La Fibre
Télécom => Réseau => 
VPN => Discussion démarrée par: JrNV le 03 septembre 2020 à 15:45:49
-
Bonjour à tous,
Je m’occupe du réseau dans une PME d’une 40aine de personne, et là je butte sur un problème que je n’arrive pas à résoudre, même après de nombreuses recherches, donc je cherche de l’aide sur ce forum qui a l’air de compter pas mal d’experts !
Voici la configuration actuelle :
Le réseau local est géré par un routeur Linksys LRT224 qui fait DHCP, firewall et VPN. Il est connecté en dual WAN sur une Livebox fibre Orange Pro d’un coté et sur une vieille box Numéricable en fail-over de l’autre. Il y a donc le vrai réseau local (en 10.10.10.*) et deux mini-réseaux à deux machines entre chaque ports WAN et chaque box (192.168.10.* et 192.168.11.*). Sur le routeur Linksys LRT224 un VPN IPSec est défini (avec l’option NAT Traversal) et les utilisateurs se connectent dessus via le client VPN de Shrew. Ils peuvent alors accéder aux ressources locales, en particulier un serveur samba. Jusqu’ici tout fonctionne bien, mais depuis le Covid, au lieu d’avoir quelques utilisateurs de temps en temps sur le VPN on est passé à des dizaines d’utilisateurs simultanés tous les jours. Et là quelque chose ne tient pas la charge, les connexions au VPN sont instables, elles n’aboutissent pas ou time-out.
Le Linksys LRT224 est-il sous-dimensionné pour cette charge ? Est-ce le double NAT qui détériore le service ? Sachant qu’on n’utilise ni la TV ni le téléphone Orange et qu’un boitier ONT est installé, virer la Livebox est aussi une option que j’envisage. Mais est-ce que ça changera quelque chose ? Ou si vous avez une autre idée…
Dites moi s’il manque des infos. Merci d’avance pour vos idées de solution !
-
Le LRT224 est donné pour 5O tunnels IPsec et 5 tunnels OpenVPN.
https://downloads.linksys.com/downloads/datasheet/fr_eu/LRT214_LRT224_Francais.pdf
Si les dizaines d'utilisateur fleurtent avec 50...
Que disent les logs du routeur?
-
https://www.linksys.com/us/support-article?articleNum=291979
IPsec - DES, 3DES, AES Encryption, MD5, SHA2 Authentication (SHA2 supports the SSL / TLS protocol on LRT routers. Currently IPsec Gateway-to-Gateway does not support SHA2 in the Linksys LRT214 and LRT224.)
50 IPsec site-to-site tunnels
VPN backup for site-to-site tunnels
5 SSL tunnels (supports OpenVPN)
5 PPTP tunnels
110 Mbps IPsec throughput
12 Mbps SSL throughput
si ca timeout/coupe: c'est la limite du nombre de tunnels.
si ca connecte mais c'est lent: c'est le débit chiffré cumulé qui est atteint
-
Merci pour vos réponses.
Là par exemple j'ai demandé à quelques utilisateurs de se connecter en même temps, ça donne ça les logs du VPN :
Sep 3 16:03:10 2020 VPN Log (grpips1)[21] 10.10.10.0/24=== ...78.219.24.18===10.121.19.1/32 #425: [Tunnel Established] IPsec SA established {ESP=>0x98523e4a < 0x66946a80 NATOA=0.0.0.0}
Sep 3 16:03:10 2020 VPN Log (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===? #426: [Tunnel Established] ISAKMP SA established
Sep 3 16:03:10 2020 VPN Log (c2gips2)[1] 81.66.198.101 #427: [Tunnel Established] ISAKMP SA established
Sep 3 16:03:10 2020 VPN Log (c2gips2)[1] 81.66.198.101:4500 #429: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1
Sep 3 16:03:10 2020 VPN Log (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #431: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1
Sep 3 16:03:10 2020 VPN Log (c2gips2)[1] 81.66.198.101:4500 #429: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1
Sep 3 16:03:10 2020 VPN Log (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #431: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1
Sep 3 16:03:10 2020 VPN Log (c2gips2)[1] 81.66.198.101:4500 #429: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1
Sep 3 16:03:11 2020 VPN Log (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #431: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1
Sep 3 16:03:12 2020 VPN Log (grpips1)[21] 10.10.10.0/24=== ...78.219.24.18===10.121.19.1/32: [Tunnel Disconnected] instance with peer 78.219.24.18 {isakmp=#0/ipsec=#0}
Sep 3 16:03:13 2020 VPN Log (c2gips1)[9] 82.123.96.50:39752: [Tunnel Disconnected] instance with peer 82.123.96.50 {isakmp=#0/ipsec=#0}
Sep 3 16:03:13 2020 VPN Log (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #469: [Tunnel Established] ISAKMP SA established
Sep 3 16:03:13 2020 VPN Log (c2gips1)[11] 82.123.96.50:1024 #471: [Tunnel Established] ISAKMP SA established
Sep 3 16:03:14 2020 VPN Log (c2gips1)[11] 82.123.96.50:4500 #475: [Tunnel Established] IPsec SA established {ESP=>0x34ebd8a0 < 0xb9be2153 NATOA=0.0.0.0}
Sep 3 16:03:18 2020 VPN Log (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #477: [Tunnel Established] IPsec SA established {ESP=>0x324c907c < 0xac9ac2d0 NATOA=0.0.0.0}
Et coté utilisateurs que des "negociation time out". Il y a du avoir une dizaine d'utilisateurs max à essayer de se connecter.
