Code source wiki de Déclarations d'ACL nécessaires au bon fonctionnement du client VPN
Modifié par Stéphane Dugravot le 20/09/2024 - 12:15
Afficher les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{confluence_section}} | ||
| 2 | {{confluence_column width="30%"}} | ||
| 3 | [[image:attach:VPN1-300x259.png||align="center"]] | ||
| 4 | {{/confluence_column}} | ||
| 5 | |||
| 6 | {{confluence_column}} | ||
| 7 | {{panel}} | ||
| 8 | |||
| 9 | |||
| 10 | {{toc/}} | ||
| 11 | {{/panel}} | ||
| 12 | {{/confluence_column}} | ||
| 13 | {{/confluence_section}} | ||
| 14 | |||
| 15 | |||
| 16 | |||
| 17 | Pour qu'un usager puisse faire usage d'un client VPN de l'Université de Lorraine, le réseau qui l'accueil doit disposer d'ouverture d'ACL spécifiques pour assurer son fonctionnement. Ces ouvertures sont différentes en fonction du type de client utilisé. | ||
| 18 | |||
| 19 | = Client de type IPSec = | ||
| 20 | |||
| 21 | == Règles minimums en out == | ||
| 22 | |||
| 23 | {{code}} | ||
| 24 | permit esp any any | ||
| 25 | permit udp any eq isakmp any | ||
| 26 | permit udp any eq non500-isakmp any | ||
| 27 | {{/code}} | ||
| 28 | |||
| 29 | == Règles minimums en in == | ||
| 30 | |||
| 31 | {{info}} | ||
| 32 | La plupart du temps, cette règle sera incluse dans une règle beaucoup plus général du type : | ||
| 33 | |||
| 34 | {{code}} | ||
| 35 | permit ip 193.54.10.0 255.255.255.0 any | ||
| 36 | {{/code}} | ||
| 37 | {{/info}} | ||
| 38 | |||
| 39 | Si le réseau est soumis à restrictions en sortie, alors il faudra au minimum : | ||
| 40 | |||
| 41 | {{code}} | ||
| 42 | permit esp any any | ||
| 43 | permit udp any any eq isakmp | ||
| 44 | permit udp any any eq non500-isakmp | ||
| 45 | permit tcp any any eq 10000 | ||
| 46 | {{/code}} | ||
| 47 | |||
| 48 | |||
| 49 | |||
| 50 | = Client de type SSL = | ||
| 51 | |||
| 52 | Pour un client de type SSL, les ouvertures d'ACL sont beaucoup plus simple que pour le client précédent. La seule communication entre le client VPN de type SSL et le concentrateur VPN se fait au travers d'un tunnel SSL. Ce tunnel SSL fait usage du seul protocole IP/tcp du client VPN en direction du concentrateur vers le port 443 (depuis un port quelconque). Ce port étant ouvert dans la grande majorité des cas (car il s'agit du même port que pour les communication entre les navigateurs et les sites Internet sécurisés par SSL), il n'y aura la plupart du temps aucune configuration préalable à son bon fonctionnement. | ||
| 53 | |||
| 54 | == Règle minimum en out == | ||
| 55 | |||
| 56 | Il n'y a aucune règle à positionner en out | ||
| 57 | |||
| 58 | == Règle minimum en in == | ||
| 59 | |||
| 60 | {{info}} | ||
| 61 | La plupart du temps, cette règle sera incluse dans une règle beaucoup plus général du type : | ||
| 62 | |||
| 63 | {{code}} | ||
| 64 | permit ip 193.54.10.0 255.255.255.0 any | ||
| 65 | {{/code}} | ||
| 66 | {{/info}} | ||
| 67 | |||
| 68 | {{code}} | ||
| 69 | permit tcp 193.54.10.0 255.255.255.0 any eq 443 | ||
| 70 | {{/code}} |