Bonjour,
 
 
pour un réseau d'entreprise j'aimerais relié 3 sites entre-eux.
 
Les sites sont distants (lieux différents), et ont chacun un routeur edgerouteur (avec une ip publique joignable sur chaque)....
Le serveur voip est également sur un serveur distant (je ne sais pas si ça peut poser des problèmes).
 
Donc je voudrais que ces sites soit lié entre-eux et donc pinguer les machines local entre chaque site.
Par contre je voudrais aussi avoir des clients nomade ... qui puissent se connecter ou ils veulent grâce à ce vpn site-to-site.  
 
Exemple:
Site 1  edgeRouteur <---------------------> Site 2 edgeRouteur <---------------------> Site 3  edgeRouteur
 
 
J'avais penser a créer un serveur openvpn qui soit situer en dehors de ces trois sites et ensuite relier ces trois sites à ce serveur via ipSec.
Le client nomade pourrait donc se connecter a ce serveur VPN qui est lui-même connecter aux 3 sites.
 
MAIS je n'y arrive pas du tout... je ne sais pas comment relier tous ces sites au serveur openvpn.
 
Je ne sais pas si c'est clair.  
 
 
Merci d'avance.

relie les edge router entre eux via un vpn ipsec et sur un des sites tu fais de l'openvpn pour les clients nomades

Wow réponse super rapide !
 
Comment je fais de l'openVpn sur un des routeurs ?  
Et pour l'ipsec entre eux, est-ce que je dois activer la fonction "Automatically open firewall and exclude from NAT" ?  
 
Merci

bah tu lis les docs/tutos
et pour l'ipsec, c'est en fn de ta conf actuelle.

Merci !
 
Le problème c'est que j'ai chercher super longtemps et je nai pas trouvé pour le serveur openvpn.
 
Du coup j'imagine que je n'est pas besoin d'un serveur openvpn (sous linux) séparé ? tous se fait avec les routeurs ?

Hello,
 
Je ne pense pas qu’il soit nécessaire de faire un VPN sur chaque sites pour les clients nomades.
Ce que tu veux faire est assez simple. Il faut simplement implémenter tes VPN entre les sites, et ajouter les “clients nomades” aux “security association” de ces dits VPN.  
En gros, il faut ajouter le range IP des “clients nomades” au pool d’IP locale avec les 2 routeurs distants pour ton VPN. C’est à faire sur chaque routeur si chacune on leurs clients nomades respectifs.
Pour un VPN, t’es clients nomades ne sont qu’un range d’IP de plus. Il faut bien évidemment partager correctement les range IP locaux et distants pour chaque VPN.
OpenVPN n’est absolument pas nécessaire si ces sites on déjà une solution “remote VPN”

Ok donc en clair.
 
Pour les routeurs (edgerouteur), je vais dans la partie "vpn" puis "site-to-site" et je configure .... (peer, local subnet etc....).
 
D'ailleurs y a t'il un risque que cela perturbe le réseau local ? Puisque les téléphones ip se connecte au serveur IPBX qui est en dehors du réseau...
 
Et quand j'ai fait la configurations inter-site (sur les 3 routeurs, donc 6 configs si je dit pas n'importe quoi), je dois rajouter les clients nomades aux "security association"... et ça se trouve ou ça ? ^^"
 
A savoir que j'utilise l'interface graphique des edgerouteur ... la config inter-site en image :
https://community.ubnt.com/ubnt/att [...] erface.jpg
 
J'imagine donc que je vais devoir passer par ssh sur le serveur pour faire des configs en plus ?  
 
 
Désolé pour les questions un peu stupide, mais je n'ai jamais mis en place un VPN.
 
Merci d'avance !

Non, pas de perturbation avec ta téléphonie, cela n’a rien à voir.
Pour les clients nomades, il faut les ajouter justement à l’endroit où tu as posté cette image.
Il faut aussi configurer la partie négociation de ton tunnel, la phase 1.
 
Sinon pour que tu puisses mieux comprendre les VPN , regarde simplement sur Internet : ISAKMP et IPSEC

D'accord, même si j'ai toujours du mal pour les nomades.
 
J'avais lu ce tuto https://help.ubnt.com/hc/en-us/arti [...] te-to-Site
 
Donc en gros si on prend 2 sites, un avec une ip local de 192.168.1.0/24 et l'autre avec 192.168.2.0/24.
 
Une ip publique pour le 1 de 10.0.1.0/24 et 10.0.2.0/24 pour le 2.
 
Donc dans l'interface graphique sur le site 1 (routeur 1):
 
peer: 10.0.2.0
Local Ip: 10.0.1.0
 
Pre-shared-khey: MonMotDePasse
 
Local subnet: 192.168.1.0
Remote subnet: 192.168.2.0
 
Puis apply en laissant cocher "Automatically open firewall...."
 
Pareil sur le site 2 (routeur 2) mais en inversant les local et remote subnet --- peer et local ip.
 
Donc à ce niveau je devrais pouvoir pinguer les machines des deux réseaux via chaque site ?
 
(Avec mon troisième site je devrais donc faire la même chose (ce qui fait 6 configurations comme celle-ci en tout)).

En fait ce que j'aimerais ce serait des exemples concret avec des exemples de configuration du serveur openvpn pour les nomades, la phase 1, et de l'inter-site.
 
 
C'est peut-être beaucoup demandé mais actuellement j'en ai vraiment besoin.
 
Merci d'avance.

Personne ?  
Pour les user nomade j'utiliserais l2tp configuré sur le edgerouteur 1 est-ce correct ?

Bonjour,
 
après avoir mis en place un vpn site-to-site avec mes deux edgerouteur j'ai "configuré" le l2tp pour la connexion "nomade"
Pareil pour pptp.
 
