le 12-10-2017 à 16:07:51
n°149358
mirage2
Posté le 12-10-2017 à 16:14:51  profilanswer
 

En fait je suis en train de me dire...
De toute façon le PC avec lequel je me connecte il est dans le réseau... (site1)
 
Site 1 qui est relié via ipsec (site-to-site) au site 2....
Il faudrait que je test avec un pc hors réseau
 
(même si bizarrement le PPTP fonctionne quand même sur cet ordi)


Message édité par mirage2 le 12-10-2017 à 16:15:33
n°149359
mirage2
Posté le 12-10-2017 à 16:21:58  profilanswer
 

Bon ba finalement c'est fonctionnel ....
Dans la carte "virtuel" de la connexion L2TP j'ai fais:
 
- propriétés
- sécurité
- autoriser ces protocoles
- cocher la case numéro 2 et 3
 

n°149360
dims
if it ain't brocken, mod it !
Posté le 12-10-2017 à 16:24:18  profilanswer
 

PPTP et la sécurité, ça fait 2 ;)
https://en.wikipedia.org/wiki/Point [...] g_Protocol

 

donc désactive le

 

(ça résous pas ton problème mais va t'en éviter de grave)

 

en effet, essaie de chez toi ou avec une clef 3G
(attention avec les clef, certains opérateurs bloquent le protocole)

 

fais attention a pas activer des protocoles non sécurisés sur L2TP, sinon autant ne rien faire ;)


Message édité par dims le 12-10-2017 à 16:25:05
n°149361
mirage2
Posté le 12-10-2017 à 16:29:43  profilanswer
 

Ah, les protocoles non sécurisé de L2TP ? tu peux m'en dire plus ? comment je vérifie que ce n'est pas le cas ?
 
Oui PPTP j'ai vu que c'était moyennement recommande :)

n°149362
mirage2
Posté le 12-10-2017 à 16:39:28  profilanswer
 

Finalement un autre problème (nom de dieu)
 
Sur mon tel android connecté en L2TP (petite clé a coté de ma connexion 4g), quand je vais sur un site voir mon IP je n'ai pas l'ip du routeur sur lequel je me connecte en L2TP... est-ce normal ?
 
(j'arrive pourtant a pinguer les machines du réseau)


Message édité par mirage2 le 12-10-2017 à 16:39:45
n°149363
dims
if it ain't brocken, mod it !
Posté le 12-10-2017 à 18:12:34  profilanswer
 

ton VPN (sur le téléphone) ne route peut etre que le reseau distant et pas tout.
faut changer la route par défaut pour y mettre la passerelle du VPN et je ne sais pas si c'est possible
 
pour mieux sécuriser L2TP, faut commencer par sécuriser IPSec.
donc utiliser de la crypto forte (éviter DES/RC4 et consort)
et mettre un niveau de clef DH suffisamment élevé.
pour l'authentification, idem PAP et CHAP proscrits.
etc...
 
cherche un peu tu verra
regarde un peu ici, en particulier chapitre 10 ;)
https://books.google.fr/books?id=yd [...] ak&f=false

n°149369
mirage2
Posté le 12-10-2017 à 20:10:52  profilanswer
 

Pap n'est pas activé (du moins pas sur mon pc).
 
Par contre si je ne met pas CHAP il y a justement le fameux message d'erreur comme quoi la connexion est interdite du a une stratégie configuré .... que dois-je faire pour enlever CHAP et mettre un système plus sécurisé auquel je puisse me connecter ?  
 
Pour ce qui est du chiffrement j'avais pris AES 128 DH 14 (par défaut)... je ne sais pas si c'est vraiment suffisant.. le truc c'est que je n'est pas envie que ça devienne trop lent ;)
 
 
 

n°149382
dims
if it ain't brocken, mod it !
Posté le 13-10-2017 à 14:29:22  profilanswer
 

chapv1 peut être craqué, pas chapv2 (enfin si mais uniquement sur PPTP ce qui n'est pas ton cas)
 
DH14 c'est bon, faut pas moins
AES128 c'est bon.

n°149384
dims
if it ain't brocken, mod it !
Posté le 13-10-2017 à 14:47:07  profilanswer
 

a tout hasard, sur tes clients Windows, le chapv2 est bien selectionné ?
https://community.ubnt.com/t5/EdgeM [...] C39695E702
 
si oui, ça veut dire que le serveur est aussi en v2 sinon ça marcherait pas.
 
donc t'es sécurisé.

n°149387
mirage2
Posté le 13-10-2017 à 14:58:35  profilanswer
 

Oui effectivement, en fait je pensais que v2 n'étais pas secure ;)
 
Merci !

n°149389
dims
if it ain't brocken, mod it !
Posté le 13-10-2017 à 15:29:54  profilanswer
 

non, chapv2 c'est bon dans L2TP.
 
donc si ça marche en v2, cherche pas plus loin, tu as ta solution
 
PS: openvpn c'est un peu galère.
faut déployer le client
faut maintenir les clef/certificats, les logon/mdp
si encore ça pouvait s'interfacer avec l'AD ça serait facile mais c'est pas possible.

n°149390
mirage2
Posté le 13-10-2017 à 15:33:44  profilanswer
 

Oui c'est ça, en plus y'avais déjà un pré-config faite par quelqu'un d'autre donc je galère.
 
Pour le L2TP, j'aurais environ 12 connexions (max) dont une ou deux du canada etc... j'espère que ça sera suffisant.

n°149397
roondar
Posté le 14-10-2017 à 23:13:04  profilanswer
 

dims a écrit :


PS: openvpn c'est un peu galère.
faut déployer le client
faut maintenir les clef/certificats, les logon/mdp
si encore ça pouvait s'interfacer avec l'AD ça serait facile mais c'est pas possible.


Openvpn est compatible active directory.
https://openvpn.net/index.php/acces [...] ctory.html

n°149401
dims
if it ain't brocken, mod it !
Posté le 15-10-2017 à 18:23:33  profilanswer
 

version payante ;)
et ça résous pas le problème des certificats a déployer

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Creer VPN inter-site (site-to-site)

 

Sujets relatifs
[Réseaux] savoir quel ordinateur est connecté sur quel site webVPN PPTP et IKEv2 bloqué, que faire ?
question VPNBoitier pour filtrage web / analyse du traffic /VPN
VPS Docker Lamp Wordpress et Multi Sitevlan site distant
filrtage URL / P2P en multi sites VPN MPLSClient Windows VPN et serveur VPN
Stormshield (netasq) / VLAN / VPN 
Plus de sujets relatifs à : Creer VPN inter-site (site-to-site)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR