Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Sécurité

Pb VPN / Ipcop

Le
bast
Bonjour,
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.

Quelqu'un peut-il m'aider ?
Merci.
Sebastien
Lire les 6 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
VANHULLEBUS Yvan
Le #231650
bast
Bonjour,
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.


Euh, l'IPCop est devant le PC, ou sur le PC ?


Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.


C'est de l'IPSec ? du PPTP ?

Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer
(de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en
fonction.

En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes
supplementaires.....

Pour plus d'explications et plus d'elements de solutions.... il nous
faudrait plus de details !!


A +

VANHU.

Répondre en citant
bast
Le #231649
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.


Euh, l'IPCop est devant le PC, ou sur le PC ?



L'IPCOP est sur un PC dédié situé devant mon PC client.

Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne
très


bien sans le firewall IPcop. C'est à dire si je me branche directement
sur


mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien
mais


je n'ai pas reseau.


C'est de l'IPSec ? du PPTP ?


il me semble que le VPN avec securemote de checkpoint, c'est du PPTP... J'en
suis pas sur... Comment peut-on en être certain ?

Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer
(de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en
fonction.

Par défaut, l'IPCop laisse tout sortir... donc il ne devrait pas y avoir de

pb.
Je précise que je n'utilise pas le VPN d'IPCop. Son rôle est simplement
celui de pare-feu.

En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes
supplementaires.....


Effectivement, il y a du NAT pour compliquer un peu la chose...

Pour plus d'explications et plus d'elements de solutions.... il nous
faudrait plus de details !!


en gros voici le shema :

PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)


J'espère que j'ai été plus clair.
Merci de ton aide en tout cas...
Seb.


Répondre en citant
Djoume SALVETTI
Le #231630
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes
supplementaires.....


Effectivement, il y a du NAT pour compliquer un peu la chose...

Pour plus d'explications et plus d'elements de solutions.... il nous
faudrait plus de details !!


en gros voici le shema :

PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)


Ok, donc si c'est de l'IPSec il faut :

Source : XP
Destination : Checkpoint

TCP/264 (Topology Download)
IPSEC ESP (IP type 50)
IPSEC AH (IP type 51)
UDP 2746 (NAT-T)

SecureClient specific connections:
- FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive
packets
- FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to
Policy Server protocol
- FW1_sds_logon (TCP port 18232) - used for SecureClient's Software
Distribution Server download protocol

--
Djoumé SALVETTI


Répondre en citant
bast
Le #231629

PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)


Ok, donc si c'est de l'IPSec il faut :


Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?


Source : XP
Destination : Checkpoint

TCP/264 (Topology Download)
IPSEC ESP (IP type 50)
IPSEC AH (IP type 51)
UDP 2746 (NAT-T)

SecureClient specific connections:
- FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive
packets
- FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to
Policy Server protocol
- FW1_sds_logon (TCP port 18232) - used for SecureClient's Software
Distribution Server download protocol



Répondre en citant
Djoume SALVETTI
Le #231623

PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)


Ok, donc si c'est de l'IPSec il faut :


Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?


Je ne connais pas le client secure remote, mais tu peux toujours faire
un tcpdump depuis le fw IPCOP en même temps que tu tentes une connexion
VPN pour voir quel type de traffic circule.

--
Djoumé SALVETTI



Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme