Bonjour,
 
Voila le probleme : un client a plusieurs sites, relies entre eux en VPN. Sur le site principal, un serveur web. Je sais qu'il y a egalement du mail, mais bon, ca ne va pas rentrer dans l'equation je pense.
Bref, le client veut que seuls les postes sur les sites puissent acceder a l'intranet.  
Quelle serait pour vous la meilleure solution?  
Des certificats?
Je pensais aux adresses Mac, mais vu qu'ils passent certainement par un routeur, ca ne marchera pas.
A premiere vue, pas de serveur proxy sur les sites, ni de reverse sur le principal.
 
Merci de vos idees

bah firewall à l'entrée de la zone serveur, tu filtres sur les subnet des VPN des sites distants
Pour monter les tunnels VPN, ca dépend de quel type de VPN il s'agit. Moi je te conseilles de l'IPsec + certificat

Euuuhhh... Comment filtrer les subnets des sites distants via le firewall sur le site principal? Je ne vois pas trop comment faire...  
 
Site distant Lan ->Routeur->WAN->Routeur->Site principal Lan
Via le VPN deja existant, je ne vois pas comment les adresses Lan peuvent etre recuperees

en demandant poliement a un admin du site distant le subnet utilisé
Je suppose que les LAN de chaque site utilisent un subnet "rfc 1918" différent non ?
 

 
Cette une architecture logique, le firewall peut se trouver sur le routeur du site central.
Les tunnels vpn se terminent sur les routeurs. Pour le firewall, le vpn c'est invisible. Il ne traitera que le traffic des sites distants et du site central. donc en adressage privé qui est sous la responsabilité des admins des différents sites.
Je suppose que tu peux contacter les admins des différents sites pour connaitre leur adressage. De toute manière pour monter tes vpns tu devra certainement t'assurer qu'il n'y a pas de recouvrement (beaucoup plus simple a gérer sans recouvrement...)

Y a un truc que je ne comprends pas : imaginons 3 sites distants. En interne, ils sont tous en 10.10.X.X. Comment recuperer les adresses de chaque client connecter sur ces sites, en dhcp qui plus est, pour s'assurer que seules ces adresses pourront avoir acces a l'intranet?
De meme, je me demande comment on peut recuperer ces adresses sachant qu'elles seront passees par le routeur, donc le site central n'aura dans les trames que son adresse source, non??  
Pis via VPN, ca me parait encore moins facile a obtenir...

Beuuhh. C'est quoi ton Job ?
 
Parce que je sais pas si tu est au courant mais la premiere  
fonctionnalité d'un VPN c'est de ne pas NATé les adresses IP privées.
 
C'est comme ca qu'il faut se representé un reseau avec des VPN:

Certe le traffic crypté par le routeur VPN va passer sur internet avant d'etre decrypté par la destination
mais c'est fait de manière sécurisée de sorte que tu peut le représenter comme une liaison directe.
 
Si tes trois lan sont en 10.10.x.x bein il suffit de mettre une directive Allow From 10.10.0.0/16 dans le repertoire/vhost correspondant à l'intranet..

Euuuuh... On peut natter du VPN, hein? Ca s'appelle meme du VPN NAT.
J'ai pas beaucoup d'infos, il est possible que le client utilise cette solution tellement il cherche a securiser l'ensemble.
 
Ah, encore une difficulte supplementaire : il veut que certaines machines puissent avoir acces a certaines parties de l'intranet, genre la DRH d'un site distant a la partie DRH du site central. N'oublions pas que les clients sont en DHCP...
 
Quid des certificats? Qu'en pensez vous?

c'est pas le VPN qu'on "natte". Natter un VPN ca veut strictement rien dire. Et il y a une profonde différence entre vouloire nater des flux et foutre de la sécurité.

De plus quand tu parles de NAT soit précis il existe différents type de NAT. Et tous n'offre pas les même caractéristiques.
 
