[TECH] RE: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
On peut aussi ajouter des routes statiques à une Livebox résidentielle - pas
avec l'interface web en Livebox 4, mais en utilisant
Sysbus<https://github.com/rene-d/sysbus> :
sysbus -user admin -password -lversion lb4 NMC.LAN:addStaticRoute
Name=Work Dst=192.168.33.0 DstLen=24 Gateway=192.68.1.49 Enable=True MTU=1420
{
"status": null
}
pi@raspi2:~ $ sysbus -user admin -password -lversion lb4
NMC.LAN:getStaticRoutes
{
"status": {
"Work": {
"Enable": true,
"Status": "Bound",
"DstLen": 24,
"Dst": "192.168.33.0",
"Priority": 0,
"Gateway": "192.168.1.49",
"MTU": 1420
}
}
}
J'ai utilisé ça pour monter un VPN site-à-site avec Wireguard, beaucoup plus
rapide (250 Mbps entre les passerelles, avec un accès FTTH des deux côtés), et
semble plus sûr, qu'IPSEC ou OpenVPN.
(seul problème : dans une seule direction, les sessions TCP, qu'elles soient
actives ou inactives, tombent systématiquement au bout de deux minutes - j'ai
l'impression d'avoir tout essayé (PersistentKeepAlive, MTU/MSS, Windows TCP
autotuning), si quelqu'un a une idée en MP, je suis preneur...)
Thierry
(j'interviens à titre personnel)
De : frnog-requ...@frnog.org de la part de Adrien
Rivas
Envoyé : mercredi 13 janvier 2021 12:42
À : David Ponzone
Cc : Lionel RIVIERE ; frnog-tech
Objet : Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
CAUTION: This e-mail was sent from outside of HUBER+SUHNER. Please exercise
caution before opening attachments, clicking links, replying or providing
information to sender. If in doubt, please contact Service Desk.
Si son besoin c'est la fibre, ça va être marrant, sinon faut demander un
ont et faire l'auth en pppoe sur le vlan 835.
Sinon pas obligé de faire du double nat, tu peux ajouter des routes sur les
Livebox pro.
Le mer. 13 janv. 2021 à 12:38, David Ponzone a
écrit :
> Facile, tu vires la Livebox.
>
> > Le 13 janv. 2021 à 10:56, Lionel RIVIERE a
> écrit :
> >
> > Bonjour
> >
> > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option
> VPN IPSEC site à site
> >
> > De ce fait, nous ne sommes obligatoirement en architecture double NAT
> >
> > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de
> VPN IPSEC sur ce type d’archi ?
> >
> > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500,
> l’ipsec ne fonctionne plus
> > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN)
> >
> > La solution de facilité est de demander une Livebox v4
> > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2
> Gbps partagés
> >
> > Par avance merci pour vos éventuels retours d’expérience
> >
> > Lionel RIVIERE
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/
HUBER+SUHNER Cube Optics AG
Sitz: 55129 Mainz, Eindhoven-Allee 3, Deutschland
Amtsgericht Mainz HRB 7366
Vorstand / Executive Board: Fritz Landolt (Vorsitzender)
Vorsitzender des Aufsichtsrats / Chairman of the Supervisory Board: Urs Ryffel
For information concerning the processing of your personal data according to
Art. 13, 14 GDPR please refer to our Data Protection Statement at
https://www.hubersuhner.com/en/data-protection-statement.
This message is confidential. It may also be privileged or otherwise protected
by work product immunity or other legal rules. If you are not the named
addressee you should not disseminate, distribute or copy this e-mail. Please
notify the sender immediately by e-mail if you have received this e-mail by
mistake and delete this e-mail from your system. Please note that any views or
opinions presented in this email are solely those of the author and do not
necessarily represent those of the company. All deliveries and services are
subject to our General Terms and Conditions of Sales.
Although the company has taken reasonable precautions to ensure no viruses are
present in this email, the company cannot accept responsibility for any loss or
damage arising from the use of this email or attachments.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
Si son besoin c'est la fibre, ça va être marrant, sinon faut demander un ont et faire l'auth en pppoe sur le vlan 835. Sinon pas obligé de faire du double nat, tu peux ajouter des routes sur les Livebox pro. Le mer. 13 janv. 2021 à 12:38, David Ponzone a écrit : > Facile, tu vires la Livebox. > > > Le 13 janv. 2021 à 10:56, Lionel RIVIERE a > écrit : > > > > Bonjour > > > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option > VPN IPSEC site à site > > > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de > VPN IPSEC sur ce type d’archi ? > > > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > > > La solution de facilité est de demander une Livebox v4 > > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 > Gbps partagés > > > > Par avance merci pour vos éventuels retours d’expérience > > > > Lionel RIVIERE > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
Facile, tu vires la Livebox. > Le 13 janv. 2021 à 10:56, Lionel RIVIERE a écrit : > > Bonjour > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option VPN > IPSEC site à site > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de VPN > IPSEC sur ce type d’archi ? > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > La solution de facilité est de demander une Livebox v4 > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 Gbps > partagés > > Par avance merci pour vos éventuels retours d’expérience > > Lionel RIVIERE > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
hello Attention, de mémoire, il faut tomber la MSS à 1300 chez Orange sans quoi les gros paquets seront droppés Hugo /::1 Hugo SIMANCAS Directeur Technique Associé https://www.data-expertise.com [https://www.data-expertise.com/] Support technique : 09 78 23 20 29 Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57 Mobile : 06 95 44 29 64 !Utilisez notre plateforme visio libre & gratuite : https://conf.data-expertise.com/ [https://conf.data-expertise.com/] !Pad collaboratif libre & gratuit sécurtisé https://pad.data-expertise.com/ [https://pad.data-expertise.com/] Les informations contenues dans ce courrier électronique sont confidentielles et protégées par le secret professionnel. En tout état de cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des copies, le divulguer ou le diffuser. La présence de cette note prouve également que ce message électronique a été vérifié par un logiciel anti-virus. On 13/01/2021 10:56, Lionel RIVIERE wrote: > Bonjour > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option VPN > IPSEC site à site > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de VPN > IPSEC sur ce type d’archi ? > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > La solution de facilité est de demander une Livebox v4 > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 Gbps > partagés > > Par avance merci pour vos éventuels retours d’expérience > > Lionel RIVIERE > > --- > Liste de diffusion du FRnOG > https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
Bonjour Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option VPN IPSEC site à site De ce fait, nous ne sommes obligatoirement en architecture double NAT Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de VPN IPSEC sur ce type d’archi ? Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, l’ipsec ne fonctionne plus (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) La solution de facilité est de demander une Livebox v4 La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 Gbps partagés Par avance merci pour vos éventuels retours d’expérience Lionel RIVIERE --- Liste de diffusion du FRnOG http://www.frnog.org/