https://www.linksys.com/us/support-article?articleNum=291979
si ca timeout/coupe: c'est la limite du nombre de tunnels.
si ca connecte mais c'est lent: c'est le débit chiffré cumulé qui est atteint
Pas de problème de lenteur, juste des déconnexion / timeout. On est loin des 50 utilisateurs, c'est sûr. Les connexions VPN IPSec Client-to-gateway sont inclus dans les IPsec site-to-site tunnels ? Parce que je ne vois pas de limite indiqué sur ceux là.
-
Les connexions VPN IPSec Client-to-gateway sont inclus dans les IPsec site-to-site tunnels ? Parce que je ne vois pas de limite indiqué sur ceux là.
oui c'est 50 connexions IPSec (client-to-gateway ou site-to-site) et 5 en OpenVPN. ce n'est pas la meme chose.
tes clients vpn tu les vois ici: http://ui.linksys.com/LRT224/v1.0.2.06/openvpn_summary.htm
ou la : http://ui.linksys.com/LRT224/v1.0.2.06/vpn_summary.htm
-
Ils sont dans les connexion IPSec (vpn_summary)
J'ai par ailleurs configuré des connexions Open VPN, qui elles fonctionnent bien, mais comme il ne peut en avoir que 5 tunnels OpenVPN en même temps, ça ne suffit pas.
-
les lifetime ipsec sont réglés a combien ?
reboot/mise a jour déja fait j'imagine ?
sinon bug alors.
apres 40 personnes sur un LRT224 c'est juste quand meme.
-
Phase 1 SA Life Time : 28800
Phase 2 SA Life Time : 3600
et
Dead Peer Detection Intervalseconds : 20s (mais cela ne semble pas faire de différence).
Oui le routeur est à jour et rebooté de temps en temps.
Auriez-vous une recommandation de routeur dual Wan + VPN assez costaud pour assurer une 50aine de connexions VPN simultanées ?
-
Auriez-vous une recommandation de routeur dual Wan + VPN assez costaud pour assurer une 50aine de connexions VPN simultanées ?
pas vraiment car je sépare toujours le vpn du routage.
Si y'a un serveur allumé 24/7 c'est plus simple souvent d'assurer le vpn sur lui. D'autant plus si c'est du Windows partout on peut utiliser l'AD pour régler les droits d’accès au VPN.
En solution 'VPN hardware appliance' y'a souvent 'une grosse marge' pour pas grand chose donc les équipements (type fortigate) coûtent chers.
Cela dit apres une PME de 40 personnes doit pouvoir se payer un fortinet, un cisco ou autre (mais ce monde est plein de revendeurs gourmands qui abusent des PME ignorantes, donc attention :) )
Ca c'est l'ancien monde.
De nos jours je recommanderai plutôt un truc comme https://tailscale.com/ par exemple. c'est ultra simple, ultra rapide à mettre en oeuvre (installer un binaire et se connecter avec un compte email). Si on est bon admin, on peut installer et configurer wireguard soit même (tailscale.com est un couche au dessus de wireguard pour gerer les clés avec partir de comptes emails).
Dans ton cas il faut installer le client sur un serveur ou un pc allumé 24/7 sur site.
Sinon on peut juste donner l'accès a des applications/services (typiquement un site web intranet par exemple) via Cloudflare Teams, c'est gratuit pour jusqu’à 50 users: https://www.cloudflare.com/teams-pricing/
-
Merci pour la recommandation !
Il y a des serveurs sous Debian derrière, donc je vais me pencher sur Wireguard qui a l'air assez simple à mettre en place. Le double NAT m'inquiète un peu pour les performances, mais on verra bien. J'avais mis en place un setup similaire avec OpenVPN il y a genre 10 ans et les performances étaient vraiment horribles, du coup je m'étais dit que je partirais sur une solution hardware la prochaine fois. Mais c'était il y a bien longtemps, avec de l'ADSL, etc.
-
Wireguard peut tirer parti des accélérations matérielles ?
-
Wireguard peut tirer parti des accélérations matérielles ?
non pas celles d'AES-NI.
Wireguard utilse ChaCha20 car ca marche partout rapidement , surtout sur mobile.
Mais sur les CPU récents qui ont AVX ca l'utilise.
du coup cela bat AES meme sur les cpu qui l'ont: https://www.wireguard.com/performance/
un test sur 10Gbps: https://www.reddit.com/r/WireGuard/comments/gulp9i/wireguard_over_10gbit_link/
-
par exemple: j'obtient 200Mbps+ avec Wireguard sur un pauvre routeur Ubiquiti ER-X a 50€ (reflashé sous OpenWrt).
(https://i.imgur.com/HrPA4X0.png)
-
Bonjour,
Pour vous tenir au courant, j'ai donc déployé WireGuard sur un des serveurs et ça marche super bien, c'est stable et rapide. La config est simple, le client (windows) est bien clair. Tout est à gérer à la main, mais en quelques lignes de code bash c'était réglé. Gros avantage c'est que comme c'est sur un serveur, on peut scripter le truc, ajouter du debug, tranférer automatiquement la config sur un serveur de fail-over, etc.
Merci beaucoup à tous et à kgersen en particulier :)
-
de rien !
Ce n'est pas pour rien que Linus Torvald qui est souvent contre l'ajout de nouveautés dans Linux a accepté que Wireguard soit inclus dans le kernel Linux.
déja en 2018:
Can I just once again state my love for it and hope it gets merged
soon? Maybe the code isn't perfect, but I've skimmed it, and compared
to the horrors that are OpenVPN and IPSec, it's a work of art.
https://lists.openwall.net/netdev/2018/08/02/124
-
Bonjour à tous, et super sujet. J'ai également un LRT 224
Je cherche egalement à monter un VPN sur mon reseau qui est sur AD2012 avec Windows Server 2012.
Quelle différence entre openvpn et VPN tout court ?
Quelle configuration avez vous mis en place sur la livebox ?
Merci de votre retour.
-
VPN est un terme générique, pour "Virtual Private Network", OpenVPN est un protocole en particulier. Il existe des tonnes de protocoles. OpenVPN est un peu vieillot dans sa conception, quoi que mis à jour récemment avec des algorithmes modernes. Il fonctionne très bien et c'est celui où tu trouveras le plus de ressources sur internet.
-
Ok merci pour le retour.
Sur le LRT224,
il y a alors plusieurs protocole VPN, OpenVPN et Easylink VPN.
Pour connecter des clients (des personnes qui sont en télétravail) en VPN (connexion sécurisée) pour acceder aux fichiers qui sont sur le serveur Windows Server 2012 avec les rectrictions qui sont propres à chaque personne (en local LAN), lequel dois-je utiliser ?
Que faire sur la liveBox ? Faire du NAT, donc ouvrir des ports ? 1194 par defaut en VPN. Ouvrir les ports sur l'IP du routeur LRT224 ou sur l'IP du serveur ?
-
Quel logiciel utilisé sur le poste des clients, Shrew, OpenVPN, autre ?
Avez-vous suivi un tuto en particulier pour vous aider ?
-
Ne prenez pas mal ma remarque, mais vous ne semblez pas avoir les connaissances nécessaires pour mettre cela en place, et il s'agit quand même d'un point très sensible en terme de sécurité pour votre entreprise. Mon conseil serait donc de faire intervenir un professionnel qui pourra vous guider et mettre cela en place en toute sécurité.
Sinon il faut absolument se documenter et pas faire n'importe quoi.
-
Je maitrise l'informatique, je veux juste comprendre le principe et la démarche à suivre.
Merci de votre aide.
-
Je maitrise l'informatique, je veux juste comprendre le principe et la démarche à suivre.
Donc, non, vous ne maitrisez pas....
Maitriser l'informatique ça ne veut rien dire. Nos commerciaux maitrisent l'informatique il parait, mais ça veut juste dire qu'ils savent (mal) utiliser Word...
-
LOL j'ai réussi à monter la connexion à mon serveur avec OpenVPN (pour l'instant juste un mot de passe pour les tests).
Une fois le lien distant établi, je ping mon serveur de données mais sans succès. Je ne comprends pas pourquoi et je veux y accéder.
-
Merci j'ai en effet fait fausse route. J'ai monté un VPN IPSEC (onglet VPN -> Client to Gateway) avec le tuto suivant à la lettre :
https://community.linksys.com/t5/Linksys-Small-Business/LRT224-VPN-client-2-Gateway-Connected-but-cant-ping-remote/td-p/964624
Et je ping sans problème mon serveur de données et accède à mes données.
Merci de votre douteuse sympathie... et d'avoir cru en moi et surtout l'entre aide...