Bonjour à tous,
 voila je présente mon problème concrètement :
 
Je suis technicien dans une société à Lyon et nous avons une succursale à Saint-Etienne.
je voudrais pouvoir monté un serveur VPN (réseau à réseau) dans mes agences pour que :
 
Lyon --> puisse accéder intégralement au réseau de saint-Étienne pour prendre la mains sur tous les poste en connexion à distance.
Saint-Etienne --> puisse accéder aux serveurs principaux (partages de fichiers, ...)
 
Notre soucie c'est la connexion Oléane qui est entièrement geré par France telecom, nous disposons cependant d'une adresse publique 190.xxx.xxx.196 qui est routé sur une adresse privé 192.168.0.2
 
Pour la partie réseau saint étienne, je ne pense pas qu'il y ai un réel problème, je peut mettre une adresse privé sur DMZ.
 
Voici un schéma qui peu expliqué brièvement mon souhait.
 

 
Ma première question serai, comment doit-je paramétrer mes interfaces au niveau de mon serveur VPN coté lyon.
Est-ce que cet configuration (schéma) peut fonctionner.
 
enfin si vous avez une solution à me proposer n'hésitez pas à m'en faire part.

1/ Quelle est la techno utilisée pour tes serveurs VPN ? L2TP over IPSec ou PPTP j'imagine ? Et le soft ? C'est le bouzin fourni par défaut sur Windows 2003 ? ISA ? Autre chose ?
 
2/ Ton archi fonctionne, oui, maintenant je mettrais les serveurs dans une DMZ, vu qu'il seront accessible depuis le net (pour les flux VPN forwardés).
 
3/ Comment ça comment est-ce que tu configures tes interfaces sur ton serveur côté Lyon ? Comme sur ton schéma, 192.168.0.2.
 
NB : on ne dit pas l'adresse publique 190... est routée sur 192.168.0.2 mais "les paquets destinés à 190... sont forwardés vers 192...". Router c'est router. On touche pas aux adresses. Là tu fais tu NAT destination.

1/ Pour le soft j'ai pensé a ISA, ou IPCOP mais mes tentatives ont été des pure échecs. pour la méthode de cryptage on ne s'est pas trop attardé dessus.
 
2/ coté saint-étienne pas de probleme on peu lemettre sur une dmz, coté lyon l'adresse publique est forwardé sur une adresse privé sa revient donc au même ??
 
3/ Ce que je veut dire par la est ce que mes serveurs ISA ou autres feront office de routeur (donc 2 interfaces ), ou est ce qu'il y a un autre moyen de monté le VPN sans avoir 2 interfaces
 
Je suis étudient en alternance et pas d'admin réseau dans mon entreprise

 
1/ As-tu un budget ? Si oui je pense qu'il existe de bien meilleures méthodes qu'ISA pour le même prix...
 
2/ Certes, mais le principe de DMZ est justement de mettre dans deux réseaus distincts les serveurs accessibles depuis Internet et les postes qui ne doivent pas l'être. Donc si tu mets tout le monde dans le même LAN, c'est un peu caca. C'est pas pour ça que ça sera totalement pourri niveau sécu, mais si par un quelconque miracle un attaquant prend la main sur ton serveur (bon allez, je t'accorde que c'est quasi impossible si tu ne forward que le port udp dédié au VPN), il pourrait rebondir sur ton LAN. Oui bon, ok c'est des grands principes ça, mais faut bien des pigeons pour payer ma bagnole et mon appart hein
 
3/ Pas spécialement besoin d'avoir 2 interfaces, mais c'est plus que conseillé. En général, ce qui se fait, c'est de mettre un firewall en entrée de ton site, que ce soit une appliance ou un serveur, avec une interface côté WAN, une dans ton LAN et une dans ta DMZ... Et le tunnel VPN monté depuis ton firewall. Maintenant si t'as pas de pognon, tu peux mettre un serveur Linux avec de l'OpenVPN, de l'OpenSWAN (IPSec), du vtun (ça je connais que de nom).
 
=> Tiens, question, tu as déjà un firewall sur ce site ?
 
Estime-toi heureux d'avoir à traiter ce genre de problématiques en alternance, moi on me faisait changer des terminaux ToIP chez des clients barges alors que j'y connaissais rien