Forum Français

Reply
Aruba Employee
Posts: 42
Registered: ‎12-13-2013

Terminer des VPN IAP sur un concentrateur tiers

[ Edited ]

Est ce possible ? Oui (avec des contraintes assez importantes cependant - voir à la fin du post)

 

Est ce supporté ? Oui

 

Y a t il un tunnel par SSID ? Non


Comment faire et quelles sont les contraintes : L'IAP peut monter des tunnels sous 3 modes (Manual GRE, Aruba GRE et IPSEC). Voyons un peu comment cela fonctionne

  • Manual GRE : OK
    Dans ce mode, l'encapsulation est Ethernet over GRE (EoGRE). Attention donc à ne pas configurer en façe un mode "IP over GRE".
  • Auto GRE : NOK
    Ce mode est propriétaire et permet l'établissement automatique des tunnels.
    Il utilise à la fois le GRE pour le transport des données et un tunnel IPSEC pour le control plane
  • IPSEC : OK
    Comme son nom l'indique, il utilise une implémentation standard d'ISAKMP. A ce titre tout concentrateur (y compris strongswan) sera en mesure de terminer. A noter tout de même que par défaut, c'est un certificat qui est utilisé pour l'authentification. Il conviendra de modifier ce paramètre pour utiliser à l'inverse une PSK. Cette modification n'est disponible qu'en CLI au travers de la commande "IAP# vpn ikepsk aruba@123 username aruba password aruba123". L'utilisation de l'IGC (Instant GUI Config sur Airwave) ou de central n'est à l'heure pas possible pour configurer ce mode.

 

Contraintes

 

  • Seuls les modes "GRE" autorisent la montée d'un tunnel par AP. En d'autres termes, si vous souhaitez utiliser IPSEC, le tunnel principal sera monté par l'AP "maître". Si le client WiFi est sur une autre borne, son trafic sera switché localement. D'où la nécessité pour les switchs sur lesquels sont connectées les borne de pouvoir transporter ce VLAN. Dit avec d'autres mots, l'utilisation d'IPSEC sous tend que les ports des switchs soient configurés en mode trunk avec les VLAN appropriés.
  • Les tunnels GRE ne supportent pas le NAT. 
  • Le seul mode d'adressage supporté avec des concentrateurs externes est le mode d'attribution local d'adressage (pas de de L2 ou L3).

 

Ci dessous un exemple de configuration avec strongswan

 

[root@cent2 ~]# more /etc/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.
conn iap-1
        authby=xauthpsk
        xauth=server
        left=%any
        leftsourceip=192.168.1.1
        leftsubnet=192.168.1.0/24
        right=%any
        rightsourceip=172.16.12.0/24
        auto=add


[root@cent2 ~]# more /etc/ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file
: PSK "aruba123"
iap1 : XAUTH "aruba123"
iap2 : XAUTH "aruba123"
: RSA myKey.der

[root@cent2 ~]# ipsec stop
Stopping strongSwan IPsec...
[root@cent2 ~]# ipsec start
Starting strongSwan 5.0.4 IPsec [starter]...

 

Regular Contributor I
Posts: 197
Registered: ‎04-13-2009

Re: Terminer des VPN IAP sur un concentrateur tiers

Pour l'IPsec, c'est pareil c'est de l'Ethernet qui est dans le tunnel ?

ACMP 6.4 / ACMX #107
Aruba Employee
Posts: 42
Registered: ‎12-13-2013

Re: Terminer des VPN IAP sur un concentrateur tiers

Alexis, j'ai MAJ mon post initial.

Contributor I
Posts: 23
Registered: ‎01-11-2014

Re: Terminer des VPN IAP sur un concentrateur tiers


slhermit3 wrote:

Alexis, j'ai MAJ mon post initial.


Merci !

Search Airheads
Showing results for 
Search instead for 
Did you mean: