Bonjour
 
J'ai un ligne orange sur un de mes sites sur laquelle j'ai un routeur firewall netgear FVS318G, qui sait gérer du vpn ipsec "gateway to gateway"
J'aimerais monter un vpn entre ce boitier, et un autre boitier FVS318G que je placerais dans le LAN d'un autre site, qui est lui relié à internet par un boitier opérateur sur lequel je n'ai pas la main.
Il vous parait possible que je monte un tunnel dans ces conditions, où je dois à tout prix avoir la main sur mon boitiers opérateur (ce qui est impossible) ?

Si tu nous dis pas quel est le type de "boitier opérateur" de l'autre côté, on ne peut pas te dire.

Vérifie que tes NETGEAR supporte l'IPsec au travers des NAT (NAT Traversal) et que le boitier opérateur laisse passer le flux UDP 4500 et éventuellement le port UDP 500 suivant si tu utilises la négo automatique des paramètres de sécurité. s'il laisse passer et tes boitiers savent faire du NAT traversal, le routeur derrière le boitier opérateur pourra établir un tunnel IPsec avec son peer.

Sinon il faut demander à ton opérateur de laisser passer ces flux voir de faire de la "redirection de port" (ceux que j'ai cité) ou simplement les protocoles ESP et AH vers ton boitier.

   *  IPsec-based 56-bit (DES) 168-bit (3DES), or 256-bit (AES) encryption algorithm
    * MD5 or SHA-1 hashing algorithm
    * ESP support
    * PKI features with X.509 v.3 certificate support
    * remote access VPN (client-to-site), site-to-site VPN
    * IPsec NAT traversal (VPN passthrough)
    * Two-factor authentication support
 
Premier point OK.
 
Deuxième étape donc, demander à l'opérateur de rediriger les ports 4500 et 500 (udp) vers mon boitier et ca devrait bien se passer ?
Remarque à la réflexion, j'ai la main sur le boitier de l'opérateur, c'est un speedtouch 536, mais je suis loin d'être convaincu que les routages de ports se passent ici.
J'ai 2 interfaces dessus :  
 
PPPoE_1 10.128.0.200/32 Auto none  
eth0      10.170.0.254/24 Extra none
 
+ loop
 
nb : je me demande ce qu'il se passe si j'utilise mon routeur à la place de son speedtouch, sachant que ses boitiers gèrent un vpn entre certains de mes sites...

si ton routeur sait faire du pppoe, tu peux sans doute l'utiliser.
reste à savoir si c'est prévu dans ton contrat avec ton ISP.
concernant les VPNs, il faudrait savoir de quel type de VPN il s'agit. (MPLS, IPSEC).

 
Voilà, j'ai mon routeur, il gère du pppoe, j'ai un modem, et je commence à essayer de configurer le tout.
Première question, au niveau du modem : J'ai le choix entre  
 
PPPoE/PPPoA
Adresse IP statique
Mode pont
 
Puisque je veux gérer mes connexions pppoe depuis le routeur, je dois choisir connexion en mode pont j'imagine.
Là j'ai deux choix :  
Bridged ip LLC
Bridged ip VC-Mux
 
A votre avis je fais quoi ?
 

J'ai avancé sur le sujet, mais je vois le problème arriver :  
 
IP Wan: 10.128.0.200 ,
Ok, super, sauf que c'est une ip privée, vous pensez que je peux monter un vpn avec une un autre boitier, pour lequel je contrôle tout ?
Je le sens moyen ...

tu récupères l'ip que tu avais mentionné un peu plus haut.  
tu dois donc avoir un accès internet au travers de ce lien.  
si c'est le cas, il faut que tu vérifies quelle IP publique est utilisée au final, le second boitier ne pouvant pas atteindre ton IP en 10.128.0 via internet.

Ca on est bien d'accord que je ne peux pas contacter une ip privée.
Ce que je me demande, c'est si je pourrais creer une connexion vers ce boitier, même en ayant l'ip publique, je sens le truc moisi genre l'opérateur a une ip publique unique pour nous, nous a monté un vpn à base d'ip privée.  
Le sens pas ça

On va gagner du temps  : Qui est cet autre opérateur et quelle est l'offre d'accès à internet que vous utilisez ?

Et tu peux contacter une adresse IP Privée en utilisant l'adresse IP publique (encore faut-il la connaitre) puis en faisant de la redirection de port vers le bon équipement qui sait gérer le VPN (cf. mon premier post dans ce thread).

Je pense que c'est géré chez l'opérateur ca. Je serais curieux de connaitre son architecture, tiens...

Ah oui un détail : Le routeur ne doit pas faire Nat.
Ca a un sens pour quelqu'un cette contrainte ?