Lire en anglais

Partager via

Les Réseaux Privés Virtuels (VPN)

  • Article
  • 18/01/2008
Sur cette page

Adressage et routage pour les VPN Adressage et routage pour les VPN
Connexions VPN accès distant Connexions VPN accès distant
Les connexions VPN routeur à routeur Les connexions VPN routeur à routeur

Adressage et routage pour les VPN

Pour comprendre comment fonctionnent les VPN, vous devez comprendre comment l'adressage et le routage sont affectés par la création de VPN accès distant et de VPN routeur à routeur. Une connexion VPN crée une interface virtuelle qui doit avoir une adresse IP propre et des routes doivent être changées ou ajoutées pour assurer que le bon trafic est envoyé dans la connexion VPN sécurisée au lieu de l'inter-réseau partagé ou privé.

Connexions VPN accès distant

Pour les connexions VPN accès distant, un ordinateur crée une connexion d'accès distant vers un serveur VPN. Lors du processus de connexion, le serveur VPN alloue une adresse IP pour le client VPN accès distant et change la route par défaut sur le client distant de façon à ce que le trafic de la route par défaut soit envoyé sur l'interface virtuelle.

Les adresses IP et le client VPN en accès réseau à distance

Pour les clients VPN en accès réseau à distance qui se connectent à l'Internet avant de créer une connexion VPN avec un serveur VPN sur l'Internet, deux adresses IP sont allouées :

  • Lors de la création de la connexion PPP, la négociation IPCP avec le NAS de l'ISP alloue une adresse IP publique.

  • Lors de la création de la connexion VPN, la négociation IPCP avec le serveur VPN alloue un adresse IP intranet. L'adresse IP allouée par le serveur VPN peut être une adresse IP publique ou une adresse IP privée, suivant que votre organisation implémente de l'adressage public ou privé sur son intranet.

Dans chacun des cas, l'adresse IP allouée au client VPN doit être atteignable par des hôtes sur l'intranet et vice versa. Le serveur VPN doit avoir les entrées appropriées dans sa table de routages pour atteindre tous les hôtes sur l'intranet et les routeurs de l'intranet doivent avoir les entrées appropriées dans leurs tables de routage pour atteindre les clients VPN.

Les données mises en tunnel envoyées par le biais du VPN sont adressées de l'adresse du client VPN, allouée par le serveur, vers une adresse intranet. L'en-tête IP extérieure est adressée entre l'adresse IP allouée par l'ISP du client VPN et l'adresse publique du serveur VPN. Parce que les routeurs sur l'Internet ne traitent que l'en-tête IP extérieure, les routeurs Internet transfèrent les données mises en tunnel vers l'adresse IP publique du serveur VPN.

Un exemple d'adressage de client accès réseau à distance est montré figure 10 où l'organisation utilise des adresses privées sur l'intranet et les données mises en tunnel sont des datagrammes IP.

Adresses publiques et privées dans des données mises en tunnel PPTP

Figure 10 : adresses publiques et privées dans des données mises en tunnel PPTP.

Les routes par défaut et les clients d'accès réseau à distance

Lorsqu'un client accès réseau à distance typique appelle l'ISP, il reçoit une adresse IP publique du NAS de l'ISP. Une adresse de passerelle par défaut n'est pas allouée dans le cadre du processus de négociation IPCP. C'est pourquoi, pour pouvoir atteindre toutes les adresse Internet, le client accès réseau à distance ajoute une route par défaut à sa table de routage utilisant l'interface de connexion à distance connectée à l'ISP. Le résultat est que le client peut transférer les datagrammes IP vers le NAS de l'ISP d'où ils sont routés vers leurs locations Internet.

Pour les clients d'accès réseau à distance sans autres interfaces TCP/IP, c'est le comportement souhaité. Cependant, ce comportement peut provoquer une confusion pour les clients d'accès réseau à distance qui ont une connexion LAN existante vers un intranet. Dans ce scénario, une route par défaut existe déjà pointant vers le routeur de l'intranet local. Lorsque le client d'accès réseau à distance crée une connexion vers son ISP, la route par défaut originale reste dans la table de routage mais est changée pour avoir une metrique supérieure. Une nouvelle route par défaut est ajoutée avec une metrique inférieure utilisant la connexion de l'ISP.

En conséquence, les locations de l'intranet qui ne sont pas sur le réseau directement attaché au client d'accès réseau à distance ne sont pas atteignables pendant la durée de la connexion à l'ISP. Si la nouvelle route par défaut n'est pas créée, toutes les locations intranet sont atteignables, mais pas les locations Internet.

Un client d'accès réseau à distance sous Windows NT 4.0 crée par défaut la route par défaut. Pour empêcher que la route par défaut soit créée, décochez la case " utiliser la passerelle par défaut sur le réseau distant " dans la boite de dialogue " paramètres PPP TCP/IP " de l'onglet Serveur.

Pour réussir la connectivité vers l'intranet et l'Internet alors que la connexion avec l'ISP est active, laissez l'option " utiliser la passerelle par défaut sur le réseau distant " sélectionnée et ajoutez les routes de l'intranet à la table de routage du client d'accès réseau à distance. Les routes intranet peuvent être ajoutées par le biais de routes permanentes statiques. Lorsque la connexion à l'ISP est active, toutes les locations intranet sont atteignables en utilisant les routes intranet et toutes les locations Internet sont atteignables en utilisant la route par défaut.

Les routes par défaut et les VPN transitant par l'Internet.

Lorsque le client d'accès réseau à distance appelle l'ISP, il ajoute une route par défaut utilisant la connexion à l'ISP comme montré figure 11. A ce point, il peut atteindre toutes les adresses Internet par le biais du routeur au NAS de l'ISP.

Route par défaut créée lors de l'appel à l'ISP

Figure 11 Route par défaut créée lors de l'appel à l'ISP.

Une fois que le client VPN a créé la connexion VPN, une autre route par défaut et une route hôte vers l'adresse IP du serveur de tunnel sont ajoutées, comme montré figure 12. La route par défaut précédente est sauvegardée mais a maintenant une metrique supérieure. L'ajout de la nouvelle route par défaut signifie que toutes les locations Internet sauf l'adresse IP du serveur de tunnel ne sont pas atteignable pour la durée de la connexion VPN.

Route par défaut créée lors de l'initialisation de VPN

Figure 12 Route par défaut créée lors de l'initialisation de VPN

Comme dans le cas d'un client d'accès réseau à distance se connectant à l'Internet, lorsqu'un client VPN d'accès réseau à distance utilisant le tunneling crée une connexion VPN vers un intranet privé en passant par l'Internet, une des choses suivantes arrive :

  • Les locations Internet sont atteignables et les locations intranet ne sont pas atteignables lorsque la connexion VPN n'est pas active.

  • Les locations intranet sont atteignables et les locations Internet ne sont pas atteignables lorsque la connexion VPN est active.

Pour la plupart des clients VPN connectés à l'Internet, ce comportement ne pose pas de problème car il sont soit sur une communication avec l'intranet, soit avec l'Internet, pas les deux.

Pour les clients VPN qui veulent un accès concomitant à des ressources intranet et Internet lorsque le VPN est connecté, la solution dépend de la nature de l'adressage IP dans l'intranet. Dans tous les cas, configurez l'objet de connexion VPN de telle façon qu'il n'ajoute pas une passerelle par défaut. Lorsque la connexion VPN est créée, la route par défaut reste pointée vers le NAS de l'ISP, permettant l'accès à toutes les adresses Internet.

Suivant le type de ressources intranet que vous utilisez, activez l'accès concomitant aux ressources Internet et intranet comme suit :

Adresse Publique
Ajoutez des routes permanentes statiques pour les ID de réseau public de l'intranet en utilisant l'adresse IP de l'interface virtuelle du serveur VPN comme adresse de passerelle par défaut.

Adresses privées
Ajoutez des routes permanentes statiques pour les ID de réseau privé de l'intranet en utilisant l'adresse IP de l'interface virtuelle du serveur VPN comme adresse de passerelle par défaut.

