2 votes

Comment fonctionne réellement le VPN Passthrough ?

Je suis intéressé par le passage du PPTP ici, pas par Ipsec, etc. J'ai cherché sur le net mais je n'arrive pas à trouver comment cela se fait. Je suis moi-même un administrateur informatique et je connais bien le routage, le NAT, etc. Je pense savoir comment cela fonctionne mais je ne l'ai pas trouvé officiellement. Je suis simplement curieux et j'aimerais que quelqu'un confirme ma théorie. Voilà.

Le problème vient tout d'abord du NAT lorsqu'on partage une adresse IP publique. Le NAT fonctionne en utilisant le PAT pour partager l'adresse IP publique avec plusieurs adresses IP privées. Sans ports et PAT, cela ne serait pas possible car lorsque les paquets reviendraient de la destination, ils seraient tous adressés à l'adresse IP publique. Le routeur n'aurait aucun moyen de distinguer les différents paquets les uns des autres. En utilisant les ports source et PAT, il peut le faire.

Le PPTP utilise GRE qui, en soi, est un protocole différent de TCP ou UDP. Il n'utilise pas du tout de ports, ce qui pose un problème pour traverser un dispositif NAT. Lorsque les paquets reviennent d'Internet vers le routeur, comment peut-on savoir à quelle IP privée ils appartiennent sans utiliser le PAT ?

Je pense que cela fonctionne en surveillant le "canal" 1723. En utilisant PPTP Passthrough, le routeur associe la connexion 1723 (qui utilisera PAT/NAT) avec les paquets GRE allant vers la même IP de destination. En d'autres termes, lorsque les paquets GRE reviennent, le routeur ne sait pas où les envoyer, il se tourne donc vers la connexion 1723 pour trouver l'adresse IP privée. Est-ce correct ? Sinon, comment cela fonctionne-t-il ?

Je sais qu'il existe le NAT-T mais je suis amené à croire que c'est différent du VPN passthrough...

3voto

Mucker Points 345

J'ai découvert ça tout seul... PPTP Passthrough

Comme je le soupçonnais, le protocole GRE utilisé pour le tunnel avec PPTP n'utilise pas de ports. Cela signifie qu'il ne peut pas traverser un dispositif NAT en mode natif. Il existe cependant deux versions de GRE : la version native et une version améliorée appelée Enhanced GRE utilisée spécifiquement pour le PPTP. La version améliorée ajoute un identifiant d'appel dans l'en-tête. Chaque client VPN derrière le NAT crée son propre ID d'appel unique qui est ajouté à l'en-tête GRE. Les routeurs qui disposent de la fonction VPN passthrough lisent cette partie de l'en-tête et font correspondre l'ID d'appel à l'adresse IP privée derrière le NAT. Le dispositif NAT doit prendre en charge cette fonction. Le dispositif NAT lit cette partie lorsque le paquet le traverse et inspecte les paquets GRE qui reviennent en recherchant ce paramètre afin de savoir où l'envoyer.

0voto

Dave Points 42

De http://www.shorewall.net/VPN.htm

Un système avec une adresse RFC 1918 doit accéder à un réseau distant via une passerelle distante. Pour cet exemple, nous supposerons que le système local a l'adresse IP 192.168.1.12 et que la passerelle distante a l'adresse IP 192.0.2.224.

Si PPTP est utilisé et que vous devez avoir deux systèmes locaux ou plus connectés au même serveur distant en même temps, vous devez vous assurer que les modules d'aide PPTP sont chargés (ip_conntrack_pptp et ip_nat_pptp ou nf_conntrack_pptp et nf_nat_pptp). En utilisant le fichier de modules par défaut, Shorewall (Lite) tentera de charger ces modules au démarrage de Shorewall (Lite).

Si IPSEC est utilisé, vous devez configurer IPSEC pour utiliser NAT Traversal -- Sous NAT traversal, les paquets IPSEC (protocole 50 ou 51) sont encapsulés dans des paquets UDP (normalement avec le port de destination 4500). De plus, des messages keep-alive sont envoyés fréquemment afin que les passerelles NAT entre les points finaux conservent leurs entrées de suivi de connexion. C'est de cette façon que je me connecte à l'Intranet de HP et cela fonctionne parfaitement sans rien d'autre dans Shorewall que ma politique ACCEPT loc->net. La traversée NAT est disponible sous forme de patch pour Windows 2K et est une fonctionnalité standard de Windows XP -- il suffit de sélectionner "L2TP IPSec VPN" dans la liste déroulante "Type de VPN".

Sinon, si vous avez une passerelle IPSEC derrière votre pare-feu, vous pouvez essayer ce qui suit : un seul système peut se connecter à la passerelle distante et il y a des exigences de configuration du pare-feu comme suit :

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X