Accès distant VPN, étude de cas

Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire
apparaître les clients distants comme faisant partie du propre réseau local. Cela peut
être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise. Un autre
problématique se trouve dans le cas du client distant caché derrière un NAT. Il y a
plusieurs solutions à ces problèmes. Dans ce document on va en détailler deux. La
première, est une solution hybride, dans laquelle nous avons utilisé plusieurs
protocoles : PPTP et IPSec. La deuxième est une solution en voie de développement,
dans le sens qu’elle est basée sur des draft de l’IETF : NAT-T, ESP/UDP, DHCP-
over-IPSec. Des maquettes de test ont étés effectués.

Table des matières

Accès distant VPN, étude de cas................................................................................ 2
Table des matières ................................................................................................. 2
Premier cas............................................................................................................ 3
Encaspulation de pptp dans IPSec.......................................................................... 3
Deuxième cas ........................................................................................................ 4
NAT-T, encapsulation UDP, DHCP-over-IPSec .................................................... 4

Accès distant VPN, étude de cas Page 2

Premier cas
Encaspulation de pptp dans IPSec

Voici le schéma de la maquette :

Détail de la phase de connexion :

1. Création du tunnel IPSec depuis le client distant jusqu'à la passerelle IPSec

(qui fait aussi office de firewall). Le tunnel IPSec se base sur une
authentification par certificats. Les paquets circulent jusqu'à la passerelle
PPTP avec comme adresse source l’IP publique du client distant. Elle n’est
donc pas routable à l’intérieur du réseau LAN si la passerelle par défaut n’est
pas la passerelle IPSec.

2. Création du tunnel PPTP depuis le client distant jusqu'à la passerelle PPTP. Il

est encapsulé dans des paquets ESP d’IPSec. Une fois le tunnel crée, le
protocole ppp est utilisé; ceci nous permet de configurer l’interface réseau
virtuelle du client.

3. Le tunnel est maintenant créé et le client a une adresse IP donnée par le

serveur PPTP. Si la classe d’adresses IP utilisée est routée au niveau de la
passerelle par défaut, les paquets provenant du client pourront aller et revenir
du réseau LAN interne.

4. Des connexions pourront être crées aussi depuis le réseau ver les clients
distants. Un système de DNS a été aussi mis en place.

Accès distant VPN, étude de cas Page 3

Deuxième cas
NAT-T, encapsulation UDP, DHCP-over-IPSec

Voici le schéma de la maquette :

"

Détail de la phase de connexion :

1. Phase d’authentification par certificats et découverte de NAT. Si un NAT est

trouvé, une encapsulation des paquets ESP dans des paquets UDP est effectué.
Changement des ports IKE de 500 à 4500 (aussi les paquets de
l’encapsulation)

2. Création du tunnel IPSec pour le DHCP depuis le client distant jusqu'à la

passerelle IPSec (qui fait aussi office de firewall). Envoi d’un message
DHCPDISCOVER et retour d’une réponse DHCP. Configuration du client
distant virtuel avec la configuration réseau reçue par DHPC. Une classe IP
routée à l’intérieur du LAN est utilisée.

3. Création du tunnel IPSec depuis le client distant jusqu'à la passerelle IPSec.

L’adresse IP reçue est utilisée (adresse IP privée).

4. Le tunnel est maintenant créé et le client a une adresse IP donnée par le

serveur DHCP interne à l’entreprise. Le client peut donc créer des connexions
vers le réseau LAN interne.

5. Des connexions pourront être crées aussi depuis le réseau ver les clients
distants. Un système de DNS a été aussi mis en place.

Accès distant VPN, étude de cas Page 4