[TECH] RE: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
On peut aussi ajouter des routes statiques à une Livebox résidentielle - pas avec l'interface web en Livebox 4, mais en utilisant Sysbus<https://github.com/rene-d/sysbus> : sysbus -user admin -password -lversion lb4 NMC.LAN:addStaticRoute Name=Work Dst=192.168.33.0 DstLen=24 Gateway=192.68.1.49 Enable=True MTU=1420 { "status": null } pi@raspi2:~ $ sysbus -user admin -password -lversion lb4 NMC.LAN:getStaticRoutes { "status": { "Work": { "Enable": true, "Status": "Bound", "DstLen": 24, "Dst": "192.168.33.0", "Priority": 0, "Gateway": "192.168.1.49", "MTU": 1420 } } } J'ai utilisé ça pour monter un VPN site-à-site avec Wireguard, beaucoup plus rapide (250 Mbps entre les passerelles, avec un accès FTTH des deux côtés), et semble plus sûr, qu'IPSEC ou OpenVPN. (seul problème : dans une seule direction, les sessions TCP, qu'elles soient actives ou inactives, tombent systématiquement au bout de deux minutes - j'ai l'impression d'avoir tout essayé (PersistentKeepAlive, MTU/MSS, Windows TCP autotuning), si quelqu'un a une idée en MP, je suis preneur...) Thierry (j'interviens à titre personnel) De : frnog-requ...@frnog.org de la part de Adrien Rivas Envoyé : mercredi 13 janvier 2021 12:42 À : David Ponzone Cc : Lionel RIVIERE ; frnog-tech Objet : Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5 CAUTION: This e-mail was sent from outside of HUBER+SUHNER. Please exercise caution before opening attachments, clicking links, replying or providing information to sender. If in doubt, please contact Service Desk. Si son besoin c'est la fibre, ça va être marrant, sinon faut demander un ont et faire l'auth en pppoe sur le vlan 835. Sinon pas obligé de faire du double nat, tu peux ajouter des routes sur les Livebox pro. Le mer. 13 janv. 2021 à 12:38, David Ponzone a écrit : > Facile, tu vires la Livebox. > > > Le 13 janv. 2021 à 10:56, Lionel RIVIERE a > écrit : > > > > Bonjour > > > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option > VPN IPSEC site à site > > > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de > VPN IPSEC sur ce type d’archi ? > > > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > > > La solution de facilité est de demander une Livebox v4 > > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 > Gbps partagés > > > > Par avance merci pour vos éventuels retours d’expérience > > > > Lionel RIVIERE > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ HUBER+SUHNER Cube Optics AG Sitz: 55129 Mainz, Eindhoven-Allee 3, Deutschland Amtsgericht Mainz HRB 7366 Vorstand / Executive Board: Fritz Landolt (Vorsitzender) Vorsitzender des Aufsichtsrats / Chairman of the Supervisory Board: Urs Ryffel For information concerning the processing of your personal data according to Art. 13, 14 GDPR please refer to our Data Protection Statement at https://www.hubersuhner.com/en/data-protection-statement. This message is confidential. It may also be privileged or otherwise protected by work product immunity or other legal rules. If you are not the named addressee you should not disseminate, distribute or copy this e-mail. Please notify the sender immediately by e-mail if you have received this e-mail by mistake and delete this e-mail from your system. Please note that any views or opinions presented in this email are solely those of the author and do not necessarily represent those of the company. All deliveries and services are subject to our General Terms and Conditions of Sales. Although the company has taken reasonable precautions to ensure no viruses are present in this email, the company cannot accept responsibility for any loss or damage arising from the use of this email or attachments. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
Si son besoin c'est la fibre, ça va être marrant, sinon faut demander un ont et faire l'auth en pppoe sur le vlan 835. Sinon pas obligé de faire du double nat, tu peux ajouter des routes sur les Livebox pro. Le mer. 13 janv. 2021 à 12:38, David Ponzone a écrit : > Facile, tu vires la Livebox. > > > Le 13 janv. 2021 à 10:56, Lionel RIVIERE a > écrit : > > > > Bonjour > > > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option > VPN IPSEC site à site > > > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de > VPN IPSEC sur ce type d’archi ? > > > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > > > La solution de facilité est de demander une Livebox v4 > > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 > Gbps partagés > > > > Par avance merci pour vos éventuels retours d’expérience > > > > Lionel RIVIERE > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
Facile, tu vires la Livebox. > Le 13 janv. 2021 à 10:56, Lionel RIVIERE a écrit : > > Bonjour > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option VPN > IPSEC site à site > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de VPN > IPSEC sur ce type d’archi ? > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > La solution de facilité est de demander une Livebox v4 > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 Gbps > partagés > > Par avance merci pour vos éventuels retours d’expérience > > Lionel RIVIERE > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
hello Attention, de mémoire, il faut tomber la MSS à 1300 chez Orange sans quoi les gros paquets seront droppés Hugo /::1 Hugo SIMANCAS Directeur Technique Associé https://www.data-expertise.com [https://www.data-expertise.com/] Support technique : 09 78 23 20 29 Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57 Mobile : 06 95 44 29 64 !Utilisez notre plateforme visio libre & gratuite : https://conf.data-expertise.com/ [https://conf.data-expertise.com/] !Pad collaboratif libre & gratuit sécurtisé https://pad.data-expertise.com/ [https://pad.data-expertise.com/] Les informations contenues dans ce courrier électronique sont confidentielles et protégées par le secret professionnel. En tout état de cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des copies, le divulguer ou le diffuser. La présence de cette note prouve également que ce message électronique a été vérifié par un logiciel anti-virus. On 13/01/2021 10:56, Lionel RIVIERE wrote: > Bonjour > > Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option VPN > IPSEC site à site > > De ce fait, nous ne sommes obligatoirement en architecture double NAT > > Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de VPN > IPSEC sur ce type d’archi ? > > Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, > l’ipsec ne fonctionne plus > (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) > > La solution de facilité est de demander une Livebox v4 > La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 Gbps > partagés > > Par avance merci pour vos éventuels retours d’expérience > > Lionel RIVIERE > > --- > Liste de diffusion du FRnOG > https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [TECH] VPN IPSEC en double NAT derrière Livebox 5
Bonjour Avec la livebox 5 (avec module SFP intégré), nous n’avons plus d’option VPN IPSEC site à site De ce fait, nous ne sommes obligatoirement en architecture double NAT Est-ce que d’autres personnes ont été ennuyé lors de la mise en œuvre de VPN IPSEC sur ce type d’archi ? Dans mon cas, que ce soit en DMZ ou bien en redirection UDP 500 + 4500, l’ipsec ne fonctionne plus (Phase 1 + Phase 2 ok mais aucun traffic sur ip LAN) La solution de facilité est de demander une Livebox v4 La problématique est qu’il va y avoir de plus en plus de v5 à cause du 2 Gbps partagés Par avance merci pour vos éventuels retours d’expérience Lionel RIVIERE --- Liste de diffusion du FRnOG http://www.frnog.org/