Qu’est-ce que la fonction « VPN Passthrough » et comment ça marche ?

Pourquoi certains routeurs ont-ils besoin d'une fonction "VPN Passthrough" ?

Il existe principalement deux types de routeurs : ceux qui acceptent nativement une connexion VPN et ceux qui ne le font pas.

Les routeurs qui acceptent nativement une connexion VPN prendront en charge des technologies telles que IPsec (Sécurité du protocole Internet), PPTP (Protocole de tunnel point à point) ou L2TP (Protocole de tunnel de couche deux).

Vous pouvez configurer ce routeur pour qu’il fonctionne comme un serveur VPN ou créer un VPN site à site avec une autre passerelle VPN.

La conception de certains routeurs ne permet pas leur utilisation comme serveurs VPN. Ils ne supportent pas nativement ce type de technologie et bloquent donc le trafic VPN. Pour utiliser un VPN, vous devez contourner cette limitation.

Vous pouvez le faire grâce à la fonction « VPN passthrough ». Lorsqu’elle est activée, le trafic du client VPN passera par Internet et atteindra la passerelle VPN.

La fonction « VPN passthrough » est disponible sur de nombreux routeurs domestiques, et ceux qui la proposent sont largement reconnus comme la norme car ils prennent en charge à la fois les VPN PPTP et les VPN IPsec.

En d’autres termes, cette fonction permettra aux ordinateurs d’un réseau privé d’établir des VPN sortants. Elle n’affecte ni ne perturbe le bon fonctionnement des connexions VPN entrantes.

Le nom vient du fait que cette fonction permet au trafic VPN de passer à travers le routeur. Vous n’avez pas besoin d’ouvrir de ports pour cela. Le processus est entièrement automatique.

Quelle est la différence entre un VPN et un "VPN Passthrough"?

Cette fonction est principalement présente dans les dispositifs de passerelle Internet pour petites entreprises et les routeurs VPN grand public. Ces appareils fonctionnent avec des protocoles VPN tels qu’IPsec, PPTP, L2TP ou même la technologie VPN SSL (Secure Sockets Layer).

Cela signifie qu’ils pourront se connecter à un serveur central ou à la passerelle VPN sans qu’un client VPN soit présent. Ce type de client est incompatible avec un tel routeur, et vous perdrez simplement du temps en essayant de les combiner.

Les dispositifs de réseau pour petites entreprises qui supportent la fonction « VPN passthrough » permettront aux paquets de données du client VPN d’être chiffrés avec la technologie VPN et d’atteindre Internet.

Pourquoi avez-vous besoin du "VPN Passthrough"?

La plupart des routeurs sur le marché sont équipés d’un « VPN passthrough » intégré. Il est nécessaire pour utiliser un VPN qui utilise les protocoles IPsec ou PPTP.

Cependant, le remplacement de ces protocoles de sécurité par des protocoles plus rapides et plus sécurisés, tels qu’OpenVPN et IKEv2/IPsec, a rendu cette fonction obsolète.

Les protocoles VPN sont naturellement incompatibles avec les technologies NAT (Network Address Translation) et PAT (Port Address Translation).

Cette incompatibilité pose problème si vous utilisez des dispositifs en réseau basés sur ces technologies pour partager la même connexion Internet entre plusieurs ordinateurs.

Deux solutions sont possibles dans ce scénario : un « passthrough » PPTP ou un « passthrough » IPsec.

« Passthrough » PPTP et son fonctionnement

La plupart des routeurs se connectent à Internet en utilisant un protocole NAT incompatible avec PPTP. Le « passthrough » PPTP contourne ce problème, permettant aux connexions VPN de traverser le contexte NAT. Cependant, le NAT nécessite l’utilisation de ports pour fonctionner correctement.

PPTP utilise le canal TCP (Transmission Control Protocol) sur le port 1723 pour le contrôle et le protocole GRE (Generic Routing Encapsulation) pour regrouper les données et créer le tunnel VPN, ce qui se fait sans utiliser de ports.

Le GRE natif de PPTP n’a pas besoin de ports pour établir le tunnel VPN. Comme le NAT nécessite une adresse IP valide et un numéro de port, il y a un conflit.

La fonction « passthrough » PPTP fonctionne en reconfigurant la fonction GRE et en améliorant quelques-uns de ses services. Le plus important, c’est qu’il ajoute l’ID d’appel.

Lorsqu’un client PPTP se connecte à un serveur, il crée un ID d’appel unique qu’il insère dans l’en-tête modifié. Cet ID d’appel est alors disponible comme substitut aux ports dans la traduction NAT.

Les ID d’appel sont largement utilisés dans la cartographie des ports PPTP pour identifier de manière unique les clients PPTP qui utilisent NAT.

Il est censé agir nativement comme un substitut uniquement pour le trafic PPTP, mais c’est une procédure non standard qui n’est pas automatiquement reconnue par le routeur.

La fonction « passthrough » PPTP permet au PPTP de passer par le routeur NAT. Elle force le routeur à passer du port standard à celui indiqué par l’ID de l’appelant lorsqu’il rencontre un trafic PPTP.

Cette fonction permet aux clients VPN d’établir des connexions PPTP sortantes.

« Passthrough » IPsec et son fonctionnement

Le « passthrough » IPsec fonctionne en utilisant un NAT-T, le traversal du traducteur d’adresse réseau. La mise en œuvre de cette procédure réseau établira et maintiendra en toute sécurité des connexions IP via des passerelles nécessitant un NAT.

Les VPN IPsec doivent utiliser NAT-T pour fonctionner correctement avec le protocole NAT. Sinon, le trafic ne sera pas chiffré, et aucun tunneling VPN ne sera créé.

Le NAT-T encapsule la charge utile de sécurité dans un paquet UDP (User Datagram Protocol), que NAT reconnaît.

Le processus est bien plus efficace car la base d’IPsec est des protocoles qui doivent être activés complètement pour traverser les pare-feux et les traducteurs d’adresse réseau :

• Échange de clés Internet (IKE) – le protocole User Datagram (UDP) port 500
• Traversée NAT IPsec – port UDP 4500, lorsque la traversée NAT est fonctionnelle
• Charge utile de sécurité encapsulante (ESP) – numéro de protocole IP 50
• En-tête d’authentification (AH) – numéro de protocole IP 51

De nombreux routeurs ont des fonctions spécifiques intégrées dans leur programme, appelées « passthrough » IPsec. Toutes les versions prises en charge de Microsoft Windows ont la traversée NAT activée par défaut, vous n’avez donc rien à modifier.

Devrais-je désactiver le VPN Passthrough?

Il serait préférable de ne désactiver le VPN passthrough que lorsque cela améliore la sécurité globale. Les ports de communication à travers le pare-feu qui étaient auparavant ouverts et accessibles seront désormais bloqués.

Cependant, cela signifie que tout utilisateur derrière la passerelle ne pourra ni créer ni maintenir une connexion VPN. Cette restriction résultera du blocage des ports VPN au niveau du pare-feu.

Les utilisateurs de VPN sur un réseau SOHO (Small Office Home Office) ne devraient pas bloquer ces ports.

Conclusion

Un VPN passthrough est nécessaire si vous devez utiliser un ancien protocole VPN non pris en charge par le routeur que vous utilisez pour vous connecter à votre réseau ou à Internet.

Si vous utilisez une technologie ancienne, c’est une fonction que vous pourriez avoir besoin d’activer, mais il y a de fortes chances qu’aujourd’hui, elle soit simplement d’intérêt historique.

Routeurs qui supportent le VPN Passthrough

Le routeur le plus fiable et efficace dans ce cas qui est devenu la norme pour le VPN passthrough est le routeur sans fil Netgear WGR614. Il prend en charge pas moins de trois connexions VPN simultanées.

Ensuite, il y a le Netgear FWAG114 ProSafe. Bien qu’un peu plus cher que le précédent, celui-ci prend également en charge les VPN de bout en bout, mieux connus sous le nom de VPN de site à site.

Au final, vous pouvez voir que la procédure VPN passthrough présente de nombreux avantages et presque aucun inconvénient. Elle vous permet efficacement d’utiliser des VPN avec pratiquement tous les routeurs en surmontant leurs paramètres système par défaut.

Maintenant, vous savez quoi faire quand votre routeur ne peut pas se connecter à un VPN. Exécutez le IPSec ou le VPN passthrough PPTP, en fonction du routeur lui-même, et respirez l’air frais de la confidentialité.