Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

IPsec et L2TP/PPTP/PPP ou pourquoi utiliser PPP?

Bonjour,

Ça fait quelques jours déjà que je me penche sur les technologies VPNs, mais je n'arrive pas à trouver la réponse à une interrogation!

IPsec peut être utilisé seul pour mettre en place un VPN, c'est souvent le cas pour les VPNs de type site à site (intranet et extranet) par exemple.

Cependant, dès que l'on parle de VPN de type utilisateur distant, on ajoute tout de suite à IPsec des protocoles tel que L2TP ou PPTP (basés sur PPP). Donc j'ai bien compris qu'une des limitations de IPsec c'est qu'il ne peut encapsuler que de l'IP ainsi lorsqu'on a besoin d'utiliser d'autres protocoles, tel que IPX, l'utilisation de L2TP ou PPTP se justifie; mais aujourd'hui ce besoin est très rare et dans la plupart des cas l'utilisateur itinérant accède au réseau LAN de l'entreprise à partir d'Internet (réseau IP) avec son ordinateur portable:
-d'un hot spot wifi dans un café
-de chez lui derrière son routeur ADSL
-etc...

Donc j'aimerais savoir si dans cette situation, le protocole IPsec peut être utilisé seul? Et si non, pourquoi ? Pourquoi avons-nous besoin de PPP (L2TP/PPTP) alors qu’il ne semble pas nécessaire pour un VPN site à site ?

Deuxième clarification qui est liée à la première: Concerne les architectures des VPNs pour utilisateur distant.
J’ai cru comprendre qu’il existant 2 architectures :
-Premier cas, un FAI prend en charge la création, maintenance et terminaison du tunnel VPN. Donc l’utilisateur distant lorsqu’il veut se connecter au LAN de son entreprise fait une requête à un équipement du FAI qui va créer le tunnel jusqu’au LAN de l’entreprise. Dans cette configuration je crois comprendre le besoin pour le protocole L2TP par exemple, qui se base sur un LAC (Access concentrator) qui reçoit la requête d’un client et un LNS (network server) qui se trouve à côté du réseau LAN de l’entreprise. Je vois dans cette configuration comme avantages la possibilité de demander un service spécifique au FAI, en terme de bande passante ou latence ; et aussi peut être une complexité moindre au niveau du poste de l’utilisateur client (logiciel moins complexe ou livré et configuré directement par le FAI). Inconvénient, il faut payer ce service au FAI.
-Deuxième cas, l’utilisateur distant crée, maintient et termine lui-même sont tunnel VPN. Dans ce cas là l’avantage c’est qu’il n’y a rien à payer mais l’IT de l’entreprise doit configurer tout de A à Z et aucune QoS ne peut être définie (car utilisation de l’Internet classique).

Donc tout d’abord je voudrais savoir si je ne divague pas, si les infos ci-dessus sont correctes.

Et enfin la dernière question, qui je crois est à la base de mon soucis, quel est l’intérêt de PPP pour mettre en place un VPN ?

Je vous remercie pour le temps que vous voudrez bien consacrer à lire et répondre à mon post.

Merci.
Salut,

Je crois qu'il y a une confusion. Il y a 2 services réseaux différents évoqués.

Le plus commun d'un point de vue entreprise est le VPN ; IPsec entre autres. Ca permet, par exemple, d'étendre le réseau d'une entreprise à travers un réseau public tout en implémentant une politique de sécurité. C'est donc un tunnel sécurisé entre 2 points. PPTP offre juste un tunnel d'un point A à un point B, sans sécurité.

PPP/L2TP est surtout utilisé côté opérateur. PPP permet d'implémenter le concept AAA "Authenication Authorization Accounting", grâce au Radius. Ca permet d'établir une session de couche 2 avec un login et un mot de passe. L2TP permet de prolonger la session PPP. Les session PPP sont concentrées sur un BAS ou un LAC et terminées sur un LNS. Concrètement, ça peut permettre à des opérateurs alternatifs de collecter des clients par le réseau d'un opérateur tiers.
Tout d'abord merci beaucoup pour votre réponse.

