VPN sur Internet Box fonctionne seulement avec NAT Traversal ?

aldan

J'ai configuré l'accès VPN L2TP sur mon Internet Box. Tout fonctionne parfaitement lorsque mon mac (OSX Mojave) se trouve dans un réseau qui est "natté". IPSec utilise le NAT Traversal et les ports UDP 500 (ISAKMP) et 4500 (ESP).

Par contre, lorsque mon mac est connecté à Internet depuis un réseau non "natté", le NAT Traversal n'entre pas en compte et le client VPN d'OSX essaie de se connecté avec ISAKMP (UDP port 500) et ensuite il utilise IPSec ESP directement sur IP (Protcol 50). Dans ce cas-là le VPN ne fonctionne pas. Il semblerait que l'Internet Box 2 de Swisscom ne supporte pas ce mode. Ou dans tous les cas cela n'est pas réglable (?).

Deux questions:
1) Peut-on activer ESP sur le protocol IP 50 sur l'Internet Box dans la config L2TP?

2) ou sinon, peut-on forcer OSX à ne travailler qu'avec le NAT Traversal, soit IPSec sur UDP 500 et 4500?

aldan

Pour info, je n'ai toujours pas trouvé de solutions à ce problème, qqun a une piste?

zorglub1

Bonjour,

afin de pouvoir vous aider j'aimerais comprendre votre définition de ce que vous appelez un réseau "natté" ou "pas natté". La quasi totalité des accès à l'internet passent par le "natting", translation des adresses locales vers l'adresse publique (WAN) de l'accès internet. Le seul cas ou je vois que l'on puisse avoir un accès non natté est le cas d'un accès en mode "bridge" ou dans ce cas votre équipement réseau va prendre directement l'adresse WAN de votre accès internet. Est-ce bien ce mode là?

Même si c'est cela je ne vois pas le rapport avec le port TCP ou UDP 50 (Remote Mail Checking Protocol) n'a rien à voir avec le protocole VPN L2TP. Au pire ce port est utilisé par certain chevaux de troie.... Je pense que votre difficulté à établir votre tunnel vient d'ailleurs.

aldan

Bonjour,

Sur mon lieu de travail j'ai une adresse "officielle" attribuée à la carte réseau de ma machine (LAN ou wifi), ce qui fait que je me connecte à Internet sans que celle-ci soit translatée par du NAT. C'est dans ce cas de figure où l'établissement du tunnel VPN L2TP ne fonctionne pas. Dès l'instant où je connecte mon mac à mon mobile (réseau qui est natté), le tunnel VPN s'établit.

Je parle du protocole IP no 50, soit ESP (Encapsulating Security Payload), pas d'un port sur UDP ou TCP, il est utilisé par IPSec pour sécuriser L2TP. Il semble que la phase I d'ISAKMP négocie le RFC 3497 (NAT-T Traversal) et que la box Swisscom ne supporte *que* ce mode et pas le mode sans NAT.

zorglub1

Re-bonjour,

dans ce cas effectivement il y a une forte probabilité, sous réserve que votre entreprise permette les connexions VPN depuis l'interne, que la limitation vienne de l'internet box qui fourni un VPN "léger" pour le grand public. La solution pourrait être de rediriger les ports TCP/UDP du protocole vers un routeur ou NAS (ex. Synology) servant de serveur de VPN. C'est ce que j'ai fait afin de passer en OpenVPN.

Après il se peut que votre employeur ait bridé l'usage des VPN depuis l'interne pour des raisons de sécurité et éviter la création de "trous" dans les protections.

aldan

Comme les VPNs sont autorisés en sortie sur le Firewall de mon entreprise, je suspecte fortement comme vous que le problème vienne de l'implémentation du VPN sur la box.

J'utilise déjà la solution avec OpenVPN, mais j'aurais aimé avoir un seul type de client VPN.

Merci pour vos commentaires.