Zyxel 3G / 4G (LTE) Devices - Cards, Dongles, Voice over LTE and VPN Connections (Connexions voix sur LTE et VPN)

Lesopérateurs de téléphonie mobile attribuent généralement une adresse IP privée de la gamme 10.x.x.x à un client mobile utilisant une connexion 3G ou 4G. Ces adresses IP font partie de l'espace d'adressage privé tel que défini par la RFC 1918, ce qui signifie qu'elles ne sont pas routables sur l'internet public. Par conséquent, le fournisseur mobile utilise la traduction d'adresses de réseau (NAT) pour convertir ces adresses IP privées en adresses IP publiques, ce qui permet à plusieurs clients de partager une seule adresse IP publique lorsqu'ils accèdent à l'internet.

Cette configuration fonctionne bien pour la navigation générale sur le web et la plupart des activités internet, mais elle pose des problèmes lorsqu'on essaie d'accéder directement à un appareil connecté via 3G/4G à partir de l'internet. Comme l'appareil est derrière un NAT, il n'est pas possible de l'atteindre directement depuis le monde extérieur.

Voix sur LTE

Accéder aux fonctions VoLTE (Voice over LTE) offertes par les FAI pour passer des appels sur LTE/4G. En raison de la complexité des configurations VoLTE, le micrologiciel Zyxel ne prend pas en charge la VoLTE. Étant donné que chaque fournisseur a des configurations VoLTE uniques, il est préférable d'acheter l'équipement Zyxel auprès de votre fournisseur. En guise de solution de contournement, vous pouvez configurer le routeur LTE pour la 3G uniquement afin d'activer la VoLTE, mais cela ne fonctionnera pas dans des régions telles que l'Allemagne où la 3G n'est pas disponible.

Implications pour les connexions VPN

Lors de la mise en place d'un réseau privé virtuel (VPN) sur une connexion 3G/4G, il est essentiel de tenir compte de l'environnement NAT. Les VPN qui s'appuient sur des protocoles comme IPSec peuvent être affectés par le NAT, car ces protocoles ont été conçus à l'origine pour une connexion directe de bout en bout.

LesVPN IPSec avec Internet Key Exchange version 1 (IKEv1) requièrent des considérations particulières dans de tels environnements. En particulier, vous devez activer la fonction NAT Traversal (NAT-T), qui encapsule les paquets IPSec dans UDP afin qu'ils puissent traverser les périphériques NAT. Par ailleurs, l'utilisation de l'échange de clés Internet version 2 (IKEv2) peut simplifier la configuration, car il prend en charge de manière inhérente la traversée NAT, ce qui améliore la compatibilité et la sécurité.

Dans tous les cas, lorsqu'un appareil sur une connexion 3G/4G doit établir un tunnel VPN, l'appareil doit être celui qui initie la connexion en raison des contraintes de NAT. Cela garantit que le serveur VPN connaît l'adresse IP du client et peut établir un canal de communication sécurisé.

Étude de cas : Opérateur de téléphonie mobile Sunrise

Les clients professionnels qui utilisent le réseau mobile de Sunrise ont la possibilité de demander une adresse IP publique et dynamique spécialement pour les services VPN. Ce service permet au client de contourner les restrictions NAT qui accompagnent une adresse IP privée, ce qui permet une configuration VPN plus simple.

Pour utiliser ce service :

1. Demander l'activation: Les clients professionnels doivent contacter Sunrise pour demander l'activation d'une adresse IP dynamique publique pour leur service VPN.
2. Modifier les paramètres APN: Une fois le service activé, le nom du point d'accès (APN) de l'appareil mobile doit être modifié pour devenir "distant". Ce paramètre indique au réseau mobile d'attribuer une adresse IP publique à l'appareil au lieu d'une adresse privée, ce qui élimine la nécessité de traverser le NAT dans la configuration du VPN.

Ce service est particulièrement utile pour les entreprises qui ont besoin de connexions VPN fiables et sécurisées pour les travailleurs à distance qui sont souvent en déplacement et qui dépendent de l'internet mobile pour leur connectivité.

Autres considérations

• Implications en matière de sécurité: L'attribution d'une adresse IP publique à un appareil mobile peut l'exposer à des menaces de sécurité potentielles provenant de l'internet. Il est donc essentiel de veiller à ce que des mesures de sécurité solides, telles que des pare-feu robustes et des logiciels antivirus à jour, soient mises en place sur les appareils utilisant des adresses IP publiques.
• Considérations relatives à l'IPv6: Avec l'adoption progressive de l'IPv6, certains opérateurs mobiles peuvent offrir des adresses IPv6 qui ne nécessitent pas de NAT. L'IPv6 peut simplifier les configurations VPN puisque chaque appareil peut avoir une adresse IP unique et routable au niveau mondial, ce qui élimine certaines des complexités associées à la NAT.
• Paramètres APN: Les différents opérateurs de téléphonie mobile ont des paramètres APN spécifiques qui doivent être configurés pour divers services. Il est important de s'assurer que le bon APN est utilisé pour le service souhaité, car des paramètres incorrects peuvent entraîner des problèmes de connectivité.
• Alternatives à IPSec: Bien que l'IPSec soit largement utilisé, d'autres protocoles VPN comme OpenVPN ou WireGuard peuvent offrir une plus grande flexibilité et faciliter la traversée de NAT. Ces protocoles sont souvent plus faciles à configurer sur des appareils qui changent fréquemment de réseau ou qui fonctionnent derrière un NAT.

Conclusion

L'utilisation de connexions 3G/4G pour l'accès VPN est courante, en particulier dans les scénarios où les connexions internet filaires sont indisponibles ou peu pratiques. Cependant, l'utilisation d'adresses IP privées et de NAT par les opérateurs mobiles introduit des étapes de configuration supplémentaires pour garantir des connexions VPN fiables et sécurisées. En comprenant ces nuances et en configurant correctement le VPN et les appareils mobiles, les entreprises et les particuliers peuvent obtenir un accès à distance efficace et sécurisé sur les réseaux mobiles.