CommentCaMarche
Recherche
Posez votre question Signaler

Tunnel VPN tombe [Résolu]

tidus_6_9_2 22Messages postés samedi 3 janvier 2009Date d'inscription 16 mai 2012Dernière intervention - Dernière réponse le 7 nov. 2011 à 10:08
Bonjour à toutes et à tous,
J'ai monté récemment un VPN entre un réseau de serveur distant et notre entreprise. Donc j'ai configuré nos deux routeurs de façons à ce que les communications soit possible (donc règles dans le firewall, NAT et tout le mic mac).
Pour commencer à expliquer mon problème, le VPN se connecte lorsque je suis sur le routeur du réseau ou se situe les serveurs. Donc la, je teste tout ce dont j'ai besoin, RDP, accès aux fichiers etcétéra et tout est fonctionnelle :)
Mais vous vous en doutez, si cela fonctionnait aussi parfaitement je ne serais pas ici :-P
Donc le soucis c'est que le temps que je me déplace depuis le lieu ou se situe le réseau des serveurs jusqu'à mon entreprise, le VPN fonctionne encore pendant un bref instant (environ 1h d'intervalle avant que les problèmes arrivent) puis tout d'un coup, après une bref heure, plus rien ne fonctionne... On arrive plus à utiliser le RDP, plus à se connecter aux serveurs par le web, bref c'est la m**** si je puis dire ^^.
Alors que pourtant, quand j'étais sur place, les tests qu'on a fait était tous concluant...
La question que je me pose, donc déjà c'est pourquoi ça ne fonctionne pas :-P mais aussi pourquoi es-ce que depuis notre réseau d'entreprise je n'arrive pas à établir la connexion au VPN du réseau des serveurs. Alors que j'arrive à connecter le VPN depuis le réseau des serveurs et que cela fonctionne parfaitement...
Merci d'avance pour toutes les infos que vous pourriez me donner
Cordialement
Tidus
Lire la suite 
Réponse
+1
moins plus
En faite ton tunnel se monte entre tes deux Zywall donc de chaque coté tu doit autoriser les ports VPN (AH ESP IKE...etc) en WAN to Zywall.

Une fois ces autorisation des deux coté (tes deux Zywall) tu doit ouvrir les ports à l'intérieur de ce tunnel donc en Lan to IPSEC_VPN et IPSEC_VPN to LAN et ceci des deux coté également.

PS pour plus de sécurité, quand tu ouvre le WAN to Zywall tu peux mettre en source l'adresse IP publique de ton réseau distant.
Ajouter un commentaire
Réponse
+0
moins plus
Si tu essaie de remonter ton VPN cela fonctionne ? as tu un moyen de mettre en place un connectivity check afin de tester ton liens VPN et de le forcer à remonter en cas de coupure ?
Ajouter un commentaire
Réponse
+0
moins plus
Justement, je peux le remonter, mais le soucis c'est que je suis obligé de me déplacer jusqu'à l'emplacement du réseau des serveurs et de le réactiver... Après cela re-fonctionne pendant X temps (environ 1heure en moyenne).

Depuis notre réseau je ne parvient pas à l'activer, uniquement depuis là bas... Déjà la je ne vois pas pourquoi... Sûrement que je restreint trop les règles avec le firewall à mon avis, mais je n'en suis pas sûr... C'est une possibilité d'après toi ?

Oui je peux envoyer des paquets ICMP ou TCP en cas de coupure (ou il test tout le temps plutôt :-) ) mais le soucis c'est que je ne peux lui indiquer de redémarrer dans le cas ou il y a un problème, il peut uniquement me loger les infos... (Enfin dans les options que j'ai c'est ce que je vois, je ne sais pas s'il y a d'autres options qui permettrait de redémarrer un VPN qui est raide ? )

Merci pour ton aide
Ajouter un commentaire
Réponse
+0
moins plus
c'est un VPN de réseau à reseau ? via quels équipements ?
Si tu tombe et remonte ton VPN (manuellement) du coté de ton réseau celui ci ne remonte pas ?
Lorsque ton VPN est tombé, comment l'équipement de ton réseau sur lequel tu monte ton VPN le voit ? pour lui est-il toujours monté ou bel et bien tombé ?
Ajouter un commentaire
Réponse
+0
moins plus
C'est un VPN site to site (réseau à réseau)
Comme équipement, on a deux routeurs Zywall USG 100...

