Question sur la vidéo VPN

Cybertiti · by **Cybertiti** » 17 Dec 2009, 13:50

Salut

Je viens de voir la vidéo qui explique la config du VPN sur un équipement cisco (ios en K9) et j'ai une question:

Je souhaiterai mettre ce routeur derrière une ADSL BOX. Faut il faire une config spéciale sur celle ci ?

Cdt

Flo · by **Flo** » 17 Dec 2009, 15:30

tu ne mets pas ta box en mode routeur, comme ca ton if sur le routeur recupere l'ip publique, et roulez jeunesse.
Ca peut marcher sinon mais ce sera plus chiant.

Alexandre DEPREZ · by **Alexandre DEPREZ** » 17 Dec 2009, 16:05

un mappage NAT static ferait l'affaire.

Pour la livebox, mettre ton routeur dans la "DMZ" marcherai au niveau NAT sans configuration supplémentaire. Pour free, comme Flo dit, pour les autres aucunes idées ^^

Flo · by **Flo** » 17 Dec 2009, 16:11

Ah ouais chez free on a le choix mais pas sur les autres box..

Ben nat static si tu peux pas te mettre en mode transparent.

Cybertiti · by **Cybertiti** » 17 Dec 2009, 22:38

Merci pour vos réponses.

Faut il pour le nat activer un/des port s si oui lesquelles ? port du VPN= ??

Je regarde si j'ai une DMZ mais cette solution me semble limite d'un point de vu sécurité car si j'ai bien compris ca ouvre tous les ports sur la BOX non ?

Cdt

bastien migette · by **bastien migette** » 18 Dec 2009, 13:25

Cybertiti wrote:Merci pour vos réponses.

Faut il pour le nat activer un/des port s si oui lesquelles ? port du VPN= ??

Je regarde si j'ai une DMZ mais cette solution me semble limite d'un point de vu sécurité car si j'ai bien compris ca ouvre tous les ports sur la BOX non ?

Cdt

les routeurs CISCO détectent l'utilisation du NAT lors de ISAKMP Phase 1 et a partir de cela encapsulent le datagramme IPSEC dans de l'UDP, ce qui permets qu'il soit nater (par défaut y'a pas de TCP ou UDP, donc pas de nat, comme pas de bras pas de chocolats), donc pas besoin de config, faut juste dans ta NAT ACL exclure le traffic IPSEC (dans le cas ou le nat se fait sur un routeur en amont), par contre, il faudra baisser la MTU de ton tunnel de la taille de l'entête UDP, soit 8 octets je crois.

Alexandre DEPREZ · by **Alexandre DEPREZ** » 18 Dec 2009, 16:42

y'a un process de discovery sur le chemin pour le NAT Traversal ?

Mmmh... je l'ai pas compris comme ça

bastien migette · by **bastien migette** » 18 Dec 2009, 18:34

En fait, les IOS cisco utilisent des messagent ISAKMP spéciaux pour indiquer qu'ils gèrent le NAT-T, on peux les voir dans un debug crypto isa.
Pour le process en détails je sais plus mais c'est expliqué ici:
http://www.cisco.com/en/US/docs/ios/12_ ... #wp1035673
edit: après un peu de lecture:
IKE Phase 1 détecte le NAT sur le path et le support du NAT-T
IKE Phase 2 gère si on utilise le NAT-T

Alexandre DEPREZ · by **Alexandre DEPREZ** » 18 Dec 2009, 18:39

k nice

Question sur la vidéo VPN

Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Re: Question sur la vidéo VPN

Who is online