J’ai un problème VPN IPSEC avec le NAT. J’utilise un routeur NETVENTA 3430 comme point d’accès. Mon client VPN est software. Je suis incapable d’établire ma connexion VPN si je fait du NAT entre ma connexion internet et mon client VPN soft. Si je ne NAT pas, super ma connexion fonctionne très bien. Le problème est que j’ai besoin du NAT.
Est-il possible de faire passer le VPN IPSEC avec le NAT. C’est un gros problème ça !!! 
Merci de votre réponse!
Théoriquement c’est possible. Je ne connais pas du tout ton produit mais as tu bien configurer ton NAT ? As tu un outils graphique pour faire ce type de conf ?
Je m’étais penché sur la question pour en fin de compte partir sur autre chose que de l’IPSEC (SSL), mais c’est possible théoriquement avec le nat traversal en.wikipedia.org…
Hitsu_
Quand tu dit <as tu bien configurer ton NAT ?> tu parle du coté client ? Si oui quel type de configuration parls tu ? Je sais pas trop quoi configuer sur le NAT. Le NAT fait la translation d’adresse entre le WAN et le LAN quoi d’autre? La seul configuration que je voyais était l’ouverture des ports.
Edité le 09/05/2008 à 18:30
Oups, je viens de me souvenir que j’ai monté effectivement une passerelle VPN IPSEC entre mon réseau d’entreprise et un autre réseau distant en utilisant justement le nat traversal… (j’utilise openswan pour me connecter sur une solution Checkpoint)
Donc la réponse est oui ^ ^)
Edité le 09/05/2008 à 18:47
MatCav
Selon ce que j’ai trouvé rapidement sur le NET openswan me fait penser a OpenVPN. Si c’est le cas, j’ai pas besoin d’un autre solution car j’ai d’éjà mon routeur Netvanta 3034 qui est mon point d’entrée de mon VPN Ipsec. Mon problème est du coté client seulement si je me trompe pas.
Ai-je besoin d’ouvrire c’est ports sur mon Netvanta ?
Internet Key Exchange (IKE) - User Datagram Protocol (UDP) port 500
IPsec NAT-T - UDP port 4500
dois-je ajouter cet access-list
ip access-list extended vpnipsec
permit tcp any host x.x.x.x eq 500
permit tcp any host x.x.x.x eq 4500
Et ce-ci
ip policy-class WAN
allow reverse list clients_vpn stateless
allow list routeur
nat destination list pptp_ftp address 192.168.50.5
nat destination list vpnipsec adress 192.168.50.1
allow list Internet
discard list MATCHALL
IP de mon routeur :192.168.50.1
Openvpn->SSL
Openswan->IPSEC
J’utilise les 2 solutions pour 2 besoins différents !!
IKE et nat-t doivent être ouverts oui, donc respectivement les ports UDP 500 et 4500
Par défaut, openvpn utilise le port UDP 1194.
Dans mon ip policy-class WAN es-ce que cet écriture serait correct:
nat destination list vpnipsec adress 192.168.50.1
en sachant que le 192.168.50.1 est son propre IP adresse (adresse ip du routeur) ?
Ce n’est pas recurcif ?
ce ne serait pas 192.168.50.0, à savoir le range IP de ton propre réseau ?
Effectivement le 192.168.50.0. C’est relativement nouveau pour moi. Je travaille pas tous les jour avec ça.
Don l’écriture correct serait : nat destination list vpnipsec adress 192.168.50.0 ?
Si j’effectue le modif décris ci haut, ça devrait résoudre mon problème ?
Merci!
Ton VPN, c’est un VPN site-to-site ou un host to lan ?
Je t’avoue que je cale, je connais pas du tout ton routeur…
C’est pour des teletravailleurs. Ils doivent se déplacer d’un hotel a un autre et de ce connecter VPN au bureau. Dans ce cas d’utilisation c’est du host to lan.
Le routeur est celui-ci Atran Netvanta 3430
Edité le 09/05/2008 à 21:13