Ensuite ca me fait bien marrer les prestataires qui viennent demander sur un forum la solution à ce qu'un client veut pour le revendre ensuite...
 
Enfin, si tu penses que ton client fait erreur sur un point (du genre natter les flux qui vont dans ses tunnels), c'est à toi de lui expliquer ce qui est le mieux. Si il insiste tu lui présentes tous les problèmes qu'il peut y avoir, tu lui files un papier, mail... tout ce que tu pourras ressortir en cas de probleme.

si tu veux une solution de bourrin qui permet de définir ce que telle ou telle personne à le droit d'accéder dans le site centrale, tourne toi vers les vpn ssl.
sinon tu peux au lieu de monter tes tunnels de routeurs a routeurs, tu peux le faire de équipements terminaux (PC) à un concentrateur dans lequel tu indiqueras au cas par cas les politiques de sécu pour les différents profiles.
 
Des solutions efficaces et simple il en existe beaucoup.

 
je te renvoie ici alors :
http://publib.boulder.ibm.com/iser [...] vpnnat.htm
 

 
donc il y a bien la possibilite d'utiliser du VPN et du NAT en meme temps. En tout cas, une solution.
Je ne l'ai jamais fait, donc je ne peux pas en dire plus.

 
Tu parles sans savoir, c'est sympa...  
Cette solution n'est pas pour moi, mais pour un ami qui m'a soumis ce probleme. Je n'ai que peu de donnees, et comme je me fais c...r dans ma mission, je me suis dit que je pourrai toujours y reflechir, et demander des solutions, car peut etre que certains forumeurs ont deja eu ce cas et pourraient partager leur(s) solution(s).
Maintenant, si tu souhaites que tous les posts sur ce forum ne servent surtout pas dans les entreprises, alors autant garder uniquement la partie Discussion et Blah Blah, hein?
Si solution existe, rassure toi : je ne vais rien gagner...

 
je n'ai pas le cahier des charges, et mon ami n'arrive pas a en savoir plus pour le moment.
Ce qu'il m'a dit, c'est qu'il y a des sites distants, du VPN, normalement les serveurs tournent sous Linux, et il m'a donne en gros les exigences du client. Je n'ai rien fait sur la config, je ne sais pas trop ce qu'il sera accepte de faire.  
Mais comme je trouve la question interessante, je m'y penche, et je viens ici glaner des infos et des conseils.
Pour l'instant, il semblerait qu'ils penchent plus pour des certificats sur chaque poste, mais bon, va y avoir du dev et la, je ne suis pas cale pour ca.

 
Je n'ai jamais dit qu'on ne pouvait pas le faire en meme temps. J'ai dit que ce n'était pas le VPN qu'on nattait, mais les flux qui doivent traverser les tunnels ! C'était juste pour corriger ce qu'on pouvait appeler un abus de langage.
 
Comme c'est expliqué, c'est pour pailier aux problèmes de plages d'adresses qui se recouvrent lorsque l'on utilise des VPNs. Ce n'est pas fait pour rajouter de la sécurité. Si le réadressage d'un des réseau n'est pas possible, oui c'est une solution envisageable en faisant un nat de type n->m (le NAT c'est pas toujours du n->1...). Seulement a force d'utiliser ce type de "bidouille" car pour moi ce n'est qu'une bidouille tu vas te retrouver avec un immense sac de noeuds. Ton architecture va se complexifier et va te revenir a beaucoup plus cher en terme de maintenance. Si les réseaux sont en DHCP il plus facile de faire un réadressage des sites.

Si ils veulent identifier chaque personne qui utilisera ce VPN à l'aide de certificat, c'est les postes qui vont etre un des points terminaux des tunnels VPN. c'est possible mais c'est pas du tout le meme genre d'architecture...

C'est ce qu'ils semblent vouloir, en effet, et avec cette identification, permettre ou non l'acces a certaines parties de l'intranet...
tout ca avec le vpn entre les sites