Comment contourner le NAT avec un VPN IPsec



  • Bonjour,

    Je m'excuse par avance par la demande d'information

    Ci-joint mon réseau de test.

    Je vais donc vous expliquer mon problème de NAT.

    Je suis actuellement en stage dans une entreprise, elle utilise PFsense pour gérer le réseau internet des résidences ( appartements ).
    Mon travail est de faire des VPN IPsec entre les sites ( PFsense a PFsense ) pour pouvoir administré a distance, j'ai donc effectuer des test en local ( local et donc pas de vpn sur internet mais entre deux sous réseau ).

    Mon réel problème est que sur les sitse en question, il y a un Routeur/NAT entre PFsense et internet MAIS on ne peut touché a celui-ci car c'est celui du FAI ( Je ne suis pas en France ).

    Du coup j'ai donc cherché une solution sur internet pour imbriquer un VPN IPsec dans un VPN PPTP pour contourné le nat cependant je n'es pas réussi a trouvé des informations sur comment les configurés et comment cela fonctionne exactement.

    Je pense pouvoir effectuer les test sen local ( même si l'adresse public est la même , je pense que je peut faire cette action pour contourné le NAT qu'il y a entre moi et internet, j'irai?  sur internet pour redemandé a mon routeur la connexion sur l'autre sous réseau ayant PFsense mais cela devrai pouvoir fonctionné, non ?)

    Merci d'avoir pris le temps de lire ma demande.
    J'espère que je suis clair et compréhensible, si vous avez besoin de complément d'informations , n’hésitai pas.

    Cordialement,
    nitro64
    ![Réseau test vpn.jpg](/public/imported_attachments/1/Réseau test vpn.jpg)
    ![Réseau test vpn.jpg_thumb](/public/imported_attachments/1/Réseau test vpn.jpg_thumb)



  • Mon travail est de faire des VPN IPsec entre les sites ( PFsense a PFsense ) pour pouvoir administré a distance

    Si le besoin est l'administration distante, je ne suis pas convaincu que le montage d'un lien IPSec entre les sites soit pertinent. Un vpn SSL (OpenVPN) semble, à première vue plus adapté.

    Mon réel problème est que sur les sitse en question, il y a un Routeur/NAT entre PFsense et internet MAIS on ne peut touché a celui-ci car c'est celui du FAI ( Je ne suis pas en France ).

    Du coup j'ai donc cherché une solution sur internet pour imbriquer un VPN IPsec dans un VPN PPTP pour contourné le nat cependant je n'es pas réussi a trouvé des informations sur comment les configurés et comment cela fonctionne exactement.

    Le lien entre ces deux points n'est pas évident. Je crois bien que vous mélangez pas mal de choses. Essayons d'éclaircir la situation.
    Le vpn SSL fonctionne parfaitement avec des routeurs nat.
    Le vpn IPSec peut fonctionner lui aussi parfaitement avec des routeurs nat (nat traversal).
    Imbriquer un tunnel IPSec dans PPTP est sans intérêt, pour ne pas dire autre chose.

    En conclusion je vois invite à vous pencher sur Open VPN (SSL) et éventuellement à être plus explicite sur vos besoins avant de raisonner sur des solutions tortueuses et probablement vouées à l'échec. Si il y a une raison pour utiliser IPSec je ne la vois pas actuellement.



  • Merci de ta réponse ccnet,
    je vais être plus explicatif pour que tu me comprenne mieux.

    Je vais tout d'abord représenté les choses,
    Les résidences que je doit raccordé en VPN sont au nombre de 3 , il y aura seulement 2 personnes ( 2 adresse mac ) autorisé a utilisé les VPN pour administré a distance les autres résidences sans ce déplacé parce qu'il habite l'une de celle-ci.
    Pour se qui est de l'administration, c'est simplement des règles supplémentaires a mettre sur les PFsense sur des adresses ip ( ajouté sur le PFsense où est l'autre pour l’attribution de l'ip static par rapport a l'adresse mac).
    Actuellement, il y a un Routeur/Nat entre la connexion internet et le PFsense de chaque résidence,
    je suis dans l'obligation ( ordre de mon tuteur de stage ) d'utilisé de l'IPsec pour effectuer le VPN mais on ne peut pas touché a la configuration de ce Routeur/Nat et ont ne sais toujours pas à l'heure actuelle si ce routeur/Nat accepte/supporte le NAT-T.
    C'est donc pour cette raison que je m'informe sur la possibilité d'imbriqué IPsec dans un tunnel PPTP dans l'éventualité que je doit contourné un NAT et que celui-ci est incompatible avec le NAT-T.
    Es qu'il existerai d'autres solutions pour ce genre de problématique ?

    Après cela sera surement effectuer sur les PFsense de chaque résidences du fail over.

    Je pense avoir mieux détaillés se que je souhaite faire.

    Cordialement,
    nitro64



  • Comme l'écrit ccnet, il ne faut pas mettre la charrue avant les boeufs : la description du besoin (voire des contraintes) DOIT précéder la solution technique !
    (Il est des contraintes impossibles à remplir : il est possible que l'"obligation" Ipsec soit à revoir !)

    Besoin :
    Administrer 3 pfSenses (situés derrière un routeur NAT) de 3 résidences.
    L'administration sera réalisé par 2 personnes, dûment identifiés, résidant dans l'une ou l'autre des résidences, et sans se déplacer.

    Sous-besoin :

    • identifier les administrateurs ? adresse MAC, mot de passe, certificats, logiciels spécifiques , … ?
    • accéder à distance à un autre pfSense ? nécessité de passer "à l'envers" le routeur NAT !

    Une solution simple et efficace consiste à utiliser des tunnels OpenVPN.

