accès distant vpn, étude de cas
DESCRIPTION
Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise. Un autre problématique se trouve dans le cas du client distant caché derrière un NAT. Il y a plusieurs solutions à ces problèmes. Dans ce document on va en détailler deux. La première, est une solution hybride, dansTRANSCRIPT
������������������ ���������������
� �
� � � �� �� � � � � �� �� �� � �� �� � �� � � �� � �� ��� � �� � �� � � � � � � �� � ��� �� ��� ������������������
�������������� ��������� ��� � � � ��������� ���������
Accès distant VPN, étude de cas Page 2
�
Accès distant VPN, étude de cas Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise. Un autre problématique se trouve dans le cas du client distant caché derrière un NAT. Il y a plusieurs solutions à ces problèmes. Dans ce document on va en détailler deux. La première, est une solution hybride, dans laquelle nous avons utilisé plusieurs protocoles : PPTP et IPSec. La deuxième est une solution en voie de développement, dans le sens qu’elle est basée sur des draft de l’IETF : NAT-T, ESP/UDP, DHCP-over-IPSec. Des maquettes de test ont étés effectués.
Table des matières Accès distant VPN, étude de cas................................................................................ 2
Table des matières ................................................................................................. 2 Premier cas............................................................................................................ 3 Encaspulation de pptp dans IPSec.......................................................................... 3 Deuxième cas ........................................................................................................ 4 NAT-T, encapsulation UDP, DHCP-over-IPSec .................................................... 4
�������������� ��������� ��� � � � ��������� ���������
Accès distant VPN, étude de cas Page 3
�
Premier cas
Encaspulation de pptp dans IPSec Voici le schéma de la maquette : Détail de la phase de connexion :
1. Création du tunnel IPSec depuis le client distant jusqu'à la passerelle IPSec (qui fait aussi office de firewall). Le tunnel IPSec se base sur une authentification par certificats. Les paquets circulent jusqu'à la passerelle PPTP avec comme adresse source l’IP publique du client distant. Elle n’est donc pas routable à l’intérieur du réseau LAN si la passerelle par défaut n’est pas la passerelle IPSec.
2. Création du tunnel PPTP depuis le client distant jusqu'à la passerelle PPTP. Il
est encapsulé dans des paquets ESP d’IPSec. Une fois le tunnel crée, le protocole ppp est utilisé; ceci nous permet de configurer l’interface réseau virtuelle du client.
3. Le tunnel est maintenant créé et le client a une adresse IP donnée par le
serveur PPTP. Si la classe d’adresses IP utilisée est routée au niveau de la passerelle par défaut, les paquets provenant du client pourront aller et revenir du réseau LAN interne.
4. Des connexions pourront être crées aussi depuis le réseau ver les clients
distants. Un système de DNS a été aussi mis en place.
�������������� �� ����
�����������
�������������
���������
������� �����������
������� ���
���������������
���
!����� ��
�������������� ��������� ��� � � � ��������� ���������
Accès distant VPN, étude de cas Page 4
�
Deuxième cas
NAT-T, encapsulation UDP, DHCP-over-IPSec Voici le schéma de la maquette : Détail de la phase de connexion :
1. Phase d’authentification par certificats et découverte de NAT. Si un NAT est trouvé, une encapsulation des paquets ESP dans des paquets UDP est effectué. Changement des ports IKE de 500 à 4500 (aussi les paquets de l’encapsulation)
2. Création du tunnel IPSec pour le DHCP depuis le client distant jusqu'à la
passerelle IPSec (qui fait aussi office de firewall). Envoi d’un message DHCPDISCOVER et retour d’une réponse DHCP. Configuration du client distant virtuel avec la configuration réseau reçue par DHPC. Une classe IP routée à l’intérieur du LAN est utilisée.
3. Création du tunnel IPSec depuis le client distant jusqu'à la passerelle IPSec.
L’adresse IP reçue est utilisée (adresse IP privée).
4. Le tunnel est maintenant créé et le client a une adresse IP donnée par le serveur DHCP interne à l’entreprise. Le client peut donc créer des connexions vers le réseau LAN interne.
5. Des connexions pourront être crées aussi depuis le réseau ver les clients
distants. Un système de DNS a été aussi mis en place.
�������������� �� ����
�����������
��������
�������
������� �"
������� �����������
������� ���
!����� ��
�� �� ������#