Tunnel VPN tombeRésolu/Fermé

Question

Bonjour à toutes et à tous,  

J'ai monté récemment un VPN entre un réseau de serveur distant et notre entreprise. Donc j'ai configuré nos deux routeurs de façons à ce que les communications soit possible (donc règles dans le firewall, NAT et tout le mic mac). 

Pour commencer à expliquer mon problème, le VPN se connecte lorsque je suis sur le routeur du réseau ou se situe les serveurs. Donc la, je teste tout ce dont j'ai besoin, RDP, accès aux fichiers etcétéra et tout est fonctionnelle :) 

Mais vous vous en doutez, si cela fonctionnait aussi parfaitement je ne serais pas ici :-P 

Donc le soucis c'est que le temps que je me déplace depuis le lieu ou se situe le réseau des serveurs jusqu'à mon entreprise, le VPN fonctionne encore pendant un bref instant (environ 1h d'intervalle avant que les problèmes arrivent) puis tout d'un coup, après une bref heure, plus rien ne fonctionne... On arrive plus à utiliser le RDP, plus à se connecter aux serveurs par le web, bref c'est la m**** si je puis dire ^^.  

Alors que pourtant, quand j'étais sur place, les tests qu'on a fait était tous concluant... 

La question que je me pose, donc déjà c'est pourquoi ça ne fonctionne pas :-P mais aussi pourquoi es-ce que depuis notre réseau d'entreprise je n'arrive pas à établir la connexion au VPN du réseau des serveurs. Alors que j'arrive à connecter le VPN depuis le réseau des serveurs et que cela fonctionne parfaitement... 

Merci d'avance pour toutes les infos que vous pourriez me donner 

Cordialement 

Tidus 

Configuration: Windows 7 / Firefox 7.0.1

xoooom · Answer

Si tu essaie de remonter ton VPN cela fonctionne ? as tu un moyen de mettre en place un connectivity check  afin de tester ton liens VPN et de le forcer à remonter en cas de coupure ?

tidus_6_9_2 · Answer

Justement, je peux le remonter, mais le soucis c'est que je suis obligé de me déplacer jusqu'à l'emplacement du réseau des serveurs et de le réactiver... Après cela re-fonctionne pendant X temps (environ 1heure en moyenne). 

Depuis notre réseau je ne parvient pas à l'activer, uniquement depuis là bas... Déjà la je ne vois pas pourquoi... Sûrement que je restreint trop les règles avec le firewall à mon avis, mais je n'en suis pas sûr... C'est une possibilité d'après toi ?

Oui je peux envoyer des paquets ICMP ou TCP en cas de coupure (ou il test tout le temps plutôt :-) ) mais le soucis c'est que je ne peux lui indiquer de redémarrer dans le cas ou il y a un problème, il peut uniquement me loger les infos... (Enfin dans les options que j'ai c'est ce que je vois, je ne sais pas s'il y a d'autres options qui permettrait de redémarrer un VPN qui est raide ? )

Merci pour ton aide

xoooom · Answer

c'est un VPN de réseau à reseau ? via quels équipements ? 
Si tu tombe et remonte ton VPN (manuellement) du coté de ton réseau celui ci ne remonte pas ?
Lorsque ton VPN est tombé, comment l'équipement de ton réseau sur lequel tu monte ton VPN le voit ? pour lui est-il toujours monté ou bel et bien tombé ?

tidus_6_9_2 · Answer

C'est un VPN site to site (réseau à réseau)
Comme équipement, on a deux routeurs Zywall USG 100...

Pour ce qui est du "remontage" du VPN du côté de notre réseau, non il est impossible de le remonter.

Lorsque le VPN est tombé, on ne peut plus rien faire (donc je ne peux voir son état du côté du réseau des serveurs), mais de notre côté, sur le routeur, il est marqué comme étant tombé. Et chose encore plus étrange, il y a sur l'autre réseau (celui des serveurs) des sites internets. Lorsque le VPN tombe, les sites internets sont toujours accessible au public, mais chez nous même les sites internet sont inaccessibles...