    • OpenVPN est tout aussi sûr qu'IpSec,
    • OpenVPN se joue des routeurs NAT plus facilement qu'Ipsec,
    • OpenVPN utilise des certificats d'authentification aisément révocables en cas de vol, de perte ou de départ,
    • OpenVPN est plus léger ou simple qu'Ipsec (1 seul port udp contre plusieurs ports ou protocoles),
      Mais OpenVPN, comme Ipsec, demande un transfert de port (flux réseaux) dans le routeur NAT !


  • Bonjour,

    @jdh:

    Besoin :
    Administrer 3 pfSenses (situés derrière un routeur NAT) de 3 résidences.
    L'administration sera réalisé par 2 personnes, dûment identifiés, résidant dans l'une ou l'autre des résidences, et sans se déplacer.

    Sous-besoin :

    • identifier les administrateurs ? adresse MAC, mot de passe, certificats, logiciels spécifiques , … ?
    • accéder à distance à un autre pfSense ? nécessité de passer "à l'envers" le routeur NAT !

    Nous somme d'accord pour les besoins.
    Pour les sous-besoins, les deux administrateurs seront identifier par leurs adresse mac uniquement car les trois sites doivent pouvoir communiqué entre eux ( ping ) mais avec juste deux adresse ip qui ont accès a tout les protocoles ( les DHCP seront configuré pour que les deux adresses MAC est leurs attribution d'adresse IP fixe , cela est déjà effectuer lors de mes tests).

    Le problème sur lequel je me trouve est qu'éventuellement aucune modification puisse être faite sur le routeur par "nous", la seule possibilité serai de leurs demandé de débloqué le port du protocole du VPN correspondant ou d'activé le NAT-T sur le routeur si dans le cas contraire cela nous reste impossible et ma question est là, comment faire le VPN sans pouvoir touché au routeur ?
    Redirection du port du VPN pour le faire passé dans le port TCP 80 par exemple?

    Je vais quand même effectuer des tests avec OpenVPN pour effectivement voir les différences de fonctionnement des deux types de VPN.

    Cordialement,
    nitro64



  • La question n'est pas "nous sommes d'accord", mais est "pourquoi le problème n'est pas exposé de manière simple depuis le premier post" !

    Il est évident qu'il faudra ouvrir un transfert de trafic au niveau des routeurs NAT !
    Sinon comment accéder à distance au pfSense ?

    Et là c'est bien plus facile avec OpenVPN puisqu'il y a juste un trafic (1194/udp) à ouvrir contre pas mal pour Ipsec.
    De plus, la façon naturelle de déployer de l'OpenVPN est d'utiliser des certificats.
    Donc nul besoin de réservation d'adresses MAC (qui est aussi falsifiable qu'une adresse ip !).

    Et tout d'un coup, au hasard d'une petite phrase, on rajoute un besoin : "les 3 sites doivent communiquer entre eux".
    Cela semble totalement inutile et dangereux en terme de sécurité …
    (Toutefois, il est aisé de créer des VPN en "net-to-net" aussi avec OpenVPN sans la lourdeur des protocoles Ipsec).

    Arrêtez de penser technique avant de décrire et peser des besoins ...
    Avez vous commencé par chercher des infos sur Ipsec et OpenVPN ?
    Comprenez vous les limitations d'Ipsec ? Et que la situation souhaitable pour Ipsec est d'être en direct sur Internet (adresse publique) ?



  • ( les DHCP seront configuré pour que les deux adresses MAC est leurs attribution d'adresse IP fixe , cela est déjà effectuer lors de mes tests).

    Rien compris.
    A tout hasard je rappelle que l'adresse Mac est celle du routeur dés lors que l'utilisateur n'est pas sur le même sous reseau. Ce choix est pour l'authentification est totalement inefficace et peu administrable.



  • Bonjour,
    Désolé d'avoir mis tant de temps pour répondre mais après de multiple test et des contacts avec l'entreprise qui gère le routeur NAT, celle-ci nous a donc précisais que le routeur supporte IPSEC en mod NAT mais qu'il ne supporte pas le NAT-T,
    Un NAT qui supporte IPsec est un NAT configurer en IPsec passthrough ?
    Si tel est le cas,
    je peut donc passé le routeur NAT pour faire mon VPN mais comment le configuré?

    Je m'explique, l'adresse public que le PFsense 1 contact est l'adresse du routeur/NAT donc je présume qu'il faut configurer quelques choses sur PFsense 1 et 2 ( pour que sa marche dans les deux sens ) pour que je puisse indiqué comment contacter le WAN du PFsense 2 après avoir interroger le routeur/NAT.
    Et je ne sais pas comment faire cela.
    Quelqu'un pourrai m'aider s'il vous plait?

    Cordialement,
    RIOLS Jeremy



  • Je pense qu'on vous a déjà donné des pistes (qui ont fait leur preuve).

    • l'adresse public que le PFsense 1 contact est l'adresse du routeur/NAT : VRAI
    • il faut configurer quelques choses sur PFsense 1 et 2 : FAUX (donc mauvaise conclusion !)

    Vous ne semblez/voulez pas comprendre qu'il y aura forcément à faire un transfert de trafic sur le routeur puisque les pfSense n'ont pas l'adresse publique sur le port WAN.

    Je ne comprends absolument pas ce que disent les techniciens FAI avec "le routeur supporte IPSEC en mod NAT mais qu'il ne supporte pas le NAT-T".

    Il semble évident que vous ne cherchez pas suffisamment à comprendre comment cela doit fonctionner : un passage chez Christian CALECA est nécessaire …
    Si nous répétons que cela est aisé avec OpenVPN, c'est que nous l'avons réalisé ...

    Perso, c'est mon dernier post sur ce fil.


Log in to reply