Discussion :

[MarcS]

Bonjour,
Je me pose la question suivante :
J'ai trois sites A, B et C.
J'ai un Vpn en Ipsec entre A et B un autre vpn en Ipsec entre A et C.
Y a t'il un routage possible pour atteindre B à partir du site C, ou doit on créer un troisième VPN ?

Mes sites ont tous des routeurs capable de gérer les VPN, ils ont aussi tous une ip fixe.
Merci de votre aide.
MS

[Invité]

Oui, bien sûr que c'est possible. C'est un des intérêts d'une topologie appelée "hub-and-spoke". Ca évite d'avoir à "tirer" des liens télécoms entre les sites distants.

En revanche, dans certains cas, ce genre de déploiement n'est pas trivial, ça dépend en effet du "design" IP global et des équipements de routage utilisés.

Steph

[MarcS]

Bonjour,
Si j'ai bien compris je dois monter mon réseau de la manière suivante:

Central :

Routeur Cisco rv082
Réseau 192.168.200.1..192.168.200.254
le routeur est en 192.168.200.254
Pour les deux vpn j'ai
local security group 192.168.0.0 masque 255.255.0.0

Magasin1:

Routeur netopia 3346
Réseau 192.168.3.1..192.168.3.254
le routeur est en 192.168.3.254
remotel security group 192.168.0.0 masque 255.255.0.0

Magasin2:

testé avec Routeur netopia 3346 et cisco rv082
Réseau 192.168.254.1..192.168.254.254
le routeur est en 192.168.254.254
remote security group 192.168.0.0 masque 255.255.0.0


J'ai deux VPN :
entre Central et Magasin1 et Central et magasin2.
Ils montent bien :
Depuis le central j'ai accès aux deux magasins.
Depuis magasin 1 j'ai bien accès au central mais pas au magasin 2.
Depuis magasin 2 j'ai bien accès au central mais pas au magasin 1.


Je ne comprends pas comment depuis Magasin 2 il trouve la route vers 192.168.200.254 et pas vers 192.168.3.254
Merci d'avance
MarcS

[Invité]

Il faudrait les tables de routage du Cisco central et des Netopia.

En revanche, je n'ai jamais touché aux routeurs Netopia, j'aurai du mal à te guider dans leur configuration...

Steph

[MarcS]

Bonsoir,
J'ai attaché les tables en pièces jointes.
Merci encore de ton aide.
MS

[Invité]

J'ai regardé d'un peu plus près la doc du RV082... Je pense que cet équipement est trop limité pour faire parler des "spokes" entre eux...

La limitation se situe au niveau des "Security Group". J'ai l'impression que le RV082 ne peut encrypter que des flux IP partant/provenant de 192.168.200.0/24 (un LAN directement connecté donc). Je doute que le "moteur crypto" embarqué soit capable de faire du routage inter-VPN.

J'ai simulé la même topologie sous GNS3 avec des routeurs Cisco et ça marche bien parce que je peux utiliser des access-lists permettant de définir le traffic éligible avec beaucoup de flexibilité. En gros, je peux configurer le routeur "hub" en demandant explicitement d'encrypter le traffic entre 192.168.254.0/24 et 192.168.3.0/24, cf

http://www.developpez.net/forums/d12...age-inter-vpn/

Qu'est-ce que tu as configuré en terme de Local Security Group pour les 2 VPN sur le RV082 ?

Steph

[MarcS]

Bonjour,
Dans tous les cas j'ai
Remote security group type : subnet.
Merci.
MS

[Invité]

Mais le subnet en question est un subnet directement attaché au RV082 ?

Et je suppose qu'il n'y a pas possibilité d'ajouter d'autres subnets ?

Si c'est le cas, il faudra créer un VPN supplémentaire dédié au traffic entre les tes magasins.

Steph

[MarcS]

Si je comprends il me faut des vpn entre chaque sites ?
3 pour 2 sites 6 pour 4 ... ?
Merci
MS

[Invité]

Si je comprends il me faut des vpn entre chaque sites ?

Effectivement...

3 pour 2 sites 6 pour 4 ... ?

Oui...
2 sites distants, 3 VPN en tout.
3 sites distants, 6 VPN en tout.
Et de façon générale, pour n sites distants

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 2
C   = n(n+1)/2 VPN à gérer
 n+1

Steph

[MarcS]

C'est bien ce que je craignais.
Merci encore de ton aide.
MS