VPN L2TP/IPsec et adresse IPv6 : KO

Si vous avez un serveur VPN sur votre NAS (routeur ou autre) et que vous avez choisi la méthode L2TP/Ipsec, vous êtes concernés par cet article. Depuis plusieurs années, on nous annonce une pénurie d’IPv4. Nous n’avons jamais été aussi proches. C’est pour cette raison que les opérateurs (en France notamment) passent leurs clients en IPv6. Orange et Bouygues Telecom ont sauté le pas sur le mobile… Sauf qu’un VPN L2TP/Ipsec n’est pas compatible avec l’IPv6 !

VPN
Cube VPN

VPN L2TP / IPsec et IPv6

Les avantages d’un VPN à domicile ou en entreprise sont nombreux. Tout d’abord, il permet de rentrer sur son réseau privé de façon sécurisée, tout en étant connecté à l’extérieur. Il permet de sécuriser sa connexion lorsqu’on est connecté à un WiFi public (ou un réseau non sûr). Il offre la possibilité d’avoir une IP liée à son domicile/travail (ex : lorsque l’on veut accéder à Molotov ou autre) depuis l’étranger…

Le L2TP (Layer 2 Tunneling Protocol) permet de créer un tunnel où transitent les données. Ce protocole est breveté par Cisco. L’IPsec (Internet Protocol Security) gère toute la partie chiffrement/cryptage des communications. Le couple L2TP/IPSec est très facile à installer sur un routeur (ou NAS) comme serveur VPN. Idem côté ordinateur, smartphone ou tablette puisqu’il est nativement supporté par les systèmes d’exploitation. Le L2TP et l’IPsec fonctionnent plutôt bien ensemble. Ils sont utilisés depuis de nombreuses années. Sauf que le L2TP n’est pas compatible avec l’IPv6 contrairement à l’IPsec. Comme expliqué plus haut, les opérateurs mobiles fournissent par défaut de l’IPv6 à leurs clients (s’ils ont un smartphone compatible). On pourrait même dire « imposer », puisque nous n’avons pas le choix… mais c’est pour notre bien, pour le bien de tous. Le souci, vous l’aurez compris !

En France, Orange et Bouygues Telecom ont commencé à migrer leurs clients mobiles de l’IPv4 vers l’IPv6. Résultat, ces derniers ne peuvent plus se connecter à leur VPN via L2TP/IPsec. Vous avez été nombreux à aborder ce sujet sur le Forum des NAS. Pour information, SFR et Free mobile n’auraient pas encore démarré cette migration (source).

Alternative au couple L2TP / IPsec

Comme j’utilisai un VPN L2TP / IPsec depuis de nombreuses années, j’ai été bloqué par ce que l’on pourrait qualifier de Bug. J’ai contacté le support Synology (oui, j’ai installé un serveur VPN sur mon routeur RT2600ac) qui m’a annoncé : « Malheureusement le L2TP n’est pas compatible à l’IPV6, mais OpenVPN oui. Je ne peux pas vous garantir que ce sera compatible un jour, car cela ne dépend pas de Synology. Ce n’est pas le routeur ou le VPN du routeur qui n’est pas compatible, mais le protocole L2TP qui n’est pas compatible« . Donc si vous avez un NAS Synology et que vous devez vous connecter avec un périphérique en IPv6, il vous reste l’OpenVPN qui est qualifié de Rolls du VPN par certains. Si vous avez un routeur Synology, VPN Plus Server vous offrira plus de perspective comme le couple SSL VPN et l’application mobile VPN Plus.

 

Pour finir, sachez que l’IPv6 est en cours de déploiement chez certains fournisseurs d’accès à Internet (FAI).