A mon avis, de ce que j'ai pus constater, j'ai peut-être fait une erreur sur les règles du firewall, mais je n'en suis vraiment pas persuadé. Du fait que le VPN fonctionne et que X temps après cela ne fonctionne plus je ne vois pas si c'est une règle du firewall qui n'en fait qu'à sa tête ou s'il s'agit du VPN même qui pose problème...

Merci encore

xoooom · Answer

Tu peux mettre en place le connectivity check sur ton USG 100 coté serveur. il suffit de cocher la case et de mettre une IP de ton réseau distant autorisé en ping. comme ça dès que ton tunel tombe l'USG le remonte automatiquement. 

Pour le tunnel il suffit de mettre les ports : AH, ESP, IKE, NATT, PING, VRRP 

Pense bien à débloquer ces ports ci en WAN to Zywall des deux coté.

xoooom · Answer

Lorsque tu dis "mais chez nous même les sites internet sont inaccessibles" y accède tu via leur adresse IP privée ? sinon a tu modifier ton host ou autre pour forcer ton poste à passer à travers le VPN pour accéder à ces sites ?

tidus_6_9_2 · Answer

Non on ne peut pas y accéder via notre réseau d'entreprise (sauf quand le VPN fonctionne pendant X temps).

Oui on a testé de mettre en directe sur un poste (et non pas sur le réseau) mais le problème ne se situe apparement pas la, du fait qu'il continue à se déconnecter au bout de X temps.

D'après mes quelques tests il pourrait s'agir d'une restriction trop forte des règles du firewall. J'ai modifié un peu les règles de façons à pouvoir y accéder et cela fonctionne.

Bien sûr les règles je vais devoir les remodifier pour certaines raison. Mais d'après toi, qu'es ce qu'il pourrait manquer comme règles dans mon firewall ?

De any à any je refuse tout (logique...)
Du VPN au réseau local des serveur j'accèpte
DU réseau local au VPN j'accèpte
Du WAN au VPN j'accèpte
Du VPN au WAN j'accèpte

(Bien sûr version simplifié :-) )

J'ai même essayé à un moment de faire un allow de tout à tout et cela fonctionnait parfaitement. Donc je penses que le problème vient réellement de mes règles.

Après essais, j'ai essayé de faire ceci :

De any à any je refuse
De VPN à any j'accèpte
De any à VPN j'accèpte

Et le miracle.... Ca ne fonctionne pas :-P
Pourtant la règle me semble bonne en tant que tel...

Merci pour ton aide xoooom

xoooom · Answer

En faite ton tunnel se monte entre tes deux Zywall donc de chaque coté tu doit autoriser les ports VPN (AH ESP IKE...etc) en WAN to Zywall. 

Une fois ces autorisation des deux coté (tes deux Zywall) tu doit ouvrir les ports à l'intérieur de ce tunnel donc en Lan to IPSEC_VPN et IPSEC_VPN to LAN et ceci des deux coté également.

PS pour plus de sécurité, quand tu ouvre le WAN to Zywall tu peux mettre en source l'adresse IP publique de ton réseau distant.

tidus_6_9_2 · Answer

Hello,

Désolé pour le retard de ma réponse :)

Le problème était belle et bien dans mes règles, j'empêchais le passage des protocoles AH/ESP/IKE etc, donc ta solution m'a vraiment beaucoup beaucoup aidé :)

Je te remercie 1000 fois pour ton aide :)

De plus, j'ai belle et bien mis mon IP publique pour plus de sécurité :)

Merci vraiment ^^ je bûchais la dessus depuis fort longtemps, heureusement que tu me sors de la mouise :)

Sincère amitiés

Tidus

Tunnel VPN tombe

9 réponses

Discussions similaires

Newsletters