Forum Linux.debian/ubuntu VLAN et tunnel IPSEC

Posté par Valistar le 01 décembre 2008 à 17:52.

Étiquettes : aucune

déc.

2008

Bonjour tout le monde,

Je dois sécuriser les communications entre différents sous-réseaux. Jusque là, pas de soucis, j'arrive à crypter les flux avec un tunnel ipsec en esp. Cependant j'ai plusieurs VLANs et j'aimerai savoir si vous saviez comment faire pour propager les VLAN d'un sous-réseau à l'autre à travers le tunnel IPSEC. J'avais pensé à l2tp mais les gateway utilisées (netasq F200) ne le supporte pas...Que me conseillerez vous?

Merci d'avance,

Valistar

# propagation de VLAN sur des réseaux distants.

Posté par Chapellon Alexandre le 01 décembre 2008 à 23:24. Évalué à 1.

L2TP est le seul protocol que je connais qui puisse transporter du niveau2 sur de l'IP...
A moins de changer les passerelle pour une qui embarque un LAC/LNS...
Si une autre solution existe je veux bien savoir laquelle!
- [^] # Re: propagation de VLAN sur des réseaux distants.
  
  Posté par fcartegnie le 02 décembre 2008 à 03:40. Évalué à 2.
  
  openpvn en tap ?
  - [^] # Re: propagation de VLAN sur des réseaux distants.
    
    Posté par Chapellon Alexandre le 02 décembre 2008 à 04:32. Évalué à 1.
    
    Effectivement ca semble possible de transporter au moins de l'ARP avec openvpn.... c'est fous tou ce que fait ce truc!
    - [^] # Re: propagation de VLAN sur des réseaux distants.
      
      Posté par Kerro le 04 décembre 2008 à 01:42. Évalué à 2.
      
      C'est surtout: qu'est ce que ça ne fait pas :-)
      
      Le truc qui m'a tué il y a quelque temps c'est la ligne de commande "interne" qui permet de tout faire sans avoir à rien relancer. Bien pratique chez nous avec nos 30 sites où il n'est pas question de déconnecter pour faire joujou.
- [^] # Re: propagation de VLAN sur des réseaux distants.
  
  Posté par galactikboulay le 03 décembre 2008 à 17:14. Évalué à 2.
  
  Quelques contre-exemples:
  - GRE
  - PPTP
  - MPLS ATOM
  
  Je ne mentionne pas les trucs exotiques...
  - [^] # Re: propagation de VLAN sur des réseaux distants.
    
    Posté par Chapellon Alexandre le 05 décembre 2008 à 08:10. Évalué à 1.
    
    GRE et PPTP? pour faire quoi?
    - [^] # Re: propagation de VLAN sur des réseaux distants.
      
      Posté par galactikboulay le 05 décembre 2008 à 09:33. Évalué à 2.
      
      Ca permet de tunneler du niveau 2. Tu avais l'air de prétendre qu'il n'y a que L2TP qui sache faire ça, or c'est complètement faux.
      - [^] # Re: propagation de VLAN sur des réseaux distants.
        
        Posté par Chapellon Alexandre le 05 décembre 2008 à 10:11. Évalué à 1.
        
        tunneler du niveau 2 dans un tunnel PPTP? comment fais tu ca? ca m'intéresse assez...
        Quels protocols de niveau 2 peut on tunneler ainsi?
      - [^] # Re: propagation de VLAN sur des réseaux distants.
        
        Posté par Chapellon Alexandre le 05 décembre 2008 à 10:20. Évalué à 1.
        
        Quant à GRE...
        from Wikipedia:
        Generic Routing Encapsulation (GRE) is a tunneling protocol developed by Cisco that can encapsulate a wide variety of network layer protocol packet types inside IP tunnels
        
        et network layer c'est déja la couche 3!
        
        [^] # autoflagelation
        
        Posté par Chapellon Alexandre le 05 décembre 2008 à 10:30. Évalué à 1.
        
        Je viens de checker les RFC de GRE, et mea culpa mea maxima culpa!
        Il est possible de transporter certaines trames de niveau 2 (frame relay, avec GRE (mais rien qui permette de propager du VLAN à priori)
        
        Un blame pour moi, un blame pour wikipedia
        
        [^] # Re: autoflagelation
        
        Posté par galactikboulay le 05 décembre 2008 à 12:42. Évalué à 2.
        
        On peut tout à fait bridger entre une interface Ethernet et un tunnel GRE. Le tagging 802.1Q est juste une entête de 32-bits qui vient s'intercaler (ethertype 0x8100 + n° du VLAN + champ CoS).
        
        Pour au-dessus, par rapport à PPTP: PPTP s'appuie sur PPP, on peut aussi bridger sur PPP.
        
        [^] # Re: autoflagelation
        
        Posté par Chapellon Alexandre le 05 décembre 2008 à 18:25. Évalué à 1.
        
        ... moi je n'arrive pas a bridger une ppp (en fait une connexion pptp comme se que tu décrit) et une ethernet... quelque chose de particulier à mettre en oeuvre:
        
        ~$ sudo brctl addbr br0
        ~$ sudo brctl addif br0 eth1
        ~$ sudo brctl addif br0 ppp0
        can't add ppp0 to bridge br0: Invalid argument
        
        [^] # Re: autoflagelation
        
        Posté par galactikboulay le 05 décembre 2008 à 22:33. Évalué à 2.
        
        Il faut voir si cette implémentation en particulier (linux) le supporte, j'aurais tendance à dire non en voyant le message. Je jeterai un coup d'oeil dans le code de brctl ça peut être intéressant.
        
        Tu as essayé avec une interface GRE ? J'ai vu qu'il y a eu des patches (pour du noyau 2.6) pour supporter ce genre de bridging, tu auras peut-être plus de succès.
# Merci

Posté par Valistar le 03 décembre 2008 à 18:59. Évalué à 1.

Ok merci, je vais essayer de voir tout cela :D
Bonne soirée

PS : est-il possible de propager les VLANS (sans IPSEC) entre passerelles sans tagging? (normalement non, mais le tagging autorise le routage inter vlan dans les réseaux privés derrière les passerelles alors que je ne le veux pas)
# quel proto

Posté par Chapellon Alexandre le 05 décembre 2008 à 08:18. Évalué à 1.

au fait quel protocol utilises tu pour propager tes VLANs?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.