Adresses illégales ou se chevauchant
Si l'intranet utilise des adresses illégales ou se chevauchant (Les ID de réseau IP qui ne sont pas privées et qui n'on pas été enregistrées par InterNIC ou obtenues d'un ISP), ces adresses peuvent être dupliquées par des adresses publiques sur l'Internet. Si des routes permanentes statiques sont ajoutées sur le client VPN pour les ID réseau chevauchantes de l'intranet, les locations sur l'Internet pour les adresses chevauchantes ne sont pas atteignables.

Dans chacun de ces cas, des routes permanentes statiques pour les ID réseau de l'intranet ont besoin d'être ajoutées au client VPN. Une fois que les routes permanentes statiques sont ajoutées, elles sont sauvegardées dans le registre. Avec Microsoft Windows NT 4.0 Service Pack 3 et ultérieur et avec Windows NT 4.0, les routes permanentes ne sont en fait pas ajoutées à la table de routage IP (et ne sont pas visibles avec la commande "route print" de la ligne de commande de Windows NT 4.0) jusqu'à ce l'adresse IP de la passerelle soit atteignable. L'adresse IP de la passerelle devient atteignable lorsque la connexion VPN est faite.

Pour chaque route, tapez la syntaxe suivante à la ligne de commande de Windows NT 4.0:

ROUTE ADD <Intranet Network ID> MASK<Netmask> <IP adress of VPN server's virtualinterface> -p

L'adresse IP de la passerelle dans les commandes de route pour chaque route intranet est l'adresse IP assignée à l'interface virtuelle du serveur VPN, pas l'adresse IP de l'interface Internet du serveur VPN.

Vous pouvez déterminer l'adresse IP de l'interface virtuelle de serveur VPN à partir de la commande ipconfig à la ligne de commande de Windows NT 4.0. Si vous utilisez DHCP pour obtenir des adresses IP pour la mise en réseau à distance et les clients VPN, l'adresse IP de l'interface virtuelle du serveur VPN est la première adresse IP obtenue lors de la requête des adresses DHCP. Si vous avez configuré une série d'adresses IP statiques, l'adresse IP de l'interface virtuelle du serveur VPN est la première adresse IP dans la série d'adresses IP statiques. Vous pouvez aussi déterminer l'adresse IP de l'interface virtuelle du serveur VPN en observant les détails d'une connexion VPN active du client VPN.

Attention : Pour tous ces cas, vous devez ajouter les routes très prudemment pour vous assurer que le trafic privé vers l'intranet est transféré en utilisant la connexion VPN et pas la connexion PPP vers l'ISP. Si les mauvaises routes sont ajoutées, le trafic que vous vouliez transférer dans le VPN sous une forme cryptée est à la place envoyé sans cryptage sur l'Internet. Par exemple, si votre intranet utilise l'ID de réseau public 207.46.130.0/24 (masque de sous réseau 255.255.255.0) et que vous ajoutez par erreur une route permanente statique pour 207.46.130.0/24, tout le trafic vers le réseau intranet 207.46.130.0/24 est transféré sur l'Internet en clair, au lieu d'être crypté et envoyé dans la connexion VPN.

Les connexions VPN routeur à routeur

Pour les VPN routeur à routeur utilisant RRAS, l'interface de routage utilisée pour transférer les paquets est une interface de connexion à la demande configurée comme suit :

  • sur l'onglet "Général", tapez le nom de l'hôte ou l'adresse IP du serveur VPN ;

  • sur l'onglet "Protocole", sélectionnez le protocole à router ;

  • sur l'onglet "Sécurité", sélectionnez "accepter seulement Microsoft Encrypted authentication" et "Require data encryption" ;

  • pour les pièces d'identités pour l'interface de connexion à la demande, tapez le nom d'utilisateur, le mot de passe et le nom de domaine utilisé pour vérifier le client VPN.

La création des interfaces de connexion à la demande est automatisée avec l'assistant Interface de connexion à la demande (Demand Dial Interface Wizard).

Les noms des interfaces de connexion à la demande et les pièces d'identité du routeur appelant doivent correspondre pour assurer une connexion VPN routeur à routeur.

VPN routeur à routeur temporaires ou permanents

Les connexions VPN routeur à routeur peuvent être temporaires ou permanentes.

Les connexions VPN routeur à routeur temporaires sont démarrées lorsqu'il y a des paquets à router par le biais de l'interface de connexion à la demande VPN et terminées après une période d'inactivité déterminée. La période d'inactivité est configurée sur le client VPN (le routeur appelant). La période d'inactivité par défaut pour les interfaces de connexion à la demande sur le client VPN est illimitée. Utilisez des connexions VPN routeur à routeur temporaires pour des succursales qui utilisent la connexion à distance avec leur ISP.

Les connexions VPN routeur à routeur permanentes sont démarrées lorsque le routeur est démarré et restent connectées quel que soit le trafic envoyé. Si la connexion VPN est terminée, une nouvelle tentative sera immédiatement faite. Utilisez la connexion VPN routeur à routeur permanente pour connecter des succursales qui ont des connexions permanentes à l'Internet. La période d'inactivité avant déconnexion est configuré sur l'onglet "dialing" des propriétés de la connexion à la demande.

Les VPN utilisant des connexions à distance des ISP

Lorsque le serveur VPN et le client VPN sont directement connectés à l'Internet en utilisant une liaison WAN permanente tel qu'un T1 ou Frame Relay, la connexion VPN peut être permanente et disponible 24h/24. Cependant, lorsqu'une liaison permanente WAN n'est pas possible ou pas pratique, vous pouvez configurer une connexion VPN routeur à routeur à la demande en utilisant la connexion à distance avec l'ISP.

Une connexion VPN routeur à routeur à la demande en utilisant la connexion à distance de l'ISP consiste en deux interfaces de connexion à la demande :

  • une interface de connexion à la demande pour appeler l'ISP local

  • une interface de connexion à la demande pour la connexion VPN routeur à routeur

Une connexion VPN routeur à routeur à la demande est automatiquement établie lorsque le trafic à transférer par la connexion VPN est reçu par le routeur de la succursale. Par exemple, lorsqu'il reçoit un paquet à router à la maison mère, le routeur de la succursale utilise d'abord une liaison téléphonique pour se connecter à l'ISP local. Une fois que la connexion Internet est faite, le routeur de la succursale, le client VPN, crée une connexion VPN routeur à routeur avec le routeur de la maison mère, le serveur VPN.

Pour configurer une connexion VPN à la demande sur le routeur de la succursale

  1. Créez une interface de connexion à la demande pour la connexion Internet configurée avec l'équipement approprié, le numéro de l'ISP et le nom d'utilisateur et le mot de passe pour l'accès Internet.

  2. Créez une interface de connexion à la demande pour la connexion VPN routeur à routeur avec le routeur de la maison mère configuré pour PPTP, l'adresse IP ou le nom d'hôte de l'interface sur l'Internet du serveur VPN de la maison mère et un nom d'utilisateur et un mot de passe qui peut être vérifié par le serveur VPN. Le nom d'utilisateur doit correspondre au nom d'une interface de connexion à la demande sur le serveur VPN de la maison mère.

  3. Créer une route hôte statique pour l'adresse IP sur l'interface Internet du serveur VPN qui utilise l'interface de connexion à la demande utilisée pour se connecter à l'ISP.

  4. Créez une route statique (ou des routes) pour les ID réseau IP de l'intranet d'entreprise qui utilisent l'interface de connexion à la demande VPN.

Pour configurer le routeur de la maison mère

  1. Créez une interface de connexion à la demande pour la connexion VPN avec la succursale configuré pour PPTP. L'interface de connexion à la demande doit avoir le même nom que le nom d'utilisateur dans la pièce d'identité d'authentification qui est utilisée par le routeur de la succursale pour créer une connexion VPN.

  2. Créez une route statique (ou des routes) pour les ID réseau IP de la succursale qui utilisent l'interface de connexion à la demande VPN.

