VPN et Livebox Sagem

Bonjour,

J'aurais voulu savoir si il y avait une incompatibilité connue entre la livebox Sagem et les clients VPN.
Une personne de ma connaissance n'arrive pas à faire du VPN alors que moi j'y arrive parfaitement avec une livebox Inventel.

Merci de votre aide.

Edit : J'ai eu la réponse de Wanadoo : "La livebox SAGEM ne laisse pas passer le VPN IPsec ni le GRE , mais laisse
passer le PPPtP."

Je ne sais pas pourquoi, mais j'ai la réponse à ma question.

Oui effectivement tu as la reponse.
Et rien a faire contre ca, apparement. Si ton pote ne peut pas utiliser un autre protocole qu'IPsec, alors il est condamne a essayer d'obtenir une Inventel en echange de sa Sagem.

qu'il demande quand meme a son adminsys s'il n'est pas possible d'utiliser autre chose qu'IPsec.

ceci est absolument faux..... je me connecte sans PB au réseau de mon entreprise en vpn (via protocole VPN L2TP Ipsec à travers une livebox sagem)
Par contre , il faut être en XP SP2 ou w2k patché pour pouvoir faire du NAT avec de l'IP sécurisé.

ceci est absolument faux..... je me connecte sans PB au réseau de mon entreprise en vpn (via protocole VPN L2TP Ipsec à travers une livebox sagem)
Par contre , il faut être en XP SP2 ou w2k patché pour pouvoir faire du NAT avec de l'IP sécurisé.

Ma connaissance d'IPSec n'est pas totale, c'est clair.

Je crois cependant qu'il existe 2 moyens differents de chiffrer le trame IP: AH et ESP. AH utilise, je crois, une connexion TCP classique parce que l'entete IP n'est pas modifiée. ESP est, de ce que j'ai compris, un protocole IP specifique qui chiffre également l'entete IP. Et la Sagem, a priori, ne sait pas causer ESP.

cf: http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=3&rl=1

La raison qui expliquerait le fonctionnement de ton client VPN est alors peut-etre que tu utilises AH et non ESP.

effectivement, j'utilise le client vpn natif à windows XP et non le client vpn cisco...........(qui sert dans ma boite à une connexion vpn sur des hot plug orange)

effectivement, j'utilise le client vpn natif à windows XP et non le client vpn cisco...........(qui sert dans ma boite à une connexion vpn sur des hot plug orange)

Donc on revient au point de départ : VPN Ipsec / ESP ne fonctionne pas sur Sagem....

Et j'ai bien l'impression que les VPN utilisant des boitiers Cisco represent une tres grande part des VPN, non ?

On peut ajouter ca dans la petition ?? )

fluzz a écrit:

Donc on revient au point de départ : VPN Ipsec / ESP ne fonctionne pas sur Sagem....

Et j'ai bien l'impression que les VPN utilisant des boitiers Cisco represent une tres grande part des VPN, non ?

On peut ajouter ca dans la petition ?? )

faux... j'utilise le client IPSEC de Cisco sans soucis.... et ceux vers différentes destinations....

ah ah tres bien on avance alors....

dans ce cas, tu peux verifier si quelque part dans la config il y a un truc concernant le chiffrement par AH ou ESP, stp ?

Je tiens d'abord à faire une correction, ce n'est pas une personne de Wanadoo qui m'a répondu, mais une personne de chez Sagem.

Ensuite, c'est vrai qu'il existe deux types de fonctionnement pour le protocole IPSec, soit le mode transport, soit le mode tunnel. Le mode transport assure l'authentification et l'intégrité des paquets IP, mais pas leur chiffrement. Comme il assure l'intégrité du paquet, il ne peut pas être utilisé derrière une passerelle NAT car celle-ci modifie le paquet. Les livebox sont des passerelles NAT et donc il est impossible que le mode transport fonctionne avec celle-ci.
Par contre, le mode tunnel supporte la modification des paquets IP. Donc c'est lui qu'il faut obligatoirement utilisé avec des utiliateurs nomades.

Le mode tunnel utilise deux protocoles : AH (Authentication Header) et ESP (Encapsulated Security Payload). Le premier pour l'authentification et l'intégrité, le second pour le chiffrement.

En fait, ce qui rend incompatible toutes passerelles NAT avec le VPN IPsec et que les numéros des ports source et destination du paquet VPN doivent être 500. Or, les passerelles NAT/PAT modifient bien souvent le numéro de port source. Pour éviter ce problème, il y a plusieurs techniques :
- Soit la passerelle est compatible VPN IPsec Passthrough, c'est-à-dire qu'elle détecte le protocole esp et qu'elle ne va pas modifié le numéro de port source.
- Soit le client et la passerelle VPN sont compatible NAT-Traversal. Le NAT-T est une technique qui permet de détecter que le client et la passerelle sont séparés par une passerelle NAT et qu'il leur faut encapsuler les paquets VPN dans des paquets UDP autorisant la translation de port.

Pour conclure ce long message, la livebox Sagem n'est pas VPN Passthrough comme la Inventel. Il faut donc voir du côté du NAT-T pour résoudre le problème de VPN IPsec.

(Je m'excuse auprès des spécialistes pour les raccourcis dans mes explications)

En fait, je tiens à ajouter d'autres précisions sur le problème de VPN Sagem. L'utilisateur disposant de la Livebox Sagem utilise le client VPN NCP compatible NAT-T. Il a réussi à le faire fonctionner laborieusement (sans savoir comment) sur sa Livebox Sagem. Depuis que le client VPN NCP a été mis à jour dans sa dernière version, le VPN ne fonctionne plus avec la livebox Sagem alors que cela fonctionne partout ailleurs. Bref, c'est incompréhensible.