Tout d’abord, je ne sais pas si je suis dans le bon forum pour ce message, mais le VPN Pass-Through étant une fonctionnalité des routeurs, je tente ma chance ici… excusez moi si je me trompe.
Donc, voici mon problème : Je ne comprends pas ce qu’est exactement le VPN Pass-Through.
Mais soyons plus précis, je sais à quoi ça sert (c’est une solution face aux problèmes dus au NAT avec les clients VPN), mais j’aimerais avoir des détails plus techniques. C’est pourquoi je m’adresse à vous, mon dernier recours après une recherche infructueuse sur mon ami google…
Ce que je sais, ce que j’ai lu, c’est que le VPN Pass-Through c’est du NAT-Traversal. Je sais ce qu’est le NAT-T (encapsulation des paquets ESP dans de l’UDP afin de permettre à plusieurs clients VPN derrière du NAT de monter un tunnel IPSec vers le serveur VPN), mais je ne pense pas que les constructeurs s’amuse à renommer la technique juste pour m’embrouiller. Et c’est là que je ne comprends pas…
Le VPN Pass-Through c’est du NAT-T adapté à la sauce constructeur ? Mais si c’est du NAT-T, cela veut dire qu’il faut que le serveur VPN soit compatible non ? … Bref, je veux savoir !!!
Je remercie d’avance les personnes spécialistes qui pourront m’éclairer et me retirer cette épine du pied (et m’aider dans mon stage par la même ).
Personne ne t’a répondu depuis le 25, je suis un peu étonné.
Je te réponds quand même, même si tu as déja ta réponse.
VPN passthrough signifie simplement que le routeur est compatible avec les protocoles de tunneling, il est plus juste de dire IPsec-passthrough quand il est compatible protocole ESP et pptp-passthrought lorsqu’il est compatible protocole GRE.
[quote name=‹ Raoul › date=’ 2 May 2005, 15:57’]Personne ne t’a répondu depuis le 25, je suis un peu étonné.
Je te réponds quand même, même si tu as déja ta réponse.
VPN passthrough signifie simplement que le routeur est compatible avec les protocoles de tunneling, il est plus juste de dire IPsec-passthrough quand il est compatible protocole ESP et pptp-passthrought lorsqu’il est compatible protocole GRE.
Tout simplement.
[right][post=« 355492 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Merci pour ta réponse. Une petitie question néanmoins : Lorsque tu dis « compatible » cela veut-il dire que ces routeurs permettent à plusieurs clients de faire du VPN à destination d’un même serveur VPN ?
En fait c’est là que ça se complique, IPsec-passtrhough ne veux pas dire multi-IPsec-passtrhough!
Seul les constructeur pourrons te répondre en fonction des produit sur le nombre de sessions NAT de tel ou tel protocol qui sont supportées en simultanées.
On voit par exemple certains produits tenir 3 ou 4 sessions ESP en simultanées et pas plus, d’autre une seule, etc…
Il faut donc se méfier des descriptions incomplètes sur les sites des constructeurs. Sous le terme VPN Pass-Through se cache des implémentations différentes selon les constructeurs.
En tout cas, grâce à toi, je me renseignerais plus amplement sur les fonctionnalités des produits avant achat. Merci
[quote name=‹ Nuigurumi › date=’ 23 May 2005, 21:51’]Encore un fois je te remercie.
Il faut donc se méfier des descriptions incomplètes sur les sites des constructeurs. Sous le terme VPN Pass-Through se cache des implémentations différentes selon les constructeurs.
En tout cas, grâce à toi, je me renseignerais plus amplement sur les fonctionnalités des produits avant achat. Merci
[right][post=« 361835 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Je pense plus à une limitation hardware. L’encryption/déchiffrement ça demande des ressources.
[quote name=‘philounours’ date=’ 24 May 2005, 07:47’]Je pense plus à une limitation hardware. L’encryption/déchiffrement ça demande des ressources.
[right][post=“361888”]<{POST_SNAPBACK}>[/post][/right][/quote]
Ici on parle de passthrough, donc ce n’est pas l’équipement lui-même qui chiffre/déchiffre, c’est une limitation au niveau de la gestion des différents types de sessions NAT.
Lorsque le routeur gère directement les tunnels il y a effectivement une limite mais qui doit être spécifiée sur le produit. Genre “50 tunnels paramétrables, 20 utilisables en simultané”.
Je suis tombé au boulot sur une discussion dans un groupe de news où une personne expliquait à peu près comment fonctionnait le VPN Passthrough. Contrairement à ce que j’ai lu sur beaucoup de sites, cela n’a rien à voir avec le NAT-Traversal.
Pour résumer ce que j’ai compris, le routeur réalisant du NAT/PAT va mémoriser les SPI des tunnels VPN pour pouvoir modifier les paquets IPSec de manière à ce qu’il ne soit pas invalidés.
Ensuite, il existe plusieurs implémentations du VPN Passthrough. Certaines ne permettent qu’une connexion VPN, d’autres plus « intelligentes » reconnaîssent plusieurs connexions.
D’un autre côté, le NAT-Transversal est la solution apporté au problème du NAT/PAT par l’IETF. Il est implémenté au niveau des deux hôtes de la connexion VPN : Le client et la passerelle. Il n’y a donc aucunement besoin de matériel intermédiare compatible avec le VPN. Le principe du NAT-T (en très rapide) est d’encapsuler les paquets IPSec dans des paquets UDP. Lors du passage dans le NAT/PAT, ce sera l’en-tête du paquet UDP qui sera modifié et non celui du paquet IPSec. Le paquet est décapsulé par le destinataire pour récupérer le paquet IPSec qui est analysé comme toute connexion VPN IPSec. Ce paquet n’ayant pas été modifié lors du transport, il n’y a plu s de problème d’authentification de celui-ci.
Le NAT-T dispose d’une RFC lisible sur le site de l’IETF. (Je n’ai plus le numéro sous la main, désolé).
Pour conclure, j’ajouterais que le NAT-T résoud le problème du NAT/PAT mais en apporte un autre dû au fait q’une SA IPSec est basé sur l’adresse IP, c’est-à-dire que si deux clients accédent à une même passerelle VPN derrière des réseau privé alors il y a possibilité que ceux-ci aient la même adresse privé… Mais assez de technique pour ce soir c’est le week-end !
Effectivement la fonction Passtrhought n’a rien a voir avec NAT-T.
Nat-T est une fonction des équipements IPsec qui vont eux-même encapsuler leurs trames dans des paquets UDP.
Cela ne sert que si le routeur traversé en amont n’est pas IPsec passtrhought ou si le tunnel utilise autre chose que de l’ESP en mode tunnel qui est le seul paramétrage IPsec qui supporte la translation d’adresse.