La connexion VPN routeur à routeur est initiée automatiquement par le routeur de la succursale par le processus suivant :

  1. Les paquets envoyés à une location réseau du hub d'entreprise par un utilisateur de la succursale sont transférés par l'utilisateur vers le routeur de la succursale.

  2. Le routeur de la succursale vérifie sa table de routage et trouve une route vers l'ID réseau de l'intranet d'entreprise, qui utilise l'interface de connexion VPN à la demande.

  3. Le routeur de la succursale vérifie l'état de l'interface de connexion à la demande VPN et le trouve dans un état déconnecté.

  4. Le routeur de la succursale récupère la configuration de l'interface de connexion à la demande VPN.

  5. En se basant sur la configuration de l'interface de connexion à la demande VPN, le routeur de la succursale essaye d'initialiser une connexion VPN routeur à routeur à l'adresse IP du serveur VPN sur l'Internet.

  6. Pour établir un VPN sous PPTP, une connexion TCP doit être établie avec le serveur VPN. Le paquet d'établissement VPN est créé.

  7. Pour transférer le paquet d'établissement VPN au routeur de la maison mère, le routeur de la succursale vérifie sa table de routage et trouve la route hôte utilisant l'interface de connexion à la demande de l'ISP.

  8. Le routeur de la succursale vérifie l'état de l'interface de connexion à la demande de l'ISP et la trouve dans un état déconnecté.

  9. Le routeur de la succursale récupère la configuration de l'interface de connexion à la demande de l'ISP.

  10. En sa basant sur la configuration de l'interface de connexion à la demande de l'ISP, le routeur de la maison mère utilise son modem ou son adaptateur ISDN pour composer le numéro et établir une connexion avec son ISP local.

  11. Une fois que la connexion à l'ISP est réalisée, le paquet d'établissement VPN est envoyé par le routeur de la succursale vers le routeur de la maison mère.

  12. Un VPN est négocié entre le routeur de la succursale et le routeur de la maison mère. Dans le cadre de la négociation, le routeur de la succursale envoie des pièces d'identité d'authentification qui sont vérifiés par le routeur de la maison mère.

  13. Le routeur de la maison mère vérifie ses interfaces de connexion à la demande et en trouve une qui correspond au nom d'utilisateur envoyé lors du processus d'authentification et passe l'interface en mode connecté.

  14. Le routeur de la succursale transfère le paquet par le biais du VPN et le serveur VPN transfère le paquet vers la location intranet appropriée.

Routage statique ou dynamique

Une fois que les interfaces de connexion à la demande sont créées et que le choix a été fait entre des connexions temporaires ou permanentes, vous devez choisir l'une des méthodes suivantes pour ajouter des informations de routage à la table de routage :

  1. Pour les connexions temporaires, vous pouvez ajouter manuellement les routes statiques appropriées pour atteindre les ID réseaux dans les autres succursales. La configuration manuelle de routes statiques est appropriée pour de petites implémentations avec un petit nombre de routes.

  2. Pour les connexions temporaires, vous pouvez utiliser des mises à jour auto-statiques pour mettre à jour périodiquement les routes statiques qui sont disponibles par le biais de la connexion VPN routeur à routeur. Les routes auto-statiques fonctionnent bien pour des implémentations plus importantes avec beaucoup d'informations de routage.

  3. Pour les connexions permanentes, exécutez les protocoles de routage appropriés sur la connexion VPN routeur à routeur en traitant la connexion VPN comme une liaison point à point.

Note : contrairement au routage en connexion à la demande utilisant des connexions physiques directes, vous ne pouvez pas utiliser une route IP par défaut configurée pour l'interface de connexion à la demande VPN pour résumer toutes les routes intranet disponible par le VPN. Comme le routeur est connecté à l'Internet, vous devez utiliser la route par défaut pour résumer toutes les routes de l'Internet et la configurer pour utiliser l'interface Internet.

<< 1 2 3 4 5 >>

Dernière mise à jour le lundi 12 juillet 1999