Forum Linux.debian/ubuntu VLAN et tunnel IPSEC

Posté par  .
Étiquettes : aucune
0
1
déc.
2008
Bonjour tout le monde,

Je dois sécuriser les communications entre différents sous-réseaux. Jusque là, pas de soucis, j'arrive à crypter les flux avec un tunnel ipsec en esp. Cependant j'ai plusieurs VLANs et j'aimerai savoir si vous saviez comment faire pour propager les VLAN d'un sous-réseau à l'autre à travers le tunnel IPSEC. J'avais pensé à l2tp mais les gateway utilisées (netasq F200) ne le supporte pas...Que me conseillerez vous?

Merci d'avance,

Valistar
  • # propagation de VLAN sur des réseaux distants.

    Posté par  . Évalué à 1.

    L2TP est le seul protocol que je connais qui puisse transporter du niveau2 sur de l'IP...
    A moins de changer les passerelle pour une qui embarque un LAC/LNS...
    Si une autre solution existe je veux bien savoir laquelle!
    • [^] # Re: propagation de VLAN sur des réseaux distants.

      Posté par  . Évalué à 2.

      openpvn en tap ?
      • [^] # Re: propagation de VLAN sur des réseaux distants.

        Posté par  . Évalué à 1.

        Effectivement ca semble possible de transporter au moins de l'ARP avec openvpn.... c'est fous tou ce que fait ce truc!
        • [^] # Re: propagation de VLAN sur des réseaux distants.

          Posté par  . Évalué à 2.

          C'est surtout: qu'est ce que ça ne fait pas :-)

          Le truc qui m'a tué il y a quelque temps c'est la ligne de commande "interne" qui permet de tout faire sans avoir à rien relancer. Bien pratique chez nous avec nos 30 sites où il n'est pas question de déconnecter pour faire joujou.
    • [^] # Re: propagation de VLAN sur des réseaux distants.

      Posté par  . Évalué à 2.

      Quelques contre-exemples:
      - GRE
      - PPTP
      - MPLS ATOM

      Je ne mentionne pas les trucs exotiques...
      • [^] # Re: propagation de VLAN sur des réseaux distants.

        Posté par  . Évalué à 1.

        GRE et PPTP? pour faire quoi?
        • [^] # Re: propagation de VLAN sur des réseaux distants.

          Posté par  . Évalué à 2.

          Ca permet de tunneler du niveau 2. Tu avais l'air de prétendre qu'il n'y a que L2TP qui sache faire ça, or c'est complètement faux.
          • [^] # Re: propagation de VLAN sur des réseaux distants.

            Posté par  . Évalué à 1.

            tunneler du niveau 2 dans un tunnel PPTP? comment fais tu ca? ca m'intéresse assez...
            Quels protocols de niveau 2 peut on tunneler ainsi?
          • [^] # Re: propagation de VLAN sur des réseaux distants.

            Posté par  . Évalué à 1.

            Quant à GRE...
            from Wikipedia:
            Generic Routing Encapsulation (GRE) is a tunneling protocol developed by Cisco that can encapsulate a wide variety of network layer protocol packet types inside IP tunnels

            et network layer c'est déja la couche 3!
            • [^] # autoflagelation

              Posté par  . Évalué à 1.

              Je viens de checker les RFC de GRE, et mea culpa mea maxima culpa!
              Il est possible de transporter certaines trames de niveau 2 (frame relay, avec GRE (mais rien qui permette de propager du VLAN à priori)

              Un blame pour moi, un blame pour wikipedia
              • [^] # Re: autoflagelation

                Posté par  . Évalué à 2.

                On peut tout à fait bridger entre une interface Ethernet et un tunnel GRE. Le tagging 802.1Q est juste une entête de 32-bits qui vient s'intercaler (ethertype 0x8100 + n° du VLAN + champ CoS).

                Pour au-dessus, par rapport à PPTP: PPTP s'appuie sur PPP, on peut aussi bridger sur PPP.
                • [^] # Re: autoflagelation

                  Posté par  . Évalué à 1.

                  ... moi je n'arrive pas a bridger une ppp (en fait une connexion pptp comme se que tu décrit) et une ethernet... quelque chose de particulier à mettre en oeuvre:

                  ~$ sudo brctl addbr br0
                  ~$ sudo brctl addif br0 eth1
                  ~$ sudo brctl addif br0 ppp0
                  can't add ppp0 to bridge br0: Invalid argument
                  • [^] # Re: autoflagelation

                    Posté par  . Évalué à 2.

                    Il faut voir si cette implémentation en particulier (linux) le supporte, j'aurais tendance à dire non en voyant le message. Je jeterai un coup d'oeil dans le code de brctl ça peut être intéressant.

                    Tu as essayé avec une interface GRE ? J'ai vu qu'il y a eu des patches (pour du noyau 2.6) pour supporter ce genre de bridging, tu auras peut-être plus de succès.
  • # Merci

    Posté par  . Évalué à 1.

    Ok merci, je vais essayer de voir tout cela :D
    Bonne soirée

    PS : est-il possible de propager les VLANS (sans IPSEC) entre passerelles sans tagging? (normalement non, mais le tagging autorise le routage inter vlan dans les réseaux privés derrière les passerelles alors que je ne le veux pas)
  • # quel proto

    Posté par  . Évalué à 1.

    au fait quel protocol utilises tu pour propager tes VLANs?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.