Bonjour à tous,
 
Voilà ma boite change actuellement de connexion internet et je dois reconfigurer le firewall.
 
Avant nous avions une livebox business (connexion SDSL), nous passons sur une livebox pro fibre.
 
La configuration actuelle est la suivante :
IP publique du routeur business : 195.101.101.a
IP publique du firewall : 195.101.101.b
 
Les clients VPN se connectent sur 195.101.101.b et ont accès au réseau local.
 
Le problème c'est que je ne sais pas comment configurer ma livebox pro qui a une IP publique en 92.154.4.c mais du coup, le firewall lui n'a pas d'IP publique propre, il a uniquement une IP 192.168.0.2 (la livebox  étant en 192.168.0.1).
 
Donc comment faire pour que mes VPN nomades se connectent sur l'IP 92.154.4.c et que la connexion s'établisse avec le firewall ?
 
J'ai essayé de déclaré le 192.168.0.2 en DMZ mais sans résultat.
 
Egalement, si vous avez des idées pour tester pas-a-pas ce changement ça serait pas mal car la pour chaque test je modifie mon client VPN, mon interface Firewall, ma configuration VPN sur le firewall et je passe par une livebox différente ce qui peu poser problème pour identifier le problème
 
Merci d'avance pour votre aide.

Tu parles de quel type de VPN sur le stormshield ? Ipsec ? PPTP ? SSL ?

IpSec

déjà ça m'étonne que ton opérateur ne te propose pas de configurer ta box fibre en mode bridge ?  
 
Si ce n'est pas possible il va te falloir faire du nat udp/500 et udp/4500 et si tu y arrives, tester avec plusieurs tunnels en même temps

Je n'ai pas essayé de voir avec Orange, le mec qui est venu installer la box n'a même pas réussi à partir avec une installation fonctionnel ("ça se met à jour, c'est pour ça qu'internet ne marche pas" -> bilan il fallait configurer la box avec les identifiants ...) donc je n'ai pas osé lui parler de firewall et de VPN ...
 
Je vais regardé du côté du nat. Merci

vérifie et tanne ton commercial parce qu'il faut mieux avoir le stormshield en frontal que la m... de l'opérateur
 
de mémoire, sur une business internet, orange te file un pool d'ip
le routeur orange est transparent
tu files une ip du pool en adresse du fw, le masque en /29 et la passerelle par défaut est la dernière ip du pool

Justement on change ce principe.  
Actuellement on a effectivement un pool d'IP, mais on va se retrouver avec une IP unique sur une livebox pro.

Bonjour,
 
ce qu'il faut savoir c'est que la lb pro ne propose pas de mode pont , donc il faut soit la virer, soit faire avec. Pour faire fonctionner un netasq ou Stormshield derriere une lb pro il faut :
 
1- mettre ton netasq en DMZ de ta livebox
2- parametrer ton stormshield pour faire sortir tes flux par ta livebox qui est ta passerelle
3 - parametrer le firewall de ta lb pour laisser sortir ipsec.
 
/!\ d'apres un tech orange la lb pro aurait parfois du mal a gerer plusieurs sessions ipsec et reset aléatoirement les sessions ouvertes par les tunnels, il se peut donc que ça coupe sans raison valable.  

Merci pour vos retours, juste une question je trouve rien à ce sujet sur la livebox "3 - parametrer le firewall de ta lb pour laisser sortir ipsec."
J'ai mis le parefeu de la livebox à faible, mais à part ça, autre chose à faire ?

Bon, j'ai fais pas mal de test mais impossible de connecter tout ça ... je bloque toujours en phase 1 mais impossible de savoir si c'est la box qui me bloque ou mon netasq

checke ton real time monitor pour voir déjà si ça arrive jusqu'au FW
 
vu le principe de la connexion ipsec et du nat-t, je ne connais pas la LBP mais c'est pas gagné
tu risques de devoir passer au vpn ssl (parce que le pptp c'est pourri et qu'en plus le GRE connait chez orange le même pb que l'ipsec dont parle splinter50)

alors en fait tu dois aller dans configuration avancé > parefeu  et la tu as un bouton orange personnaliser. Ensuite tu vas avoir un menu pour ajouter des regles et autoriser des protocoles, et dedans tu as ipsec (dixit les tech orange que j'ai eu il y a pas longtemps pour ce genre de probleme) . Sinon tout ce qui est derriere le firewall arrive a sortir sur le net  ?

Tu peux te passer de la box.
Pour cela tu relis le tranceiver au port wan de ton netasq.  
Tu tag le vlan 835 sur ton port wan.  
Ensuite, tu crées une interface modem rattaché à ton interface VLAN.  
Tu renseignes tes identifiants (fti) et tu n'oublies pas de passer le mss à 1300 (proposé par l'assistant de mémoire).  
 
Voilà tu as l'ip publique directement sur ton firewall.