Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

IPsec, NAT, tunnel non maintenu

Bonjour tout le monde,

J'ai configuré 4 Pix 501 collectés par un Pix 515E pour des VPN site à site. 3 d'entre eux fonctionnent. Le 4e perd le tunnel trop souvent sans le remonter pour être exploitable. Les liaisons sont des ADSL.

Le collecteur est directement exposé à Internet. Les 3 Pix qui fonctionnent initient une session PPPoE au travers d’un Zyxel en mode bridge (les tunnels tombent mais remontent). Liaisons ADSL Hub Télécom.

Le 4e est derrière un routeur NAT fourni par 9C et fonctionne au mieux pendant quelques heures. Liaison ADSL IPoA. Les phases 1 et 2 se négocient bien et le trafic passe. Wireshark montre bien une négociation ISAKMP et un VPN IPsec en ESP en mode tunnel. Passerelle configurée pour renégocier les SA toutes les 24h. Les utilisateurs utilisent temporairement un IPsec Orange Business Everywhere.

Plusieurs questions et remarques :

- Je ne suis pas sûr de pourquoi le tunnel monte ! Pour moi, même si ESP/tunnel tolère la modification de l’en-tête IP, le routeur NAT ne doit pas pouvoir maintenir une table de translation car il n’y a plus de numéros de port au dessus d’IP. Hypothèse : le routeur NAT utilise une sorte de table de translations en tenant compte d’ESP.

- J’ai lu que le comportement normal des Pix était de hasher des champs pour détecter le NAT et auquel cas passer en NAT-T sur le port UDP 4500. Rien de tout ça d’après Wireshark et le Pix passe à travers le NAT.

Re-maquettage :
- Derrière une Livebox NAT, la perte du tunnel est détectée côté collecteur et les SA sont supprimées. La passerelle distante ne voit rien et ne rouvre donc pas le tunnel.
- Derrière une Freebox NAT : perte de synchro ADSL. Monitoring avec et sans IPsec en cours…
- Dans les deux cas, j’ai un nouveau problème : le tunnel monte mais le trafic ne passe plus. Le fichier de config a été rechargé tel quel. Le peer a été modifié côté collecteur.

Toutes les pistes sont les bienvenues !

Merci d’avance.