Pour ce qui est du "remontage" du VPN du côté de notre réseau, non il est impossible de le remonter.

Lorsque le VPN est tombé, on ne peut plus rien faire (donc je ne peux voir son état du côté du réseau des serveurs), mais de notre côté, sur le routeur, il est marqué comme étant tombé. Et chose encore plus étrange, il y a sur l'autre réseau (celui des serveurs) des sites internets. Lorsque le VPN tombe, les sites internets sont toujours accessible au public, mais chez nous même les sites internet sont inaccessibles...

A mon avis, de ce que j'ai pus constater, j'ai peut-être fait une erreur sur les règles du firewall, mais je n'en suis vraiment pas persuadé. Du fait que le VPN fonctionne et que X temps après cela ne fonctionne plus je ne vois pas si c'est une règle du firewall qui n'en fait qu'à sa tête ou s'il s'agit du VPN même qui pose problème...

Merci encore
Ajouter un commentaire
Réponse
+0
moins plus
Tu peux mettre en place le connectivity check sur ton USG 100 coté serveur. il suffit de cocher la case et de mettre une IP de ton réseau distant autorisé en ping. comme ça dès que ton tunel tombe l'USG le remonte automatiquement.

Pour le tunnel il suffit de mettre les ports : AH, ESP, IKE, NATT, PING, VRRP

Pense bien à débloquer ces ports ci en WAN to Zywall des deux coté.
Ajouter un commentaire
Réponse
+0
moins plus
Lorsque tu dis "mais chez nous même les sites internet sont inaccessibles" y accède tu via leur adresse IP privée ? sinon a tu modifier ton host ou autre pour forcer ton poste à passer à travers le VPN pour accéder à ces sites ?
Ajouter un commentaire
Réponse
+0
moins plus
Non on ne peut pas y accéder via notre réseau d'entreprise (sauf quand le VPN fonctionne pendant X temps).

Oui on a testé de mettre en directe sur un poste (et non pas sur le réseau) mais le problème ne se situe apparement pas la, du fait qu'il continue à se déconnecter au bout de X temps.

D'après mes quelques tests il pourrait s'agir d'une restriction trop forte des règles du firewall. J'ai modifié un peu les règles de façons à pouvoir y accéder et cela fonctionne.

Bien sûr les règles je vais devoir les remodifier pour certaines raison. Mais d'après toi, qu'es ce qu'il pourrait manquer comme règles dans mon firewall ?

De any à any je refuse tout (logique...)
Du VPN au réseau local des serveur j'accèpte
DU réseau local au VPN j'accèpte
Du WAN au VPN j'accèpte
Du VPN au WAN j'accèpte

(Bien sûr version simplifié :-) )

J'ai même essayé à un moment de faire un allow de tout à tout et cela fonctionnait parfaitement. Donc je penses que le problème vient réellement de mes règles.

Après essais, j'ai essayé de faire ceci :

De any à any je refuse
De VPN à any j'accèpte
De any à VPN j'accèpte

Et le miracle.... Ca ne fonctionne pas :-P
Pourtant la règle me semble bonne en tant que tel...

Merci pour ton aide xoooom
Ajouter un commentaire
Réponse
+0
moins plus
Hello,

Désolé pour le retard de ma réponse :)

Le problème était belle et bien dans mes règles, j'empêchais le passage des protocoles AH/ESP/IKE etc, donc ta solution m'a vraiment beaucoup beaucoup aidé :)

Je te remercie 1000 fois pour ton aide :)

De plus, j'ai belle et bien mis mon IP publique pour plus de sécurité :)

Merci vraiment ^^ je bûchais la dessus depuis fort longtemps, heureusement que tu me sors de la mouise :)

Sincère amitiés

Tidus
Ajouter un commentaire
Ce document intitulé «  Tunnel VPN tombe  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.