|
|
|
|
Utilisation de WinRoute Pro avec le VPN Novell BorderManager (IPSEC)
Ce document décrit les procédures d’installation qui rendent possible la connection d’un réseau local, qui utilise le NAT pour partager une adresse IP unique fournie par un ISP, à un réseau distant qui utilise le logiciel Novell BorderManager Enterprise Server for VPN.
Selon le fichier de README.TXT fourni sur la disquette d'installation du client de Novell BorderManager VPN,
" vous ne pouvez pas utiliser le NAT entre un client VPN et un serveur VPN.Cela vient du fait que lorsque les paquets IP et IPX sont encapsulés et cryptés chez le client VPN, l'adresse IP de la source utilisée pour l'encapsulation est l'adresse du client VPN. Le calcul d'authentification d'en-tête IPSEC du paquet est basé sur cette adresse et l'adresse de destination du serveur VPN. Par conséquent, si l'une ou l'autre des adresses (celle du client VPN ou celle du serveur VPN) est modifiée par le NAT, quand il arrivera à destination, au serveur VPN, le calcul échouera et le paquet sera rejeté. Cependant, il est très probable, que le NAT ignore tout bonnement les paquets IPSEC parce qu'il gère seulement que TCP, UDP, et les paquets Internet Control Message Protocol (ICMP).
Quand vous avez des postes de travail dans un intranet qui doivent beaucoup communiquer avec des réseaux protégés par un serveur VPN via l'Internet, nous suggérons que vous utilisiez l’option site-to-site VPN de Novell BorderManager Enterprise Edition (au lieu de l’option client-to-site VPN)."
Cependant, le logiciel Novell BorderManager Enterprise Server est très cher pour un utilisateur à domicile. De plus, il exige la configuration de routes statiques sur le réseau distant consulté. La solution suggérée ci-dessus par Novell est donc inadaptée pour la personne qui voudrait connecter son réseau local qui utilise le NAT à un réseau distant par l'intermédiaire de Novell BorderManager VPN.
Étonnamment, il est possible de connecter un réseau local utilisant le NAT à un réseau distant en se servant de WinRoute pro et de Novell BorderManager VPN Client. Cette solution permet à n'importe quel ordinateur sur le réseau local d'accéder aux ressources sur le réseau distant lorsque le tunnel VPN est établi sur l'ordinateur routeur. Aucune configuration du réseau distant n'est exigée.
Ci dessous les phases de configuration pour le réseau local.
Étape 1: Installer et configurer le logiciel Novell BorderManager VPN Client sur l'ordinateur qui va être utilisé comme routeur. S'assurer que la connexion VPN vers le réseau à distance peut être établie avec succès et que les ressources sur le réseau distant peuvent être consultées.
Étape 2: Installer WinRoute pro sur l'ordinateur routeur. Suivre les instructions trouvées dans le guide d'administration pour configurer WinRoute pro et configurer les ordinateurs sur le réseau local pour marcher avec WinRoute Pro. Utilisez la configuration standard pour le partage d'adresse IP unique. S'assurer que les ressources Internet peuvent être consultées à partir de n'importe quel ordinateur sur le réseau local.
Étape 3: Quand vous voulez accéder aux ressources sur le réseau distant, exécuter Novell BorderManager VPN client sur l'ordinateur routeur puis la procédure de connexion au réseau à distance.
Cette solution est rendue possible grâce l'architecture de WinRoute pro. Puisqu'il travaille au niveau IPSEC, la translation d'adresses est effectuée avant que le paquet ne soit dirigé vers le virtual network adapter. Par conséquent les paquets envoyés au serveur VPN ont la véritable adresse IP de la source. Dans le sens inverse les paquets reçus par virtual network adapter traversent la couche de translation d'adresses et sont dirigés vers l’ordinateur concerné sur le réseau local.
Les limitations de cette installation sont que la procédure de connexion VPN doit être faite manuellement sur l'ordinateur routeur, et que la connexion VPN verra son délai d'attente dépassé après une certaine période d'inactivité, réglée sur le serveur VPN. En outre, les paquets IPX ne vont pas être routés même si le tunnel VPN supporte le protocole IPX. Par conséquent, le tunnel IPX sera disponible seulement sur l'ordinateur routeur.
D'une façon générale, cette installation est un moyen rentable et simple de connecter un réseau local qui utilise le NAT à un réseau distant en se servant de Novell BorderManager VPN.