Réseau à réseau

Le mode de réseau à réseau permet d'interconnecter deux réseaux d'entreprise distante. Par exemple, dans le cas d'une entreprise ayant deux locaux distants ayant besoin d'utiliser des ressources réseau communes (serveur de fichier, accès au serveur de messagerie ...). Il va être nécessaire d'interconnecter les deux réseaux. La solution d'une connexion physique entre les deux locaux est la plupart du temps inenvisageable car très coûteuse. La solution d'un VPN sur Internet interconnectant les deux réseaux est donc la plus économique et réaliste d'un point de vue technique.

Pour interconnecter les deux réseaux, il faut interconnecter les deux passerelles et autoriser l'accès aux réseaux qu'elles gèrent.

$\includegraphics[width=130mm]{images/vpn_deux_reseaux.eps}$

La configuration nécessaire pour interconnecter les deux réseaux présentés dans le schéma est la suivante :

conn net-to-net
    left=217.167.120.134 	   # ip publique de la passerelle du réseau A
    leftsubnet=192.168.1.0/24      # Réseau privé de l'office A
    leftid=@officea.masociete.com  # identifiant de la passerelle
    leftrsasigkey=0s1LgR7/oUM[...] # Clé RSA de la passerelle
    leftnexthop=%defaultroute      # Récupère la route de la passerelle
    right=81.255.82.5              # ip publique de la passerelle du réseau B
    rightsubnet=192.168.2.0/24     # Réseau privé de l'office B
    rightid=@officeb.masociete.com # Identifiant de la passerelle 
    rightrsasigkey=0sAQOqH55O[...] # Clé RSA de la passerelle
    rightnexthop=%defaultroute     # Récupère la route de la paserelle
    auto=add

Dans ce cas, il n'y a pas à intervertir les deux définitions (right/left).

Pour initier la connexion, la commande est :

# ipsec auto --up net-to-net

Si le processus se déroule parfaitement, ipsec va produire l'affichage suivant :

    104 "net-to-net" #223: STATE_MAIN_I1: initiate
    106 "net-to-net" #223: STATE_MAIN_I2: sent MI2, expecting MR2
    108 "net-to-net" #223: STATE_MAIN_I3: sent MI3, expecting MR3
    004 "net-to-net" #223: STATE_MAIN_I4: ISAKMP SA established
    112 "net-to-net" #224: STATE_QUICK_I1: initiate
    004 "net-to-net" #224: STATE_QUICK_I2: sent QI2, IPsec SA established

On peut vérifier que le tunnel est bien établi grâce à la commande :

# ipsec eroute 
0          192.168.1.0/24    -> 192.168.2.0/24     => tun0x1002@81.255.82.5

Ainsi, toutes les machines reliés au réseau de l'office A seront accessibles à celle du réseau de l'office B et réciproquement. Ce qui potentiellement entraîne des problèmes de sécurité car si un des deux réseaux venait à être compromis, le pirate aurait un accès facile et rapide à l'autre réseau.

root 2004-05-04