Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1535 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN Lan to Lan

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

VPN Lan to Lan

n°138222
thedrvince​76
Posté le 03-03-2016 à 12:58:57  profilanswer
 

Bonjour à tous,
 
Je vous sollicite car cela fait plusieurs semaines que je cherche une solution sur le forum, internet avec des guides mais je ne trouve pas la bonne configuration.
Voici mon souci, j'ai plusieurs sites distant mais sur le même réseau 10.17.72.x/24 reliés entre eux en fibre optique du même opérateur internet. (couleur noire)
Sur site il y a des abonnements Adsl orange et des Fortinet 50B. Je souhaiterai (couleur verte) pouvoir les utiliser en cas de coupure d'un lien fibre optique.  
 
Pur ce faire, parallèlement en test j'ai configuré les Fortinet pour faire du VPN entre eux et ça fonctionne mais sur des réseaux IP différents,par exemple j'ai mis le site A en 192.168.1.x/24 et le site principal en 192.168.2.x/24 mais je souhaiterai que ça fonctionne avec le plan d'adressage réseau existant qui est en 10.17.72.1/24 sur chaque site.
 
 
http://img15.hostingpics.net/thumbs/mini_943684architecturereseau2016.png
 
Pouvez-vous m'aider à y voir plus clair pour adapter ma configuration ADSL "de secours" en utilisant un VPN.
 
Je vous en suis tres reconnaissant et vous remercie pour votre aide.
Vincent

mood
Publicité
Posté le 03-03-2016 à 12:58:57  profilanswer
 

n°138235
splinter_f​ive0
Posté le 03-03-2016 à 14:29:23  profilanswer
 

Bonjour,
 
tu peux faire un tunnel gretap que tu "encapsules" dans un vpn ipsec, ainsi tu gardes le même plan d'adressage des deux côtés. en pratique je sais comment le faire sur du stormshield mais je connais mal Fortinet donc il te faudra probablement une doc ^^ .

n°138242
thedrvince​76
Posté le 03-03-2016 à 15:12:54  profilanswer
 

Bonjour,
 
Merci Splinter pour t’être arrêté sur mon souci.
Je suis ton conseil, j'ai trouvé de la doc  http://docs.fortinet.com/uploaded/ [...] vpn-50.pdf
Par contre il faut un FortiOS 4.0 et je suis en 3.0, je regarde en ce moment comment le mettre a jour.
Vincent

n°138247
splinter_f​ive0
Posté le 03-03-2016 à 16:09:54  profilanswer
 

Pas de soucis ;)
 
procédure pour l'update :
 
To upgrade the firmware using the web-based manager
1
Copy the new firmware image file to your management computer.
The firmware images for FortiGate units are available at the Fortinet Technical Support  
web site. Log in to  
the site and go to  
Firmware Images > FortiGate
.
2
Log into the web-based manager as the super admin, or an administrator account that  
has system configuration read and write privileges.
3
Go to  
System > Status
.
4
In the System Information section, sele
ct Update on the Fi
rmware Version line.
5
Type the path and filename of the firmware  
image file, or select Browse and locate the  
file.
6
Select  
OK
.
The FortiGate unit uploads the firmware  
image file, upgrades to the new firmware  
version, closes all sessions, restarts, and  
displays the FortiGate login. This process  
takes a few minutes.
7
Log into the web-based manager.
8
Go to  
System > Status
 and check the Firmware Version to confirm that the firmware  
upgrade is successfully installed.
9
Update antivirus and attack definitions. For information about updating antivirus and  
attack definitions, see  
“Configuring FortiGuard Services” on page 264
 
source :  http://kb.fortinet.com/kb/microsit [...] 2013546163

n°138254
thedrvince​76
Posté le 03-03-2016 à 17:03:36  profilanswer
 

Super, merci :) je vais donc suivre la procedure et te tiens au courant de la suite.

n°138267
thedrvince​76
Posté le 04-03-2016 à 09:30:41  profilanswer
 

Salut,
 
Alors pour les mises à jour du Fortinet faut avoir une licence active,et la mienne est expirée depuis 2008 et celui qui nous a fourni les Fortinet n'existe plus, bref ca semble le moisi. Par contre sur 2 autres sites, (j'en ai 5 qui pointent vers un site - serveur principal) j'ai trouvé un zyxel usg 50, en regardant les doc ici et la, j'ai trouvé ceci http://www.zyxel.fr/support/knowle [...] ail/115246
 
Je vais essayer entre les deux sites qui ont le même zyxel  du coup et je te dit ce qu'il en est.
Vincent

n°138270
splinter_f​ive0
Posté le 04-03-2016 à 10:02:08  profilanswer
 

Hello !  
 
Effectivement c'est dommage, peut-être à l'avenir faudra t'il envisager de reprendre une licence ? ou changer de produit ?  
 
Ta solution entre les deux zyxel à l'air assez simple a mettre en oeuvre effectivement, j'attends ton retour sur ce sujet, c'est intéressant :)

n°138286
Gimea
So, get rid of noise.
Posté le 04-03-2016 à 21:06:58  profilanswer
 

Tu peux également résoudre les problèmes de sites distants qui se recouvrent avec des translations. Même qd ils sont reliés en ipsec.
 
Si t'encapsules des tunnels dans d'autres tunnels (comme gretap dans ipsec) tu finis par transporter que des entêtes de protocoles au bout d'un moment.
 
Reste à voir dans le cas présent quelle est la solution la plus efficace.

n°138287
splinter_f​ive0
Posté le 04-03-2016 à 22:10:18  profilanswer
 

Tout a fait Giméa, du Nat-T , c'est tout à fait ce qu'il va mettre en oeuvre avec la doc des Zyxel. Oui, le Gretap dans Ipsec augmente la longueur des en-têtes, donc la fragmentation, mais je ne pense pas que cela fasse baisser sensiblement la qualité de la connexion ?

n°138292
Gimea
So, get rid of noise.
Posté le 05-03-2016 à 09:12:47  profilanswer
 

Le NAT-T dans le cadre d'ipsec permet à un correspondant de monter un tunnel tout en étant derrière un routeur qui NAT.
 
Dans son cas à lui, il peut faire du NAT avant VPN en attribuant un subnet virtuel de chaque coté et en translatant.
 
Si tu paramètres correctement ton MSS, j'aurais tendance à penser que tu n'auras pas de fragmentation mais par contre en encapsulant du GRE dans de l'IPSEC tu envoies des trames qui contiennent moins de données utiles et plus d'entêtes.
 
En fait la vraie solution dans son cas ça serait surtout de ne pas avoir de réseaux qui se recouvrent.
 

mood
Publicité
Posté le 05-03-2016 à 09:12:47  profilanswer
 

n°138293
splinter_f​ive0
Posté le 05-03-2016 à 09:34:51  profilanswer
 

Oui, ça serait la solution la plus simple, mais il y a les contraintes de l'existant, tu peux pas toujours tout changer en entreprise.  
 
Tu as raison pour le nat-t, c'est un abus de langage de ma part mais on parle bien de la même chose :) .

n°138294
Gimea
So, get rid of noise.
Posté le 05-03-2016 à 09:53:53  profilanswer
 

splinter_five0 a écrit :

Oui, ça serait la solution la plus simple, mais il y a les contraintes de l'existant, tu peux pas toujours tout changer en entreprise.  
 
Tu as raison pour le nat-t, c'est un abus de langage de ma part mais on parle bien de la même chose :) .


 
Exact, d'autant plus que je n'avais que partiellement lu son message et son schéma et qu'en plus c'est seulement pour du secours.
 :)

n°139184
thedrvince​76
Posté le 06-04-2016 à 21:49:45  profilanswer
 

Salut,
 
désolé de répondre si tard, j'ai fait des tests entre deux zyxel usg50, l'un derrière un lien adsl SFR et l'autre Orange, le vpn se monte bien mais le NAT ne fonctionne pas.
J'ai passé bcp de temps sur les conf sans pour autant trouver de solution, j'ai contacté mon éditeur qui gère le serveur en question et lui ai demandé de libérer une des 4 cartes réseau et d'y mettre une adresse ip privée différente du reseau actuel.
Ce sera plus simple a gérer, d'autant plus que c'est pour du secours...
 
Merci à tous pour m'avoir aidé.
 
Bonne soirée,


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN Lan to Lan

 

Sujets relatifs
Migration MPLS + VPN IPSecles différent VPN
VPN avec deux sous-réseauxSécuriser un accès LAN ? . ( Voir schéma )
VPN IPsec Lan to Lan / TL-ER6020 to TL-R600VPN HSVPN PPTP - Ping server OK, ping LAN KO
VPN, LAN TO LAN avec un Zyxel et un D-LinkConflit VPN vs LAN
Monitoring LAN/VPNCherche software de monitoring et de QoS pour un reseau Lan et VPN
Plus de sujets relatifs à : VPN Lan to Lan


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR