VPN avec routeurs Zyxel 650HW |
| |
|
| Liaison VPN entre deux routeurs dont l'un a une adresse IP
fixe et l'autre une adresse dynamique |
| |
| Ce cas ne pose pas de problème, mais il ne premet d'activer la connexion
VPN que depuis un côté. |
| |
| C'est très utile pour accéder à des machines de son entreprise depuis
la maison par exemple. Dans ce cas l'entreprise a une adresse IP fixe mais
le travailleur à distance n'en a pas. Il peut créer un tunnel VPN vers
le serveur de l'entreprise pour y chercher des données ou pour en placer
d'autres. |
| |
| La différence par rapport au cas que nous avons vu précédemment, c'est
que le routeur de l'entreprise n'a pas d'adresse IP dans
Secure Gateway Address |
| |
|
|
| Comme on le voit, il suffit qu'un des routeurs puisse appeler
l'autre pour établir la connexion |
| |
| |
|
| Un autre cas très fréquent chez le commun
des mortels, c'est de devoir relier deux routeurs avec adresse IP dynamique. |
| |
| En effet peu de gens peuvent s'offrir le luxe d'une adresse
IP fixe, mais ce petit problème peut être contourné facilement grâce a
des bienfaiteurs de l'humanité. Il existe en effet un service gratuit de
redirection d'adresse IP. Dyndns.com met à disposition de chacun, sans
frais, la possibilité de faire le relais entre une personne voulant vous
contacter et votre routeur. |
| |
| Vous créez un compte chez Dyndns.com en choisissant un nom
de domaine qui sera constitué de votre identité et de l'adresse du serveur
dyndns. |
| Par exemple : monsieur Glandu fait un compte Dyndns. Ca va
donner ceci : glandu.dyndns.org |
| |
| Si dans Internet Explorer vous tapez l'adresse : http://www.glandu.dyndns.org vous allez arriver au routeur de monsieur Glandu. |
| |
| Ce qui se passe, c'est que votre routeur à chaque changement
de l'adresse IP va envoyer au serveur de dyndns.org votre nouvelle adresse. |
| |
| Celui qui veut vous contacter passe par le routeur de dyndns
qui va lui donner votre adresse IP actuelle et vous rediriger au bon endroit.
Tout ceci se fait de façon transparente sans perte de temps. |
| |
| |
| Le protocole VPN du routeur permet d'utiliser une DNS au
lieu d'une adresse IP, il suffit de définir le type d'identification utilisé
et mette l'adresse à la place de l'adresse IP. |
| Voici un exemple pour notre cher Glandu et son entreprise
vénérée. |
| |
|
|
| |
| Comme vous voyez c'est très simple, la seule chose à faire
c'est de créer une adresse dynamique et de paramétrer le routeur dans le
menu Dynamic DNS de l'interface web du routeur. |
| Un exemple : |
|
| |
| |
|
| Une dernière possibilité pour ceux qui ne disposent pas d'un
routeur à la maison c'est d'utiliser un programme VPN compatible IPSEC |
| |
| Par exemple : SoftRemoteLT de Safenet |
| |
| On peut charger une version d'évaluation de 60 jours chez
http://www.securecomputing.com/ |
| |
| |
| SoftRemote permet de créer une connexion VPN IPSEC en utilisant
une connexion internet par modem analogique, ISDN ou ADSL ou par réseau. |
| |
| Le seul problème c'est que le VPN a besoin d'une bonne bande
passante. Avec une connexion de 56 k c'est très lent, il faut au moins
du 128 k pour pouvoir travailler de façon raisonnable. |
| |
| |
| Après avoir installé SotRemote et redémarré la machine, on
va avoir une icône dans la barre des tâches à droite. |
| En double cliquant sur l'icône on fait apparaître la fenêtre
de configuration de IPSec Dial Client |
| |
|
| |
| On commence par créer une nouvelle connexion dans My
Connections et on lui donne un nom. |
| |
| Dans Connection Security on choisit Secure et on peut mettre
la coche dans Only Connect Manually si on veut, sinon la connexion se fera
automatiquement. |
| |
| Plus bas on retrouve le même type de configuration que dans
le routeur: |
| |
| Dans Remote Party Identity and Addressing: |
| |
| Les 3 premiers champs correspondent à la plage d'adresses
IP du réseau distant |
| |
| Ensuite on utilise le Secure Gateway Tunnel |
| |
| A ce moment on peut choisir de s'identifier par IP ou par
DNS . Si on choisit IP on va simplement mettre l'adresse IP fixe du routeur
à contacter. |
| Si on choisit Domain Name on va prendre à droite Gateway
Hostname et en dessous entrer l'adresse Dynamique. |
| |
| On va ensuite configurer My Identity. On choisit Select
Certificate None et on clique sur le bouton Pre-Shared
Key qui apparaît. |
|
| On introduit la clé partagée qui doit être la même que sur
le routeur. |
| |
| Ensuite on va configurer la Security
Policy : |
| |
|
| On enlève la coche dans Enable Replay Detection |
|
| Pour l' Authentication (Phase1),
on va modifier l'algorithme de Hash, on choisit MD5 pour utiliser le même
que le routeur. |
| |
| Pour la phase 2 on ne change rien: |
|
| |
| Pour la configuration du routeur on va faire quelque chose
de semblable à une connexion entre adresses dynamiques : |
| Sauf qu'on ne met rien pour Remote et Secure Gateway Address |
|
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
