Forum ORANGE Migration

Bonjour,

Ce tuto a d'abord été publié sur le Forum Synology, d'où la référence aux NAS de cette marque.

A votre disposition pour tout éclaircissement.
Cordialement.
Michel.

Comment établir un VPN entre deux Livebox Inventel

Remarque préliminaire : ce qui suit a été testé avec deux Livebox Inventel mais est sans doute applicable à la Livebox Sagem ou à d’autres Box. L’application devrait aussi être possible sous une forme simplifiée avec les modems non routeur type Numéricable.

Le principe : On souhaite réaliser un VPN permanent entre deux réseaux locaux LAN1 et LAN2, chaque réseau est connecté à l’internet par une liaison ADSL établie à l’aide d’une Livebox Inventel.
Chacun des sites a donc une adresse IP dynamique correspondant à un nom de domaine DynDNS :
Site1.dyndns.org et site2.dyndns.org
La liaison VPN est réalisée grâce à deux routeurs Netgear ProSafe VPN Firewall FVS114 4 ports LAN capables de gérer simultanément jusqu’à 8 tunnels VPN. Personnellement j’ai acheté ces routeurs au Canada sur eBay pour environ 20€ pièce, frais de port en plus. Attention à les choisir en alimentation 220volts !!
Sur chaque site le routeur FVS114 est placé derrière la Livebox, l’entrée WAN du routeur étant connectée sur la prise rouge de la Livebox. L’adresse WAN du FVS114 correspond donc à l’adresse LAN de la Livebox !

Plan d’adressage IP : on doit utiliser 4 plages différentes d’adresses IP locales que j’ai choisies de la façon suivante :
192.168.2.0/255.255.255.0 pour la Livebox1
192.168.3.0/255.255.255.0 pour le Livebox2
192.168.0.0/255.255.255.0 pour le LAN1
192.168.1.0/255.255.255.0 pour le LAN2
La Livebox1 a une adresse LAN de 192.168.2.250
Le FVS114-1 a une adresse WAN de 192.168.2.1
La Livebox2 a une adresse LAN de 192.168.3.250
Le FVS114-2 a une adresse WAN de 192.168.3.1

Configuration des Livebox : dans ce qui va suivre je donnerai les paramètres correspond au site 1, il suffira de corriger pour le site 2 en tenant compte du plan d’adressage ci-dessus.
La Livebox doit être configurée en simple modem en laissant tout passer vers le routeur FVS114, on lui applique donc les paramètres suivants :
Sécurité –> Pare-feu : minimum
Configuration -> avancée -> réseau :     DHCP :                 activé
                    Adresse IP :            192.168.2.250
                    Adresse de broadcast du LAN :    192.168.2.255
                    Masque de sous-réseau :    255.255.255.0
                        Début de la plage DHCP :    192.168.2.20
                    Fin de la plage DHCP :        192.168.2.200
(ces deux dernières valeurs ne sont pas impératives)
Configuration -> avancée -> Routeur :     établir deux règles DMZ1_TCP et DMZ2_UDP renvoyant tous
Les ports de 1 à 65535 vers l’adresse WAN du FVS114 : 192.168.2.1 (on peut sophistiquer un peu pour protéger les ports sensibles du syno :23 telnet et 5000 administration… me demander des compléments si vous le souhaitez)
                    Configurer la DMZ pour le FVS114 : 192.168.2.1

Configuration des routeurs VPN FVS114 : vous devrez configurer à l’aide du VPN wizard et vous devrez trouver ensuite le paramétrage suivant :
Basic Settings ->     Internet IP address ->     IP address        192.168.2.1
                        IP Subnet Mask     255.255.255.0
                        Gateway IP address    192.168.2.250
            Domain Name Server (DNS) address        192.168.2.250
WAN Setup ->        MTU Size                    1492
(impératif pour Orange, laisser 1500 ralentit drastiquement la liaison Internet)
LAN IP Setup ->        IP Address                    192.168.0.250
            Subnet Mask                    255.255.255.0

            Use Routeur As DHCP Server
                    Starting IP Address        192.168.0.20
                    Ending IP Address        192.168.0.200
( vous pouvez modifier ces plages, c’est mon habitude de réserver les 20 premières addresses pour des adresses fixes, dans le cas de ce routeur vous pouvez réserver des adresses IP pour des adresses MAC définies)
IKE Policies ->         Policy Name                    mapolice (à votre choix)
            Direction/Type                    Both Directions
            Exchange Mode                        Agressive mode
            Local Identity Type                Fully Qualified Domain Name
            Local Identity Data                site1.dyndns.org
            Remote Identity Type                Fully Qualified Domain Name
            Remote Identity Data                site2.dyndns.org
            Encryption Algorithm                SDES
            Authentification Algorithm            SHA-1
            Authentification Method            Pre-shared Key
                    (entrer la clé qui devra être identique sur les deux FVS114)
VPN Policies ->        Policy Name                    mapolice
            IKE Policy                    mapolice
            IKE Keep Alive                    192.168.1.250
            Remote VPN Endpoint     address type     Fully Qualified Domain Name
                                                         address data    site2.dyndns.org
            Local IP ->     Start IP address        192.168.0.0
                            Subnet Mask        255.255.255.0
            Remote IP ->    Start IP Address        192.168.1.0
                            Subnet Mask        255.255.255.0
            Enable Encryption -> Encryption Algorithm            SDES
            Enable Authentification -> Authentification Algorithm        SHA-1

Faire de même avec le deuxième FVS114 en utilisant les adresses IP du site 2 et en permutant "local" et "distant"

Et voila, bon courage, si vous avez juste la liaison VPN doit s’établir toute seule et du site 1 vous devoir pouvoir converser avec les ordinateurs du site 2.
A votre disposition pour rectifier les erreurs ou compléter.
Catimimi
Cela marche aussi avec un routeur VPN FVS336G

08-04-2010 : J'ajoute que le client VPN Shrew (freeware) permet de connecter sans problème un poste distant à l'un ou l'autre (ou les deux) des routeurs VPN. J'établis ainsi un VPN avec mon portable et ma clé 3G.
Si vous souhaitez un tuto de configuration du routeur et du client Shrew, demandez le moi ici.

09/04/2010 : Je viens de passer à la Livebox 2, cela marche sans problème

24/09/2011 : cela marche aussi entre une Box fibre 100Mbps Numéricable et une LiveBox 2

Dernière modification par catimimi (25-09-2011 09:28:37)