Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

VPN avec accès en client IPSEC contivity. 1er post.

Bonjour à toutes et à tous!

C'est mon premier post! On va voir ce que ca donne dans ce forum.

😀

Notre FAI héberge un "serveur VPN Contivity 600". Les utilisateurs nomades possèdent un client nortel ipsec sur leur portable et une carte 3G. Ils s'authentifient sur ce client vpn puis le tunnel ipsec est créer via le haut débit 3G.

En utilisant par exemple, un accès ADSL à partir d'un lan les fluxs ipsec sont bloqués par le firewall.
Je pense ouvrir le port UDP 500, TCP 50/51 sur firewall, mais "en sortie et en entrée" ou seulement "en sortie"?

Merci d'avance.

Ah non, IP 50/51, pas TCP. C'ets IPsec pas TCPsec 😀

En sortie, si ton firewall est stateful il laissera passer les paquets en retour.

Merci elalitte pour ta rapidité.

Ah non, IP 50/51, pas TCP. C'ets IPsec pas TCPsec Very Happy

Je suis d'accorsd avec toi, mais les 2 seules port de transport qui existeent sont UDP et TCP. A moins que je me trompe.

En fait, le protocole IP peut lui-même utiliser plusieurs modes de transport, dont AH et ESP qui sont les modes de transport d'IPsec.
Comme les informations sont chiffrées à partir de la couche3, on ne voit rien de ce qui est utilisé en couche 4 (TCP ou UDP)

Ah non, IP 50/51, pas TCP. C'ets IPsec pas TCPsec 😀

En sortie, si ton firewall est stateful il laissera passer les paquets en retour.

Pour résumé, j'ouvre uniquement les port UDP 500 et les ports 50 et 51 du FW en sortie?

Si le routeur et stateless, j'ouvre les ports en entrée et sortie? Quel est le risque d'ouvrir ces ports en entrée?

Merci d'avance,

Les ports 50 et 51 IP du firewall, il faut qu'il sache le gérer, ce qui n'est pas le cas de tous les firewalls, ou alors il faut regarder la doc.

Pas grand chose, mais je dirais qu'il y a 95% de chance qu'il soit stateful s'il est un minimum récent.

En passant via un LAN, mon client vpn ipsec n'atteint pas le point d'entrée nomade.
Le Message suivant s'affiche: "Ouverture de session impossible à cause de : Hôte distant ne répond pas".

Par contre, en effectuant la connexion via une carte 3G, cela fontionne.

J'en déduit que le blocage se situe au niveau du firewall du LAN. Je vais tenter l'ouverture des ports cités precedemment en entrée également, bien que le FW est statefull.

Qu'en pensez vous elalitte?

Merci.

salut à tous :

pour le VPN IPSec laissez passe les port 500 (IKE) udp et 4500 (NAT-T)

puis le protocole n°50 pour l'ESP bien entendu tout ceci redirigé sur l4IP du server VPN

Si vous avez un client IPSec Cisco il faut aussi le 10000

à bientôt

slt, j'ai un réseau local avec acces internet 512 mbps, et un ADSL routeur 504T et je veux permettre l'accés de mon réseau à des utilisateurs nomades(au nombre de 15 environ). Que dois faire ? Ai-je bésoin de quels éléments en plus ?. aidez moi, je suis un peu novice sur les VPN.

salut,

déja snif, mais je pense que ton débit pour une 15 d'utilisateurs est trop faible.

La solution, par exemple, tu peux utiliser des boitiers comme j'instale, de Netasq (F50), à ce moment là il te permettra d'avoir ton server VPN PPTP ou IPSec, mais sache que pour l'IPSec, à moins d'opter pour des distrib Linux, les clients sont payants.

Autre solution :

Un server VPN PPTP sous Windows 2000 par exemple (pour ne pas que la charge soit trop forte et suivant ta machine)

Si tu as besoin de plus d'info n'hesite pas, de nombreuses solutions sont possibles mais avec plus ou moins de prise de tête.

à bientôt

FRAMEIP.COM

Partage des connaissances du monde TCP/IP

Les Forums

VPN avec accès en client IPSEC contivity. 1er post.