Scribd Logo
Importer

Bienvenue sur Scribd !

  • 12 vues

    Acces Distant VPN Etude de Cas

    Transféré par

    reno51

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié

    Vous aimerez peut-être aussi

    Acces Distant VPN Etude de Cas

    Transféré par

    reno51
    12 vues4 pages

    Titre original

    34111897 Acces Distant VPN Etude de Cas

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    12 vues4 pages

    Acces Distant VPN Etude de Cas

    Transféré par

    reno51

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    /cc: ci:IcnI VFN,

    Iuce ce cc:























    Eco|e d'|rgr|eurs du Carlor de vaud
    lrsl|lul de T|corrur|cal|ors

    Auleur: 6hr|st|an Tettamant|
    lnsr|rur oe re|ecommun|car|ons 0nr|sr|an Terramanr|




    Accs distant VPN, tude de cas Page 2

    Accs distant VPN, tude de cas
    Dans tous les scnarios d'accs distants, on aimerait avoir un mcanisme pour faire
    apparatre les clients distants comme faisant partie du propre rseau local. Cela peut
    tre effectu en assignant une adresse virtuelle depuis le LAN de l'entreprise. Un autre
    problmatique se trouve dans le cas du client distant cach derrire un NAT. Il y a
    plusieurs solutions ces problmes. Dans ce document on va en dtailler deux. La
    premire, est une solution hybride, dans laquelle nous avons utilis plusieurs
    protocoles : PPTP et IPSec. La deuxime est une solution en voie de dveloppement,
    dans le sens quelle est base sur des draft de lIETF : NAT-T, ESP/UDP, DHCP-
    over-IPSec. Des maquettes de test ont ts effectus.
    Table des matires
    Accs distant VPN, tude de cas................................................................................ 2
    Table des matires................................................................................................. 2
    Premier cas............................................................................................................ 3
    Encaspulation de pptp dans IPSec.......................................................................... 3
    Deuxime cas ........................................................................................................ 4
    NAT-T, encapsulation UDP, DHCP-over-IPSec.................................................... 4





    lnsr|rur oe re|ecommun|car|ons 0nr|sr|an Terramanr|




    Accs distant VPN, tude de cas Page 3

    Premier cas
    Encaspulation de pptp dans IPSec

    Voici le schma de la maquette :





















    Dtail de la phase de connexion :

    1. Cration du tunnel IPSec depuis le client distant jusqu' la passerelle IPSec
    (qui fait aussi office de firewall). Le tunnel IPSec se base sur une
    authentification par certificats. Les paquets circulent jusqu' la passerelle
    PPTP avec comme adresse source lIP publique du client distant. Elle nest
    donc pas routable lintrieur du rseau LAN si la passerelle par dfaut nest
    pas la passerelle IPSec.

    2. Cration du tunnel PPTP depuis le client distant jusqu' la passerelle PPTP. Il
    est encapsul dans des paquets ESP dIPSec. Une fois le tunnel cre, le
    protocole ppp est utilis; ceci nous permet de configurer linterface rseau
    virtuelle du client.

    3. Le tunnel est maintenant cr et le client a une adresse IP donne par le
    serveur PPTP. Si la classe dadresses IP utilise est route au niveau de la
    passerelle par dfaut, les paquets provenant du client pourront aller et revenir
    du rseau LAN interne.

    4. Des connexions pourront tre cres aussi depuis le rseau ver les clients
    distants. Un systme de DNS a t aussi mis en place.
    hosf v1s1b1e
    exf1euemenf

    C11enf lP5ec
    C11enf PP1P
    GW
    lP5ec
    +
    IW
    hosf
    v1fue1
    d1sfanf
    hosf
    v1fue1
    GW
    PP1P
    +
    IW
    +
    DN5
    LAN lnfene
    lnsr|rur oe re|ecommun|car|ons 0nr|sr|an Terramanr|




    Accs distant VPN, tude de cas Page 4

    Deuxime cas
    NAT-T, encapsulation UDP, DHCP-over-IPSec

    Voici le schma de la maquette :




















    Dtail de la phase de connexion :

    1. Phase dauthentification par certificats et dcouverte de NAT. Si un NAT est
    trouv, une encapsulation des paquets ESP dans des paquets UDP est effectu.
    Changement des ports IKE de 500 4500 (aussi les paquets de
    lencapsulation)

    2. Cration du tunnel IPSec pour le DHCP depuis le client distant jusqu' la
    passerelle IPSec (qui fait aussi office de firewall). Envoi dun message
    DHCPDISCOVER et retour dune rponse DHCP. Configuration du client
    distant virtuel avec la configuration rseau reue par DHPC. Une classe IP
    route lintrieur du LAN est utilise.

    3. Cration du tunnel IPSec depuis le client distant jusqu' la passerelle IPSec.
    Ladresse IP reue est utilise (adresse IP prive).

    4. Le tunnel est maintenant cr et le client a une adresse IP donne par le
    serveur DHCP interne lentreprise. Le client peut donc crer des connexions
    vers le rseau LAN interne.

    5. Des connexions pourront tre cres aussi depuis le rseau ver les clients
    distants. Un systme de DNS a t aussi mis en place.
    hosf v1s1b1e
    exf1euemenf

    C11enf lP5ec
    GW
    lP5ec
    +
    IW


    +
    DhCP
    e1ay
    hosf
    v1fue1
    d1sfanf
    hosf
    v1fue1
    LAN lnfene

    5eveu
    DhCPv4

    Vous aimerez peut-être aussi