VPN entre 2 réseaux disposant du même plan d'adressage

VPN entre 2 réseaux disposant du même plan d'adressage - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 14-01-2010 à 11:35:14    

Bonjour,
 
Je suis actuellement en Stage et mon projet consiste à créer une offre VPN pour les clients disposant de plusieurs sites.
Chacun de ces sites est connecté à Internet via une livebox, frebox etc, ce qui implique que le plan d'adressage IP sera le même sur chacun des sites.
 
Suite mes recherche je pense déjà utiliser des routeurs Linksys WRT54GL flashé avec le firmware DD-WRT pour utiliser "OpenVPN"
http://www.ldlc.com/fiche/PB00035926.html
 
Le but est de créer un VPN "site à site". Les box seront en "mode Bridge"
 
Niveau sécurité, il est possible avec "OpenVPN" d'utiliser le cryptage par clés publique / clé privé, grâce à OpenSSL intégré
 ( après va se poser la question de la gestion de la bande passante ... ça me parait assez lourd tout ça )
 
Le principal problème est de trouver la solution pour faire communiquer plusieurs réseau possédant le même plan d'adressage en évitant les conflits d' IP. La présence de serveurs nous empêche de modifier les plans d'adressage.)
 
Je pense à la translation d'IP, de ports ... mais ça reste encore très vague pour moi  
 
Si vous avez un tuyau, une piste, je suis preneur
 
merci
 
cordialement
 
 
Thomas

Reply

Marsh Posté le 14-01-2010 à 11:35:14   

Reply

Marsh Posté le 14-01-2010 à 14:28:55    

A froid, je dirai Network Address Translation pour masquer les IP. Mais ça risque de vite devenir un casse-tête.

Reply

Marsh Posté le 14-01-2010 à 14:48:43    

Merci pour ta réponse,  
 
c'est ce que pense aussi
 
Je suis en train de me pencher sur le NAT dynamique / PAT pour attribuer la même adresse publique pour tout les postes locaux sortant, en dirigeant chaque adresse sur un port différent.
Un schéma sera plus clair :)
 
192.168.1.2 ----- | R 1| -- 194.80.169.222 : 2501 -- | R 2 |--- ???
192.168.1.5 ----- |     | -- 194.80.169.222 : 2502 -- |      |---  ???
192.168.1.12 ---- |PAT| -- 194.80.169.222 : 2503 -- | PAT|--- ???
 
Le soucis c'est que j' ai du mal à imaginer comment R2 peut retransformer ces adresse en adresses privées. peut être en attribuant une seule adresse privée commune qui conserverait les port attribués par R1.
 
PS: Les adresses ne sont que des exemples


Message édité par Thomas7169 le 14-01-2010 à 14:50:36
Reply

Marsh Posté le 18-01-2010 à 08:51:22    

Quelqu'un a une idée ? Je suis un peu perdu
 
Autre question, les box sont elles toutes "Bridgeables" ?


Message édité par Thomas7169 le 18-01-2010 à 09:03:54
Reply

Marsh Posté le 19-01-2010 à 09:51:38    

De l'aide aux devoirs pour une personne venant de s'inscrire uniquement pour ça ?


Message édité par LibreArbitre le 19-01-2010 à 09:52:02

---------------
Hebergement d'images | Le topic de la VR standalone
Reply

Marsh Posté le 19-01-2010 à 14:09:56    


 

Citation :

De l'aide aux devoirs pour une personne venant de s'inscrire uniquement pour ça ?


 
Une telle réponse ne donne effectivement pas une belle image de la collectivité dans laquelle je me trouve et de ce fait ne donne pas envie d'y participer...
 
Cependant je reste objectif et je pense (j'espère) que les autres membres seront plus accueillants que toi et je serai donc prêt à m'investir pour ces personnes la.


Message édité par Thomas7169 le 19-01-2010 à 14:10:39
Reply

Marsh Posté le 19-01-2010 à 14:13:34    

Bien dit  :jap:  

Reply

Marsh Posté le 19-01-2010 à 15:36:25    

Les box ne sont pas toutes bridgeables (en particulier celle d'Orange, même en version PRO)  
 
Les serveurs dont tu parles, ils font quoi? En quoi est-il impossible de changer l'adressage? Si cette société n'a qu'une box qui fait DHCP pour l'accès Internet, ont peut imaginer que le réseau derrière est fait "comme a la maison" ; Du coup, changer l'adressage ne devrait vraiment pas poser beaucoup de soucis, et surtout t'en épargner beaucoup par la suite.