Pptp fonctionne mais l2tp non... sur windows ça me met que "La connexion a été interdite par une stratégie...."
 
J'attend vos suggestions.
 
Merci d'avance.

Sur mon tel android ça fonctionne ...

Les sujets suivant ont été fusionnés à ce sujet par Je@nb

• Vpn L2TP edgerouter

Effectivement j'aurais du continuer ici
 
Sinon j'aurais (encore), une question.
Est-ce mieux L2TP ou openvpn ? (pour les nomades)
 
Merci d'avance

Plus précisément ça me met ça:
 
Thu Oct 12 15:49:31 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Oct 12 15:49:31 2017 TLS Error: TLS handshake failed
Thu Oct 12 15:49:31 2017 SIGUSR1[soft,tls-error] received, process restarting
Thu Oct 12 15:49:31 2017 MANAGEMENT: >STATE:1507816171,RECONNECTING,tls-error,,
Thu Oct 12 15:49:31 2017 Restart pause, 2 second(s)
Thu Oct 12 15:49:33 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Oct 12 15:49:33 2017 UDPv4 link local: [undef]
Thu Oct 12 15:49:33 2017 UDPv4 link remote: [AF_INET]IP PUBLIQUE ROUTEUR:port
Thu Oct 12 15:49:33 2017 MANAGEMENT: >STATE:1507816173,WAIT,,,

si tes routeurs gèrent le L2TP prend ça.
ça t'évitera d'installer un autre truc a coté et d'avoir a gérer de la maintenance en plus
 
ton L2TP, tu le fais avec certificat ou PSK ?

Oui c'est ce que je me dis aussi... après j'ai vu que le openvpn était plus rapide, mais est-ce vraiment significatif par rapport au l2tp ?!
 
Mon l2tp je le fait avec PSK

En fait je suis en train de me dire...
De toute façon le PC avec lequel je me connecte il est dans le réseau... (site1)
 
Site 1 qui est relié via ipsec (site-to-site) au site 2....
Il faudrait que je test avec un pc hors réseau
 
(même si bizarrement le PPTP fonctionne quand même sur cet ordi)

Bon ba finalement c'est fonctionnel ....
Dans la carte "virtuel" de la connexion L2TP j'ai fais:
 
- propriétés
- sécurité
- autoriser ces protocoles
- cocher la case numéro 2 et 3
 

PPTP et la sécurité, ça fait 2
https://en.wikipedia.org/wiki/Point [...] g_Protocol

donc désactive le

(ça résous pas ton problème mais va t'en éviter de grave)

en effet, essaie de chez toi ou avec une clef 3G
(attention avec les clef, certains opérateurs bloquent le protocole)

fais attention a pas activer des protocoles non sécurisés sur L2TP, sinon autant ne rien faire

Ah, les protocoles non sécurisé de L2TP ? tu peux m'en dire plus ? comment je vérifie que ce n'est pas le cas ?
 
Oui PPTP j'ai vu que c'était moyennement recommande

Finalement un autre problème (nom de dieu)
 
Sur mon tel android connecté en L2TP (petite clé a coté de ma connexion 4g), quand je vais sur un site voir mon IP je n'ai pas l'ip du routeur sur lequel je me connecte en L2TP... est-ce normal ?
 
(j'arrive pourtant a pinguer les machines du réseau)

ton VPN (sur le téléphone) ne route peut etre que le reseau distant et pas tout.
faut changer la route par défaut pour y mettre la passerelle du VPN et je ne sais pas si c'est possible
 
pour mieux sécuriser L2TP, faut commencer par sécuriser IPSec.
donc utiliser de la crypto forte (éviter DES/RC4 et consort)
et mettre un niveau de clef DH suffisamment élevé.
pour l'authentification, idem PAP et CHAP proscrits.
etc...
 
cherche un peu tu verra
regarde un peu ici, en particulier chapitre 10
https://books.google.fr/books?id=yd [...] ak&f=false

Pap n'est pas activé (du moins pas sur mon pc).
 
Par contre si je ne met pas CHAP il y a justement le fameux message d'erreur comme quoi la connexion est interdite du a une stratégie configuré .... que dois-je faire pour enlever CHAP et mettre un système plus sécurisé auquel je puisse me connecter ?  
 
Pour ce qui est du chiffrement j'avais pris AES 128 DH 14 (par défaut)... je ne sais pas si c'est vraiment suffisant.. le truc c'est que je n'est pas envie que ça devienne trop lent
 
 
 

chapv1 peut être craqué, pas chapv2 (enfin si mais uniquement sur PPTP ce qui n'est pas ton cas)
 
DH14 c'est bon, faut pas moins
AES128 c'est bon.

a tout hasard, sur tes clients Windows, le chapv2 est bien selectionné ?
https://community.ubnt.com/t5/EdgeM [...] C39695E702
 
si oui, ça veut dire que le serveur est aussi en v2 sinon ça marcherait pas.
 
donc t'es sécurisé.

Oui effectivement, en fait je pensais que v2 n'étais pas secure
 
Merci !

non, chapv2 c'est bon dans L2TP.
 
donc si ça marche en v2, cherche pas plus loin, tu as ta solution
 
PS: openvpn c'est un peu galère.
faut déployer le client
faut maintenir les clef/certificats, les logon/mdp
si encore ça pouvait s'interfacer avec l'AD ça serait facile mais c'est pas possible.

Oui c'est ça, en plus y'avais déjà un pré-config faite par quelqu'un d'autre donc je galère.
 
Pour le L2TP, j'aurais environ 12 connexions (max) dont une ou deux du canada etc... j'espère que ça sera suffisant.

Openvpn est compatible active directory.
https://openvpn.net/index.php/acces [...] ctory.html

version payante
et ça résous pas le problème des certificats a déployer