Auteur Sujet: Monter tunnel ipsec entre ma box et un site distant. (Lu 1531 fois)

Nh3xus · « **Réponse #12 le:** 06 février 2024 à 18:02:39 »

Dans ce cas, tu prends un routeur que tu mets derrière la box, tu fais la redirection des ports UDP pour IKE / NAT-Traversal vers l'IP de ce routeur, puis tu configures les Phases 1 et 2 de ton tunnel IPSec des deux côtés : Routeur et Fortigate.

zoc · « **Réponse #13 le:** 07 février 2024 à 08:52:39 »

Citation de: Solidus le 06 février 2024 à 16:30:00

je peux pas juste installer le client OPENVPN, et depuis ce client, monter le tunnel IPSEC avec le Firewall distant ?

OPENVPN ce n'est justement pas de l'IPSEC.

Solidus · « **Réponse #14 le:** 07 février 2024 à 11:35:20 »

je pensais justement qu'on pouvait monter un tunnel IPSEC avec OPENVPN, je voyais ca comme un client VPN

zoc · « **Réponse #15 le:** 07 février 2024 à 12:35:16 »

Avec un client OPENVPN on monte des tunnels openvpn

Steph · « **Réponse #16 le:** 07 février 2024 à 13:19:57 »

Citation de: zoc le 07 février 2024 à 12:35:16

Avec un client OPENVPN on monte des tunnels openvpn

J'aime quand c'est simple : Je comprends tout.

Solidus · « **Réponse #17 le:** 07 février 2024 à 14:03:43 »

merci à tous pour les réponses en tout cas je dormirai moins con ce soir.
Me reste plus qu'à monter un tunnel IPSEC avec un routeur derrière ma box vers le fortigate.

Solidus · « **Réponse #18 le:** 09 février 2024 à 16:59:52 »

Citation de: Nh3xus le 06 février 2024 à 18:02:39

Dans ce cas, tu prends un routeur que tu mets derrière la box, tu fais la redirection des ports UDP pour IKE / NAT-Traversal vers l'IP de ce routeur, puis tu configures les Phases 1 et 2 de ton tunnel IPSec des deux côtés : Routeur et Fortigate.

Voici ce que je veux mettre en place

Livebox >> Routeur IPSEC (je branche le routeur sur le switch de ma livebox, et je mets le port du routeur en IP DHCP afin qu'il recup une IP du POOL DHCP de ma livebox)
Et j'ouvre sur mon interface de ma livebox les ports UDP 400+ 4500 qui vont bien vers l'ip de mon routeur

C'est possible ? je ne veux pas mettre ma livebox en mode bridge, ou alors je dois passer ma livebox en Bridge obligatoirement ?

Kana-chan · « **Réponse #19 le:** 09 février 2024 à 17:14:05 »

Bonjour,
La Livebox ne fait pas bridge, en GP.
Sinon, il serait intéressant de faire un bail statique pour l'adresse MAC de votre Routeur IPSEC pour le DHCP de la Livebox.
Comme cela, il aurait tout le temps la même adresse IP.

Solidus · « **Réponse #20 le:** 09 février 2024 à 21:51:10 »

Une personne pour m'aider svp ? mon routeur c'est un cisco je suis en CLI.

Voici la conf

interface FastEthernet4
ip address dhcp
duplex auto
speed auto

ip nat inside source list 100 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 IP "PUBLIQUE FORTIGATE"
!
ip access-list extended TRAFFIC
permit ip 192.168.1.0 0.0.0.255 172.16.131.0 0.0.0.255
permit ip 172.16.131.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list 100 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 "PUBLIQUE FORTIGATE"
!

crypto isakmp policy 1
authentication pre-share
group 14
crypto isakmp key XXX address "IP PUBLIQUE FORTIGATE"
!
!
crypto ipsec transform-set FORTIGATE esp-3des esp-sha256-hmac
mode tunnel
!
!
!
crypto map Y 1 ipsec-isakmp
set peer "IP PUBLIQUE FORTIGATE"
set transform-set FORTIGATE
match address TRAFFIC

Pour info, le routeur cisco recupere bien une IP privé derriere ma livebox en 192.168.1.13 ( je l'ai fixe dans le bail DHCP)

Solidus · « **Réponse #21 le:** 09 février 2024 à 22:53:59 »

Voici le schema.

Mais comme ma box n'est pas en bridge, je ne sais pas comment le gerer sur mon cisco et ainsi permettre de monter le tunnel avec le forti.

zoc · « **Réponse #22 le:** 10 février 2024 à 09:52:15 »

Est-ce que le Cisco est bien dans la DMZ de la Livebox ?

Solidus · « **Réponse #23 le:** 10 février 2024 à 11:38:30 »

Non je ne l'ai pas mise en dmz.
Je pensais que juste l'ouverture des ports sur la livebox5 ike et esp à destination de l'ip 192.168.1.13 de mon Cisco suffit