Reply

Marsh Posté le 19-01-2010 à 15:46:20    

Qd tu bridges deux réseaux, il est pas question de passerelle et de NAT, les deux sont incompatbles.
 
Un bridge c'est comme si tous tes pc étaient sur le même réseaux, donc si tu nates derrieres, NATER pour aller sur un réseau bridgé???

Reply

Marsh Posté le 19-01-2010 à 15:48:50    

il y a peut être abus de langage, ne voulait il pas dire que la box faisait modem only et son firewall envoyait les paramètres PPPOE?

 

Par ailleurs ça n'a pas de rapport direct avec son soucis je pense :)


Message édité par meulator le 19-01-2010 à 15:49:51
Reply

Marsh Posté le 19-01-2010 à 15:48:50   

Reply

Marsh Posté le 19-01-2010 à 15:49:44    

Oui, il faut bien bridger pour pouvoir utiliser un routeur un peu plus évolué que la box, faire du vpn, etc.

Reply

Marsh Posté le 19-01-2010 à 15:52:53    

Tuxerman12 a écrit :

Oui, il faut bien bridger pour pouvoir utiliser un routeur un peu plus évolué que la box, faire du vpn, etc.


 
 
Y'a une technique crado qui consiste à laisser la box (Orange en l'occurrence) branchée comme d'hab, de mettre une ip en DMZ dans la conf de la livebox et de filer cette ip à la patte Wan de ton firewall/routeur. Cradox, mais ça passe. (Quand le client est radin et veux pas mettre 30€ dans un modem adsl... ou quand le routeur supporte pas l'auth en PPPOA)

Reply

Marsh Posté le 19-01-2010 à 16:20:19    

Citation :

Les serveurs dont tu parles, ils font quoi? En quoi est-il impossible de changer l'adressage?


 
Pour les serveurs je ne sais pas trop, l'entreprise a une trentaine de clients, peut être 10 vont réellement être intéressés.
le but est de créer une offre applicable dans chaque situation.
Pour les serveur, il y a au moins un serveur SSH sur chaque site permettant à mon entreprise d'accueil d'intervenir chez le clients en cas de problème.
pour les autres serveur je ne sais pas.
 
En pratique il est certainement possible de changer l'adressage mais mon supérieur ne veux pas que ça sois modifié.
C'est une contrainte qui m' est imposée, il me faut une autre solution.
 

Citation :

Les box ne sont pas toutes bridgeables (en particulier celle d'Orange, même en version PRO)  


 
Effectivement les livebox ont l'air de poser problème. pour parer à ce problème j'ai trouvé ça:
 
http://tuto.netgear-forum.com/Box_Routeur.htm
 
Je ne sais pas si c'est la solution miracle mais je vais essayer, le principe du port forwarding a l'air intéressante.
sinon pas de soucis pour NeufBox et FreeBox.
 

Citation :

ne voulait il pas dire que la box faisait modem only et son firewall envoyait les paramètres PPPOE?


 
C'est effectivement ce que je voulais dire, je vais configurer les box en mode Bridge pour ne conserver que leur fonction "modem" et derrière ces box j'installerai mes routeurs VPN. Je ferai du NAT de routeur VPN à Routeur VPN
 
 

Citation :

Y'a une technique crado qui consiste à laisser la box (Orange en l'occurrence) branchée comme d'hab, de mettre une ip en DMZ dans la conf de la livebox et de filer cette ip à la patte Wan de ton firewall/routeur. Cradox, mais ça passe. (Quand le client est radin et veux pas mettre 30€ dans un modem adsl... ou quand le routeur supporte pas l'auth en PPPOA)


 
Ça peut effectivement être la solution pour les Box non bridgeable, merci  :)  
 
En parlant de solution crado, un ami me dit que mon idée de router les 2 réseau grâce au NAT/PAT est une solution crado, qu'en pensez vous ? ça reste une solution fiable ou c'est limite ?  
 
Merci pour toutes vos réponses  :)

Reply

Marsh Posté le 19-01-2010 à 18:53:48    

Je peux comprendre que tu ne puisses pas changer l'adressage de tes clients, mais ce que tu vas faire c'est peut etre encore pire...
 
Imagine lors de l'accès a tes serveurs ou de saturation réseaux, ressources, tu sauras même pas d'où vient le probleme étant donné que tes postes clients seront natés... tu pourras même pas non plus testé des ping vers des pc distants, tu pourras pinger que tes box... vaut franchement mieux refaire l'adressage local des réseaux en conflits. Enfin ce n'est que mon avis?

Reply

Marsh Posté le 19-01-2010 à 21:52:39    

tu as pas 12000 solutions, comme dit ci-dessus ou tu change tes adresses sur les differents sites pour eviter le nat ou tu fais du nat mais il n'y pas de remede pour faire cohabiter 2 IP identiques.
 
a priori tu es sur de petites infrastructures, donc le nat ne va pas trop gener encore que certains services supportent mal d'etre nate.
 
jusque la je parle de NAT classique (IP masquerading), comme on l'utilise la majorite du temps cad une IP publique pour n IP prive (ce que font les box adsl).
 
il existe une autre solution avec du NAT, qui fait ce que tu cherche a faire: le NAT statique.
dans ce cas 1 IP local = 1 IP vpn, n IP local = n IP vpn
 
un exemple:
site A
-en local plage 192.168.0.0/24 -> sur le vpn 192.169.0.0/24  
site B
-en local plage 192.168.0.0/24 -> sur le vpn 192.169.1.0/24
site C
-en local plage 192.168.1.0/24 -> sur le vpn 192.169.2.0/24
 
on peut aussi faire quelquechose comme ca:
une IP d'un site 192.168.0.4 -> vpn 192.169.0.21
une IP d'un autre site 192.168.0.4-> vpn 192.169.0.56
 
mais c'est une grosse galere ca, bien que ca reponde a ton probleme.
 
je te deconseille de prendre des routeurs flashes par tes soins, tu vas gerer toi-meme les maj et tu vas suivre les rapport de bugs et les failles de securite?
c'est faisable neanmoins. mais ces routeurs sont limites en puissance donc attention au nombre de tunnels maintenant si c'est pour relier 2 sites pas problemes.
dans cette optique il est possible de faire une appliance et ta boite gererai les maj etc a distance.
il y a aussi des vrais routeurs vpn tout prets, mais c'est plus cher qu'un wrt. autre solution le recyclage de serveur.
 
niveau logiciel voila ce que j'utilise:
-ipsec pour des connexions site a site cad sans nat entre les 2 bouts du tunnel (mais tu peux nate avant ou apres le tunnel pas de soucis)
-openvpn pour les terminaux mobile (pour les commerciaux par exemple)  
-tinc (je teste encore et ce n'est pas ma priorite) vpn ssl maille, c'est interessant...
 
autre point la bande passante, fait-y bien gaffe car l'adsl c'est pas top en upload donc suivant ce qui doit passer a travers ca risque de tres tres mal marcher, surtout avec un noeud central.
 
pour conclure je dirai qu'il n'y a pas de solution passe partout et pas cher, rien que le probleme du bridge avec la livebox est genant.
 
et ca:
http://tuto.netgear-forum.com/Box_Routeur.htm
c'est acceptable chez un particulier mais franchement c'est vraiment "cradox" comme Meulator te l'as fait remarque.
et faire ca pour eviter d'acheter un modem potable, je fais dans les solutions economique mais quand meme la...
 
 :hello:  
 
PS: tu es stage,ok, mais tu debarque de quel cursus ?

Reply

Marsh Posté le 20-01-2010 à 07:59:29    

Citation :

aire ca pour eviter d'acheter un modem potable


 
Je conserve les Box pour permettre aux clients de conserver leur garantie de service auprès des FAI en cas de probleme.
 
 

Citation :

tu es stage,ok, mais tu debarque de quel cursus ?


 
Je suis en seconde année de BTS Informatique de gestion option administrateur réseau
 
J' ai plutôt l' habitude de configurer des serveur locaux, parfeu ... etc mais le VPN c'est vraiment nouveau pour moi, je découvre.
 
Je vais réfléchir a tout ca
 
merci pour les tuyaux  :)


Message édité par Thomas7169 le 20-01-2010 à 09:00:00
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed