La Fibre
Télécom => Réseau => VPN => Discussion démarrée par: cetipabo le 10 novembre 2020 à 09:10:23
-
Bonjour,
je suis confronté à un petit problème dans mon entreprise. Lorsque les postes clients sous Windows 10, activent le VPN (intégré à windows), tout leur traffic passe par le VPN, meme lorsqu'ils surfent sur internet ou lorqu'ils envoient/recoivent des emails.
En fait je cherche comment configurer la connexion réseau pour que le VPN ne soit utilisé que pour accèder aux fichiers et applications qui se trouvent sur le réseau local de l'entreprise et non pour ce qui est de l'internet.
Est-ce qu'il y a un tutoriel quelque part ? tout ce que j'ai tenté de faire n'a pas fonctionné.
Sur le forum microsoft, j'ai vu quelqu'un proposer de décocher un paramètre, mais sans succès chez moi...
(https://i.imgur.com/mcKSisA.png)
Si quelqu'un a une idée ?
Merci
-
Une premier question à savoir est ce qu'il faut faire pour la résolution DNS : Si tu as des nom de domaines annoncé uniquement sur le DNS de l'entreprise, tu as peut être besoin que les requêtes DNS passent par l'entreprise. Si tu as besoin de faire un mixte des deux, le DoH dans Firefox fonctionne bien : Il tente une résolution via DoH et en cas d'échec (nom de domaine intranet) il passe la main au DNS de la machine qui doit alors faire sa requête sur le serveur de l'entreprise.
Ensuite ce serait une politique de routage par plage IP. Tu as une plage IP qui correspond aux équipements interne à l'entreprise ? (10.0.0.0/8 par exemple mais il doit y avoir des plages IP publiques en plus)
Pour informations, beaucoup de grosses boites bloquent la possibilité d'aller sur Internet tant que le VPN n'est pas monté, afin de pouvoir contrôler tous les flux qui vont sur les PC et pourvoir bloquer les flux indésirables via un équipement qui fait du man-in-the-middle. Le but recherché et d'éviter que le PC se fasse corrompre. C'est la même raison qui pousse certaines boites (c'est assez rare) à bloquer ou restreindre l'usage des ports USB.
-
Merci @vivien
Une premier question à savoir est ce qu'il faut faire pour la résolution DNS : Si tu as des nom de domaines annoncé uniquement sur le DNS de l'entreprise, tu as peut être besoin que les requêtes DNS passent par l'entreprise
Effectivement on a des dns propres a notre réseau...mais ce sont bien nos serveurs DNS qui remontent par le DHCP de la connexion VPN...je vais quand même vérifier car ca fait un petit moment que je ne me suis pas replongé dans ce problème.
-
Alors, tu avais bien raison 8)
En configurant le VPN comme sur mon image écran, le DNS utilisé n'est pas celui que j'indique dans le VPN (celui du réseau local d'entreprise), il est tout simplement ignoré par windows qui continue d'utiliser celui de la livebox.
Pour forcer l'utilisation du DNS de la société il faut forcer le metrique à 15 comme indiqué dans la solution ici :
https://superuser.com/questions/966832/windows-10-dns-resolution-via-vpn-connection-not-working
Through the GUI: Network connections, Properties, TCP/IP v4 Properties, Advanced, Set Metric to 15;
Command line: netsh int ip set interface interface="LAN CONNECTION NAME" metric=15
J'ai fait un test rapide et cela semble marcher. Merci @vivien de m'avoir pointé sur la bonne direction ;)
(https://i.imgur.com/e2TS86i.png) (https://i.imgur.com/OJmTZUE.png)
un petit Nslookup pour vérifier que je suis bien sur le bon DNS :
(https://i.imgur.com/bPifcbC.png)
-
Bon alors ca marche à 99.9%
on a des serveurs qui se trouvent dans la plage d'ip 192.168.1.0/24
Bravo à l'admin réseau de notre groupe qui a eu cette idée...ca correspond à la plage par défaut des ip de nos livebox, du coup quand je ping un serveur dans cette plage d'ip ca ne répond pas, la recherche se fait sur mon réseau local lui aussi en 192.168.1.0/24
je me vois mal d'aller demander a tous les utilisateurs d'aller changer leur DHCP dans leur box...
Merde ! :-\
-
je viens de faire quelques tests. j'ai basculé ma box sur l'ip 192.168.250.1 avec DHCP sur 192.168.250.10 à 100
Avec Advanced ip scanner, lorsque je scanne la plage d'ip 192.168.1.0/24 ca scan toujours mon réseau local ?? pourtant j'ai reboot mon PC après les modifs.
Avec VPN Activé :
Lorsque je fais un ping livebox.home ca répond bien : 192.168.250.1
Lorque je ping lan.home ca répond : 192.168.1.1 ??
Je ne vois pas de route susceptible de perturber...
IPv4 Table de routage
===========================================================================
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.250.1 192.168.250.11 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.8.0 255.255.255.0 192.168.8.254 192.168.8.216 16
192.168.8.216 255.255.255.255 On-link 192.168.8.216 271
192.168.50.0 255.255.255.0 On-link 192.168.50.1 291
192.168.50.1 255.255.255.255 On-link 192.168.50.1 291
192.168.50.255 255.255.255.255 On-link 192.168.50.1 291
192.168.100.0 255.255.255.0 On-link 192.168.100.1 291
192.168.100.1 255.255.255.255 On-link 192.168.100.1 291
192.168.100.255 255.255.255.255 On-link 192.168.100.1 291
192.168.250.0 255.255.255.0 On-link 192.168.250.11 281
192.168.250.11 255.255.255.255 On-link 192.168.250.11 281
192.168.250.255 255.255.255.255 On-link 192.168.250.11 281
213.215.xx.xx 255.255.255.255 192.168.250.1 192.168.250.11 26
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.100.1 291
224.0.0.0 240.0.0.0 On-link 192.168.50.1 291
224.0.0.0 240.0.0.0 On-link 192.168.250.11 281
224.0.0.0 240.0.0.0 On-link 192.168.8.216 271
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.100.1 291
255.255.255.255 255.255.255.255 On-link 192.168.50.1 291
255.255.255.255 255.255.255.255 On-link 192.168.250.11 281
255.255.255.255 255.255.255.255 On-link 192.168.8.216 271
===========================================================================
Itinéraires persistants :
Aucun
-
on a des serveurs qui se trouvent dans la plage d'ip 192.168.1.0/24
Bravo à l'admin réseau de notre groupe qui a eu cette idée...ca correspond à la plage par défaut des ip de nos livebox, du coup quand je ping un serveur dans cette plage d'ip ca ne répond pas, la recherche se fait sur mon réseau local lui aussi en 192.168.1.0/24
Même les boites qui sont en pénurie d'IPv4 privées (il y en a de plus en plus - mais cela reste de grosses boites avec des milliers de sites) ne mettent pas de serveur sur 192.168.0.0/16
Les autres plages sont déjà toutes attribuées ?
Nouvelle plage IP privée "publiques, mais globalement pas uniques" : 100.64.0.0/10
Plusieurs gros opérateurs ont des problématiques d'épuisement des IP privées, des IP qui sont toujours en 10.0.0.0/8 et certains utilisent la petite plage 172.16.0.0/12.
Je trouve étonnant qu'ils en pensent pas a utiliser 100.64.0.0/10 définit en 2012 par la RFC 6598.
C'est une plage /10, ce qui permet d'avoir 4 194 304 IPv4 utilisables.
Récapitulatif des plages d'IP privées :
- 10.0.0.0/8 (10.0.0.0 – 10.255.255.255) - RFC 1918 : 16 777 216 IPv4
- 100.64.0.0/10 (100.64.0.0 - 100.127.255.255) - RFC 6598 : 4 194 304 IPv4
- 172.16.0.0/12 (172.16.0.0 – 172.31.255.255) - RFC 1918 : 1 048 574 IPv4
- 192.168.0.0/16 (192.168.0.0 – 192.168.255.255) - RFC 1918 : 65 536 IPv4
- fd00::/8 - RFC 4193
Total : 22 085 630 IPv4
Plages IP pour le Link-local :
- 169.254.0.0/16 sans le premier et dernier /24 (169.254.1.0 to 169.254.254.255) - RFC 6890 et RFC 3927
- fe80::/10 - RFC 4862
100.64.0.0/10 est utilisé pour les IP des routeurs Coriolis :
$ mtr -zrwc100 185.128.142.190
Start: Sun Oct 15 12:37:27 2017
HOST: lafibre Loss% Snt Last Avg Best Wrst StDev
1. AS43142 portevlan.adeli.biz 0.0% 100 0.3 0.3 0.2 2.7 0.3
2. AS??? 192.168.24.147 0.0% 100 0.2 0.1 0.1 0.2 0.0
3. AS??? equinix.net.ccs.coriolis.fr 0.0% 100 6.6 6.6 6.3 12.8 0.6
4. AS??? 100.126.0.100 0.0% 100 7.3 7.2 6.5 7.8 0.0
5. AS??? 100.126.0.32 0.0% 100 6.8 7.1 6.5 7.8 0.0
6. AS??? 100.127.21.1 0.0% 100 38.8 39.2 38.6 69.0 3.2
7. AS60032 185.128.142.190 0.0% 100 8.3 8.3 8.2 8.5 0.0
Je suppose que Adeli n'a pas filtrée cette plage sur ces routeurs, ce qui me permet de voir quels sont les IP utilisées.
-
Les autres plages sont déjà toutes attribuées ?
non elles ne le sont pas toutes, mais comme on est que la filiale d'un groupe j'ai pas le pouvoir de leur dire de ne pas attribuer la plage 192.168.1.0/24 car c'est justement le sous réseau de notre siège :-X et donc là ou se trouve les principaux serveurs.
Il faudrait que je trouve un moyen pour ajouter une route statique qui renvoie sur le reseau d'entreprise lorsqu'on va sur 192.168.1.0/24
il me semble qu'il existe des options DHCP pour faire cela:
https://tools.ietf.org/html/rfc3442
Par contre étant donné que j'ai basculé mon réseau chez moi sur une autre plage d'ip, je ne comprends pas pourquoi je n'atteinds toujours pas le sous réseau en 192.168.1.0/24
le problème est ailleurs du coup ?
-
Bon j'ai compris mon problème. Le VPN devrait envoyer toutes les routes de notre groupe, et il n'envoie que celle de notre filiale.
-
Il n'y a pas la possibilité d'utiliser une passerelle forticlient/ipdiva ? C'est ce qui est utilisé dans mon entreprise, et seul le trafic à destination interne passe par le vpn