Donc il y aurait 2 services VPN:

-Un service indépendant du FAI; utilisé le plus fréquemment par les entreprises pour leur utilisateurs distants: un exemple courant serait donc VPN IPsec, IPsec serait utilisé pour encapsuler les paquets IP sans recours au protocole PPP (ou dérivés L2TP/PPTP). Et donc dans ce cas pas de QoS possible!

-Un service dépendant du FAI; MPLS ou encore ATM sont des technologies qui peuvent être classifiés comme VPN car elles permettent la séparation du trafic, premier critère d'un VPN (différent de l'encryption). Ces technologies sont donc fournis par un ou plusieurs FAI. Mais si on revient plus particulièrement à PPP/L2TP/PPTP, ils seraient donc utilisé par les FAI afin de faciliter la gestion des communications point à point (facilite par exemple la facturation d'un client ou opérateur utilisant son réseau grâce à ces caractéristiques de dial up ou de combinaison avec RADIUS).

Mais théoriquement, une entreprise lambda qui voudrait avoir une certaine QoS (bande passante, latence) pour un utilisateur ou site distant donné ou encore interconnecter 2 sites IPX, pourrait utiliser le protocole L2TP ou PPTP (en combinaison avec IPsec si besoin) afin d'utiliser les services VPNs d'un FAI? Ceci serait possible mais est rarement utilisé?

Aujourd'hui traditionnellement on préfère selon les besoins:
-interconnexion de sites distants nécessitant donc une QoS définie = MPLS (avec IPsec si besoin) ou précédemment ATM: FAI dépendant.
-utilisateurs distants où la QoS n'est pas nécessaire = IPsec seul: FAI indépendant.


Je vous remercie pour le temps que vous voudrez bien consacrer à lire et répondre à mon post.

Merci.
C'est plutôt bien résumé.

- IPsec va répondre à des besoins de sécurité au niveau réseau ; typiquement, le raccordement de 2 sites via Internet. L'administrateur garde la main sur la gestion du service.

- MPLS permet à un opérateur de se servir d'une infrastructure unique pour tous ses clients et éviter ainsi d'en dédier une partie. La notion de VPN (L2 ou L3) se traduit par l'étanchéité. De ce fait, le coût d'interconnexion des sites distants est réduit par rapport à des LS. La gestion du service est déléguée à l'opérateur.

Une banque peut par exemple choisir d'opter pour l'étanchéité de MPLS + la sécurité de IPsec.

Je n'ai pas bien compris la partie concernant la QoS, L2TP et PPTP... En tout cas, je ne crois pas que ces 2 derniers offrent une QoS. Ce qui est sûr, c'est qu'un SLA ne peut être proposé que si l'infrastructure est maitrisée totalement ; ce qui exclut les interco par Internet. MPLS me parait très efficace pour répondre à des besoins en terme de QoS car cette techno offre les avantages du routage et de la commutation. Ex : DiffServ, trafic engineering.

ATM tend à disparaitre et à être utilisée comme techno de couche 2, c-à-d pour lier 2 point par un circuit. C'est très bien pour la QoS. On ne se débarasse pas d'un backbone ATM comme ça !

Le VPN SSL devient à la mode également : ça permet de monter des accès distants à des réseaux ou des applications sans la lourdeur d'IPsec.

Pour résumer :
- interconnexion de sites, SLA, CoS : MPLS
- sécurité, diminution des coûts, interconnexion de peu de sites distants : IPsec
- postes distants : VPN SSL
- PPP/L2TP : il faut les voir comme des liens qui permettent d'atteindre un point de collecte, qui offrira le service voulu
- PPTP : conrétement... Ché pas trop dans quel cas l'utiliser...

Ah j'ouliais les technos de niveau 1 : SDH, WDM. Rien de mieux au niveau perf mais ça reste du point à point, sans différenciation de flux et donc pas de classes de services au sens DiffServ.
Merci beaucoup pour ces éclaircissements.

(désolé pour le temps de réaction)

A bientôt peut être 🙂