Application Note MRD-Configuration VPN suivant APN

Application Note
MRD-Configuration VPN suivant APN
Table des matières
1 Configuration VPN pour APN publique ..................................................... 3
2 Configuration VPN pour APN natté .......................................................... 4
3 Configuration VPN pour APN privé ........................................................... 5
Cette fiche applicative présente les configurations possibles de VPN des
MRD suivant l'APN choisi.
L'APN ou Access Point Name définit les services fournit par l'opérateur à
l'utilisateur de la carte SIM. Cet identifiant permet donc de se connecter
au réseau du FAI.
Plusieurs APN peuvent exister chez un même opérateur. N'hésitez pas à
vous renseigner et demander le bon APN correspondant à votre
application.
Les 3 types d'APN connus sont :
1) APN publique : l'adresse IP est publique, le routeur est accessible
sur Internet et la communication Internet est permise
2) APN natté : l'adresse IP est privée, le routeur n'est pas accessible
sur Internet mais la communication Internet est permise
3) APN privé : l'adresse IP est privée, le routeur est dans le réseau
privé du client et aucune communication Internet n'est permise
Nous allons décrire les 3 cas ci-dessus.
1 Configuration VPN pour APN publique
Lorsque l'APN souscrit à l'opérateur est publique, le routeur possède
l'adresse IP publique et communique sur Internet.
Il peut donc servir à la fois de client et de serveur VPN.
Le schéma ci-dessous montre une configuration possible où le routeur
MRD sert de serveur VPN.
Remarque : Ne pas oublier de mettre en place un service dyndns pour
joindre le routeur en cas de changement d'adresse IP.
2 Configuration VPN pour APN natté
Dans le cas de l'APN natté, le routeur ne possède pas l'adresse IP
publique. Il se trouve derrière le routeur de l'opérateur qui natte l'adresse
IP privée de votre routeur pour le rendre routable sur Internet.
De ce point de vue, le routeur peut émettre des requêtes mais il ne peut
recevoir de requêtes non sollicitées.
Le MRD ne peut donc qu'être uniquement client VPN.
Remarque : Si le routeur MRD doit ouvrir le tunnel VPN à travers le
firewall d'entreprise, alors une redirection des ports 500 et 4500 pour
IPSec ou du port établi pour SSL doit donc être configurée dans le firewall.
3 Configuration VPN pour APN privé
Tout équipement disposant d'une carte sim avec un APN privé se trouve
obligatoirement dans le réseau privé du client attribué par l'opérateur.
Même si toute attaque venant d'Internet y est proscrite, le dernier cas
prend tout son sens lorsque l'on souhaite établir un VPN de type site-àsite. En effet, les automates et les PC ne disposant pas de lecteur de carte
sim, pour pouvoir communiquer avec d'autres équipements, ils devront
passer par un tunnel VPN.
Le routeur MRD peut être soit client soit serveur VPN.