Un réseau privé virtuel Cisco nécessite-t-il que des ports côté client soient ouverts?

Mon lieu de travail propose un VPN Cicso que j'essaie d'utiliser de chez moi (via ADSL) pour travailler à distance. Je crois que le VPN du lieu de travail est IPSec, car il nécessite un ID IPSec et un secret IPSec pour se connecter.

La connexion au tunnel VPN fonctionne bien, mais la transmission d'octets cesse immédiatement après, rendant impossible toute action utile.

La chose intéressante est que je peux très bien travailler en utilisant mon téléphone portable (4G) comme point d’accès sans fil et y connecter mon ordinateur portable au lieu du routeur WiFi de mon domicile connecté au modem ADSL.

J'ai contacté mon fournisseur de services Internet à propos de ce problème et j'ai reçu une réponse par courrier électronique dans laquelle les éléments suivants (entre autres) étaient suggérés:

5. Activez la redirection de port pour le port VPN 500 (pour les VPN IPSec), le port 1723 pour les VPN PPTP et le port 1701 pour le routage L2tp-L2tp et l'accès à distance. Le port 500 peut être répertorié dans la liste des services. [...] Remarque: vérifiez si l'IP WAN est publique ou privée. Les ports ne peuvent être ouverts que sur des adresses IP publiques.

La redirection de port est-elle techniquement vraiment requise côté client? Si cela était vrai, cela n'empêcherait-il pas également d'autres personnes de mon réseau domestique de faire la même chose depuis leur ordinateur portable (par exemple, si l'un de mes collègues se rendait chez moi et souhaitait également se connecter au VPN du bureau)?

6. Par défaut, le pare-feu du routeur est configuré pour supprimer (supprimer) les paquets ICMP envoyés de l'extérieur du réseau vers le port WAN. Votre VPN peut nécessiter les paquets ICMP.

Encore une fois, est-ce nécessaire pour que le réseau privé virtuel Cisco soit opérationnel côté client?

Ou, en d'autres termes: quelqu'un utilisant un tel VPN Cisco a-t-il dû ouvrir des ports sur son modem / routeur à partir duquel il souhaite se connecter au point de terminaison VPN?

Le transfert de port n'est généralement pas nécessaire - une fois que le client VPN établit une connexion sortante, le pare-feu du routeur le conserve dans la "table d'état" pendant une certaine période. (La table d'état lui indique également où envoyer les paquets entrants via le NAT.)

Pour TCP, l'entrée d'état correspond étroitement à la connexion TCP elle-même - SYN établit les deux, FIN arrache les deux.

Toutefois, pour le protocole UDP (Cisco VPN et IPsec NAT-T standard), certains modèles de routeur utilisent des entrées d'état de très courte durée, par exemple, en les expirant après 30 voire 15 secondes d'inactivité. Cela expliquerait les problèmes que vous rencontrez.

Essayez d’utiliser la vpnc --dpd-idle 10connexion (si ping -t <some_corp_server>vous êtes sous Linux) ou laissez-la en marche pendant votre utilisation du VPN pour qu’elle ne reste pas inactive pendant une longue période.