Surveiller ce forum | Commencer une nouvelle discussion Commencer une nouvelle discussion
RE: VPN à l'intérieur du LAN d'Alcasar [ Répondre ]
Par : Laurent roux on 2017-09-15 00:01
[forum:486936]
Bonsoir Franck,

Merci pour ton aide ! Je vais essayé ça et je ferai un retour sur le forum ....!

:-)


RE: VPN à l'intérieur du LAN d'Alcasar [ Répondre ]
Par : Franck BOUIJOUX on 2017-09-14 08:10
[forum:486932]
Bonjour,

normalement, avec une simple redirection de port de l’interface externe vers le pont VPN à l'intérieur du LAN cela devrait fonctionner. Effectivement, pour être certain qu'avec le 'dead peer detection' puisse tenter de remonter le tunnel au cas où, je mettrai l'équipement interne en exception d'authentification.
sinon, dans le fichier du parefeu local /usr/local/etc/alcasar-iptables-local.sh
-->
# Redirection pour VPN IPSec
m_ports=500,4500
to_ipVPN=192.168.182.5 --> équipement interne écoutant pour le VPN
$IPTABLES -A PREROUTING -i $EXTIF -t nat -p udp -d $PUBLIC_IP --dport 4500 -j DNAT --to $to_ipVPN:4500
$IPTABLES -A PREROUTING -i $EXTIF -t nat -p udp -d $PUBLIC_IP --dport 500 -j DNAT --to $to_ipVPN:500
$IPTABLES -A PREROUTING -i $EXTIF -t nat -p ah -d $PUBLIC_IP -j DNAT --to $to_ipVPN
$IPTABLES -A PREROUTING -i $EXTIF -t nat -p esp -d $PUBLIC_IP -j DNAT --to $to_ipVPN

$IPTABLES -A FORWARD -i $EXTIF -p udp -d $to_ipVPN -m multiport --dports $m_ports -j ACCEPT
$IPTABLES -A FORWARD -o $EXTIF -p udp -s $to_ipVPN -m multiport --sports $m_ports -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -p 50 -d $to_ipVPN -j ACCEPT
$IPTABLES -A FORWARD -o $EXTIF -p 50 -s $to_ipVPN -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -p 51 -d $to_ipVPN -j ACCEPT
$IPTABLES -A FORWARD -o $EXTIF -p 51 -s $to_ipVPN -j ACCEPT

Je ne pense pas qu'il faille rajouter le protocole ah(51) et esp(50) dans les règles mais je les ai mises au cas où ...
Idem pour les règles de retour, je pense qu'elles sont superflues car implicitement mises par le parefeu.


Pour appliquer les nouvelles règles :
alcasar-iptables.sh

Pour les visualiser :
iptables -nvL pour les règles de forward (chaîne forward)
et iptables -nvL -t nat pour les règles de prerouting

Si ça peut aider :-)

RE: VPN à l'intérieur du LAN d'Alcasar [ Répondre ]
Par : Rexy - on 2017-09-10 14:19
[forum:486909]
Bonjour Laurent,

Je crois bien que tu es en effet parti pour faire pas mal de tests.
Comme tu le sais, nous avons pas mal travaillé pour qu'un VPN IPSEC sortant puisse en effet traverser ALCASAR de manière optimale (authentification par @MAC de l'équipement qui "monte" son tunnel IPSEC vers l'extérieur).
Nous n'avons pas encore eu de cas pour un tunnel entrant.

Amuse-toi bien ;-).

VPN à l'intérieur du LAN d'Alcasar [ Répondre ]
Par : Laurent roux on 2017-09-10 00:28
[forum:486903]
Bonjour,

J'ai un utilisateur qui souhaite mettre un VPN (qui servirait d'espace d'échange de fichiers) dans le LAN d'Alcasar mais qui soit accessible depuis l'internet ... il veut partager des fichiers avec personnes extérieures ...
Je suis obliger de réfléchir à sa demande car dans mon utilisation, Alcasar sert aux log utilisateurs et non à la limitation de l'utilisation de l'accès à l'internet ... bref ..;

Je pense bien qu'il faut faire un NAT de port sur la box vers la carte Alcasar LAN (comme de ssh depuis l'internet), décommenter les lignes du fichiers alcasar-iptables-locales.sh et mettre son système en IP fixe mais quelqu'un a-t-il une doc déjà faite ? Parce que sinon je suis parti pour plein de tests avant que celà marche ...

Et bien sûr des conseils de mise en place sont aussi les bienvenus ...!

Merci ...!

FEDER AQUINETIC Aquitaine Powered By FusionForge Collaborative Development Environment Charte d'utilisation / Nous contacter / Mentions légales Haut de page