[gull] Zywall 70 / Remote Security Client

sdesaules_gull at mail.callistonetwork.com sdesaules_gull at mail.callistonetwork.com
Fri Jul 25 21:09:31 CEST 2008


----- "Philippe Strauss" <philou at philou.ch> a écrit :

> On Thu, Jul 24, 2008 at 02:18:15PM +0200, Leopoldo Ghielmetti wrote:
> > Il giorno lun, 21/07/2008 alle 19.12 +0200, Cyril Jaquier ha
> scritto:
> > > Bonjour,
> > > 
> > > > JE NE SAIS PAS dans quelle mesure OpenVPN est compatible avec le
> VPN
> > > > de ZyXEL, mais dans l'absolu, il vaut mieux tout reprendre à
> zèro
> > > > (moins compliqué, moins risqué, etc.)
> > > > 
> > > 
> > > OpenVPN n'utilise pas un protocole standard [1] donc pas de chance
> avec 
> > > le Zyxel. Je tenterais un coup de Google avec "ipsec zywall" et
> aussi 
> > > "racoon zywall" voir un "vpnc zywall".
> > 
> > A ma connaissance ipsec est aussi standard, mais je me trompe
> peut-être.
> > 
> > Le vrai avantage de openvpn par rapport à IPsec c'est que openvpn
> > travaille en UDP (mais peut aussi travailler en TCP) tandis que
> IPsec
> > marche que avec TCP (la aussi selon mes souvenirs).
> 
> oulala que néni non point.
> il y a bien une option pour faire du IPSec sur du TCP, mais c'est en
> dernier recour, lorsque rien d'autre ne passe.

Ce n'est pas une implémentation propriétaire de Cisco ça ?

> Autrement, ipsec a un protocole IP lui étant dédié: ESP.
> Si cela ne passe pas, il y a un fallback sur UDP, port 500 ou 4500.

je crois que le port 500 est uniquement utilisé pour l'échange de clé.

Phase 1: ISAKMP, ou le protocole IKEv1 négocie la connexion (UDP 500), échange des clés quelles soient de nature PSK ou certificats.

Phase 2: Transfert de données via 2 protocoles à choix:

- protocole 50 ESP (orienté chiffrement des données)

ou

- protocole 51 AH (orienté intégrité de données)

et il me semble bien que le port UDP 4500 surtout utilisé en cas de NAT-transversal (car ESP & AH ne supportent pas NAT-T), ainsi que dans l'encapsulation de IPSec dans le protocole L2TP (mais c'est un autre sujet)...

A+

Stephane




More information about the gull mailing list