IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Architecture Discussion :

Configurer un VPN entre un LAN et un équipement dans le même masque


Sujet :

Architecture

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2017
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2017
    Messages : 5
    Points : 1
    Points
    1
    Par défaut Configurer un VPN entre un LAN et un équipement dans le même masque
    Bonjour,

    Je ne suis pas expert en VPN, c'est pourquoi je pose ma question ici pour savoir si ce que je cherche à faire est faisable ou pas.

    J'ai un sous-réseau sur lequel j'ai un serveur DHCP et DNS que je ne souhaite pas modifier.
    J'aimerais atteindre un équipement de ce sous-réseau à distance (via internet) comme s'il était physiquement sur le réseau.

    Pour ça, je suppose que je dois passer par un VPN.

    Pour faire ça, je pense ajouter un routeur sur mon sous-réseau pour configurer un VPN et un routeur du côté de mon équipement pour faire la translation d'IP.
    Ma contrainte, c'est que mon équipement distant doit être accessible par un équipement du sous-réseau sans modifier la conf réseau de l'un ou de l'autre. Donc, je ne veux pas configurer une route statique ou une adresse de routeur par défaut sur ces équipements. Et mon équipement distant doit être accessible depuis mon sous-réseau comme s'il était physiquement présent, donc avec une adresse dans le masque du sous-réseau.

    Voilà un petit schéma de ce que ça donnerai :

    Nom : schema_1.png
Affichages : 1868
Taille : 21,5 Ko

    Est ce qu'il est possible d'avoir ce genre de configuration moyennant je suppose du NAT de chaque côté ?

    Si oui, quel type de routeur me permettrait de faire ça ?
    Ce genre de routeur de chaque côté ferait l'affaire : Cisco RV215W


    Merci pour votre aide

  2. #2
    Membre actif

    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mai 2017
    Messages
    183
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte réseau

    Informations forums :
    Inscription : Mai 2017
    Messages : 183
    Points : 286
    Points
    286
    Billets dans le blog
    2
    Par défaut
    Il te faut bien un VPN.
    Ton routeur permet de faire du PPTP qui semble parfaitement adapté à ton besoin !
    Tu trouves même des aide pour tout mettre dans le même sous réseau :
    https://supportforums.cisco.com/disc...tp-same-subnet
    En effet, le routeur aura besoin de faire proxy ARP.
    A priori, pas besoin de deux routeurs compatible.

    Sinon, tu peux utiliser du VPN serveur, comme OpenVPN.

    Par contre, si la majorité des VPN sont en IP (donc avec des réseaux différents), si pour de bonnes raisons : plus stable, moins de problèmes lié a la distance, latence, débit ...
    Si tu compte avoir beaucoup de client de connecté, iol faudra sans revoir ta solution technique.

  3. #3
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2017
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2017
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    Merci pour cette réponse.

    Les routeurs vont être achetés pour cette manip donc je me suis dit que c'était aussi bien d'avoir les 2 mêmes.

    Mon client est un équipement industriel et non un PC, donc avec une configuration réseau limitée.
    Potentiellement, j'ai un autre scénario pour mettre plusieurs équipements du côté du routeur client. Est ce que ça pose un problème ? Du coup, il y aura plusieurs IP à rediriger entre les sous-réseaux.

  4. #4
    Membre actif

    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mai 2017
    Messages
    183
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte réseau

    Informations forums :
    Inscription : Mai 2017
    Messages : 183
    Points : 286
    Points
    286
    Billets dans le blog
    2
    Par défaut
    Si ton équipement distant est limité, je pense qu'un tunnel L2TP/IPsec est plus adapté (ton routeur le fait aussi). Dans ce cas, c'est bien les deux routeurs porte le tunnel.
    J'ai trouvé ca au passage :
    https://www.le-vpn.com/fr/l2tp-ipsec/
    http://www.cisco.com/c/dam/en/us/td/...w_admin_en.pdf
    Un tunnel IPSec bien paramétré est assez costaud face au piratage.

    Avec plusieurs équipements sur ton site distant, tu peux avoir des phénomènes bizzare. Les trames vont devoir faire des aller-retour, ty va perdre du temps ... Surtout si les PC doivent communiquer entre eux. Avoir un tunnel de niveau 3 est beaucoup plus propre et le temps perdus ce justifie avec plusieurs machine.

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2017
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2017
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    OK.

    En regardant un peu les différentes conf VPN, j'avais plutôt pensé à l'IPsec par rapport à ce que je veux faire mais aprés coup, j'avais des doutes sur le fait que j'ai le même masque de sous-réseau de chaque côté d'où ce post.

    Quand tu parles de niveau 3, ça veut dire IPsec plutôt que L2TP ?
    (la réponse est peut-être dans le lien sur le-vpn.com mais il est bloqué par le firewall. J'essaierai chez moi ce soir)

    Pour la conf avec plusieurs équipements, les équipements auront des échanges avec un seul PC de mon sous-réseau local normalement. Je ne sais pas si ça simplifie la conf ...

  6. #6
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2017
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2017
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    Dans la doc Cisco sur la partie IPsec, il est justement précisé que les sous-réseau doivent avoir une plage différente :
    Note
    :
    The remote WAN and remote LAN IP addresses cannot exist on the same
    subnet. For example, a remote LAN IP address of 192.168.1.100 and a local LAN
    IP address of 192.168.1.115 would cause co
    nflict when traffic is routed over the
    VPN. The third octet must be different so
    that the IP addresses are on different
    subnets. For example, a remote LAN IP address of 192.168.1.100 and a local
    LAN IP address of 192.168.2.100 is acceptable.
    Faut que je regarde ce qu'est du proxy ARP ...

  7. #7
    Membre actif

    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mai 2017
    Messages
    183
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte réseau

    Informations forums :
    Inscription : Mai 2017
    Messages : 183
    Points : 286
    Points
    286
    Billets dans le blog
    2
    Par défaut
    Niveau 2 : Ethernet (adresse MAC) => donc le même sous-réseau IP.
    Niveau 3 : IP => donc des sous réseaux différents.
    L'IPSEC est un tunnel de niveau 3, il va t'obliger à changer de réseau.
    Mais il peut être une base à un tunnel de niveau 2 L2TP (le 2 est pour ... niveau 2, tu l'as deviné !).

    donc un tunnel L2TP/IPSEC c'est un tunnel de niveau de type L2TP porter par un tunnel de niveau 3 (pour passer avec plus de sécurité les méandres d'internet).

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2017
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2017
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    Bonjour,

    Je n'avais pas eu beaucoup de temps pour m'occuper de ce sujet mais c'est chose faite.
    J'ai bien configuré mon VPN entre 2 sous-réseaux (10.136.1.0 d'un côté et 10.137.1.0 de l'autre).
    Pour le moment, je n'ai pas trouvé le moyen d'avoir le même sous-réseau de chaque côté avec les contraintes que j'avais sur la conf des équipements.

    Moyennant quelques modifs (si je peux les éviter plus tard, ça serait mieux), j'arrive à ouvrir une connexion avec un équipement sur le sous-réseau distant.
    Seulement, cette connexion nécessite une réponse périodique en multicast et les règles de routage du VPN ne laissent pas passer le multicast.

    Est ce qu'on peut passer du multicast au travers d'un VPN ? (je suppose que oui, j'ai vu des histoires de mVPN sans bien comprendre comment le configurer).

    J'ai du coup des gros doutes sur les capacités d'un routeur RV215 de Cisco à passer ce genre de flux. Quel routeur pourrait faire l'affaire pour ce besoin ?

    D'avance merci.

Discussions similaires

  1. Vpn entre deux réseaux locaux de même plage d'adresses
    Par boubajazz dans le forum Réseau
    Réponses: 5
    Dernier message: 09/04/2008, 10h30
  2. vpn entre 2 réseaux : visibilité des postes
    Par bortux dans le forum Réseau
    Réponses: 3
    Dernier message: 23/04/2007, 11h42
  3. Routage entre 2 LAN
    Par fxfranck dans le forum Réseau
    Réponses: 2
    Dernier message: 05/02/2006, 01h01
  4. Configurer des touches entre telnet et vt100 ou xterm
    Par NewB dans le forum Administration système
    Réponses: 4
    Dernier message: 19/05/2005, 19h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo