Salut à tous!
voilà je propose un topic spécial "remote administration".
actuellement je suis un peu coincé, (sans jeux de mot )
 
le projet:
 
administrer des clients via internet en passant par un VPN et piloter leur pc Via VNC le tout à travers divers routeur (isnd et adsl ) et firewall (soft et hard ) sans pour autant qu'il y ai des brêche de sécurité.
 
je pense qu'avec nos connaissances communes c'est réalisable, je ne sais pas combien de page cela prendra (j'ai une tendance à ne pas être trés clair ) mais je suis convaincu qu'ensemble on pourrait en venir à bout.
 
J'ai gentiment écumé le forum et j'ai trouvé divers liens (hors contexte c'est fouilli ) vous trouverez unbe pètée de topic intéressant ici
 
Voici les étapes pré-recquises à franchir:
 
 1° qu'est-ce qu un VPN , quels port utilise-t-il ,comment l installe-t-on etc....
 2° qu'est-ce que VNC, quels port utilise-t-il ,comment l installe-t-on etc....
 3° même chose pour un routeur
 4° idême pour un firewall
 
on pourrait ajouter aussi comment et dans quel cas.. en gros pour quel besoin utilise-t-on tel protocol...etc..
 
Je pense répondre (ça va prendre du temps à ces étapes par quelques éclaircissemnt et liens (surtout des liens ) ET j 'aurais besoin de votre aide pour la suite.
 
Je démarre dans l'administration, j'ai quelques idées, mais encore beaucoup de lacunes car je manque d expérience.J'ai réussi ma reconversion dans l info grace à ce forum, et je pense que je ne suis pas le seul dans ce cas.C'est pourquoi je propose ce topic, afin que "quiconque" qui débute sache plus oú moins comment s'y prendre, ce qui est possible et ce qui ne l est pas.
 
Voilà pour les bases du topic. Là je vais manger (paske il fait trés faim.. pis le ventre vide depuis 6h ce matin ça commence à faire long) je fait un édit dés mon retour, alors si vous avez des commentaire , ou que vous trouvez que je ne suis pas clair sur certain points n'hésitez pas.. j éssaierai aussi d amélioré la mise en page car pour le moment ce n est encore ça
 
 
========================================================================
                Petit Glossaire:
 
  Qu'est-ce qu'un VPN
Qu'est-ce que VNC (pdf)
Qu'est-ce qu' un routeur
Qu'est-ce qu'un Firewall
Petit lien sympa  
Petit plus sur les routeurs    
Glossaire technique routeur
enore sur les routeur
Petit plus Firewall
Deuxième plus Firewall
 
Petit Topic complémentaire
 
 
 
========================================================================
 
Vala ça va mieux!
 
merci à requin et à pims.
 
                     La Pratique
 
Bon en vulgarisant voilà ce qui devrait se passer:
 
Je lance ma requête de connexion à un ordinateur client oú est installé VNC, hors le client, tout comme moi est dérrière un routeur et un firewall, donc ma reqûète (mon paquet IP en somme ) ne peux déjà pas sortir sortir de mon réseau privé.
JE dois déjà à ce stade décidé quels ports je vais ouvrir (pour que mon paquet puisse sortir) sur le firewall.
Une fois cela fait le second problème est que mon Client ne reçois toujours aucuns paquets, même si sur son Firewall les ports sont ouverts.
Pourquoi?
Tout simplement parce qu il est dérrière un Routeur et que celui-ci "drop" (jette ) tout les paquets.
Je dois donc "forwarder" ces Paquets afin qu ils arrivent à destination.Pour ce faire je vais configuré mon Routeur de manière à ce que dés qu'il reçoit une requète pour tel port (en l occurence celui qui aura été "mappé" pour VNC ) il la redirige sur tel adresse (ici l adresse IP de l ordinateur client).
 
========================================================================
                      Les intérrogations
 
Avec cette solution une grosse brêche est ouverte dans la sécurité, car la connexion est en "clair" et le mot de passe de VNC ne tiendra pas longtemps.Avec les info d'aujourdh'ui, ce que je conseil:
téléphoner au client, lui dire lancer VNC et ensuite faire sa télémaintenance et fermé VNC
Bon les ports resteront quand même ouvert mais normallemnt aucun programe n'est sensé répondre...  
 
Maintenant il s agit de sécurisé tout cela.
Avec divers scripts et Batch il est tout à fait possible d'ouvrir les port du routeur ou du Firewall puis de lancer VNC d'initié sa connection, puis une fois le travail éffectué un autre scripts permettra de fermé VNC et de clore les Ports.Le tout sans éxiger d'autres actions de l 'utilisateur que le double-clic sur le raccourci des fichier Batch oú du scripts.
 
Cependant cela ne vaut que pour un utilisateur disposant de droits administratifs suffisants.D'un environnement Windows 9x ou 2k..... là je me perds un peu    
 
 à suivre...
 
--------------Edit_------------------------
 
ben c'est vraiment pas encore gagné.... conclusion des divers éssais :
depuis l ordinateur client (celui qui va être piloté) on est bligé de faire un tracert sur l ordinateur maître avant que celui-ci ne puisse y établir une connection   (va savoir pkoipkoi    ) mias c'est la seule façon que j ai constaté dans ma configuration.
 
deuxième constat.. ben c'est vraiment trés lent, dés que le client  est en isdn 64 kbits/s c'est la consomationde cigarette pas heure qui augmente de manière trés dangereuse, et pour de la télémainteance ce n'est vriament pas viable du tout (en plus cela lag tellement que cela peu rendre fou )
Dans un cadre professionnel, il faut oublier VNC et le remplacer avantageusement par un autre soft (j'aime pas symantec car je trouve que leur soft sont toujours trés lourd et ralentissent souvent le système..)
Et aprés un petit test , pour une utilisation pro de télémaintenance, ou de helpdesk distant, PC-DUO est parfait! Et a étét testé avec un bien plus de succés que VNC (d'ailleurs TighVNC est bcp mieux )
 
ferai un édit courant de semaine afin que cela soit plus propre et compréhensible... et puis jeudi je fais un test "grandeur nature!"

[jfdsdjhfuetppo]--Message édité par CATALINA le 21-05-2002 à 20:30:42--[/jfdsdjhfuetppo]

1) Un réseau privé virutel, le but est de passer sur un réseau publique (comme Internet) des données privées et confidentielles en toute sécurité. Les données doivent donc être cryptées et elles doivent pas pouvoir être falsifiées. Typiquement un VPN sert à relier plusieurs réseaux d'entreprises via Internet de manière sûre. L'installation d'un VPN se fait généralement au niveau de la gateway, il permet donc de crypter tout ce qui sort d'un réseau à destination d'un autre réseau. Il existe plusieures solutions assez variées, donc il n'y a pas une seule solution ; mais en règle général il s'agit de déterminer un protocole d'authentification (SAH-1, MD5) et un protocole de cryptage (DES, 3DES) communs.
 
2)VNC, s'installe facilement à partir de l'installer fourni par AT&T, par défaut il utilise les ports 5800 et 5900, mais il est possible de le mettre sur un autre port (histoire de ne pas deviner de quel service il s'agit)... dispo pour pratiquement totues les plateformes et de surcroit gratuit.
 
3) plus le temps de te répondre j'ai un rdv
 
4) voir point 3)

3) un routeur est un materiel reseau capable de faire passer les paquets d'un reseau vers un autre et inversement.
 
4) un firewall est un meteriel reseau qui "ecoute" tout ce qui passe par lui et qui est capable d'accepter ou de refuser certain paquets suivant les regles de securité definies ... (Par @IP source ou destination, par ports, par protocole etc... )
 
Voila ma petite contribution

Le routeur :
----------------------------------------------------------------
Le routeur est une machine (ordinateur, materiel dédié...) qui relie au moins deux subnets.
Sa tache est de faire passer les pacquets le nécessitant d'un subnet a l'autre. Un ordinateur qui veut parler à ordinateur sur un autre subnet confie ses paquets au routeur qui s'en charge pour lui et réenvoie éventuellement au routeur suivant, etc.
 
Comment ca marche ?
Déjà, l'ordinateur doit savoir si le destinataire est ou n'est pas sur le réseau local.
Il regarde donc si l'adresse IP destination est dans son subnet (il compare IPdest AND subnetmask à IPsubnet)
 
 
Si l'IP est dans le subnet, il fait un ARP request, et envoie son packet directement a la machine  
Si l'IP n'est pas dans le subnet, il envoie le packet au routeur (donc avec pour adresse MAC destination l'adresse MAC du routeur) avec pour IP destination l'IP du destinataure.  
Le routeur, recevant un packet qui n'est pas pour lui (ce n'estpas son IP), regarde si il est connecté au subnet de destination.  
Si il y est connecté, il envoie le packet a la machine directement sur ce subnet (apres avoir fait un ARP request)  
Si il n'y estpas connecté, il envoie le packet au routeur suivant, et ainsi de suite.  
Mais il pourait y avoir des paquets qui circulent indefiniment!
Time To Live
----------------------------------------------------------------

Merci pour vos reply!
 
je vais continuer tout é l heure.. là je dois faire un petit passage à la pratique... mon boss est chez un client.. ça me permettra de testé
 
il faudra que j arrange un peu la mise en page... mais là... ben le temps me manque un peu.Je pense ajuter quelques couleurs afin d amélioré  la lisibilité.
En suite à plus long terme je pense que tout les mots en gras deviendront des liens comme cela même un débutant pourra s en sortir.
 
j'ai mis prés-requis car quelqu'un qui ne connais pas ça ne peux pas s en sortir et comme cela quelqu un qui débute aura tout ce qu il faut pour avancer!!!

hello
 
le sujet m'interesse dans la mesure ou je vais avoir a le faire plus tard pour ma boite...
 
j'y ai peu réfléchi pour le moment...
 
le centre de controle ( genre ) est la ou je bosse et ai sur une ligne spe... les machines contrôlées devraient être sur des adsl...  
 
pour le matos je pense que les routeurs ca sera des box linux (on a des vieux p233 dont on ne fait rien), pour le vpn toujours sous linux il y a freewan... après avec deux trois reglages le vnc devrait passer...
 
j'ai pas approfondis plus le sujet... des questions sont en suspens : est ce k'une solution comme ca est viable ? genre nivo vitesse ca va pas trop ramer ? pis l'utilisation de vieux pentium en tant que routeur pour la fiabilité c ptet pas top...
 
a bientot !

 
j'ai rajouté quelques liens.
je pense qu'avec ces liens et vos posts les prérecquis, seront facilement acquis
 
Bon maintenant il va falloir passé au choses sérieuses.
Cet aprem (ou demain, je n'ai pas encore eu confirmation ) je vais implémenté le petit scénario chez un client.
 
Actuellementje suis en train de bûcher sur le rzo interne, mais désd que j 'en ai le temps, je vais posé un VNP et voir si j arrive à y faire tourener VNC
 
Voilà si ils manquent des trucs , ou que ce n'est pas clair faîtes le moi savoir
 
ça avance gentiment à sons rythme ( get the swiss life feeling )

ça s'est trés bien déroulé, cependant  ce n'est pas encore sécurisé, deplus même si je ferme les ports du routeur, VNC reste connecté, en revanche à la tentative suivante il ne peux plus se connecté.
CEla ne va pas être évidemnt de sécurisé tout cela.
 
Des idées? (suis un peu    today)
 

Suis pas très douée dans ce domaine mais j'ai une idée suggestion qui peut peut etre faire avancer le schmiblick ...
 
si c toi qui doit administrer les clients est ce que tu as une ip fixe ?
car si tu as une ip fixe n'y a t il pas moyen de configurer tout le bazar pour que seul ton ip soit autorisé a agir sur les routeurs et vnc donc ... ca permettrait de sécuriser le tout
 
enfin une idée qui traversait mon cerveau de blonde... possible ou pas ca je connais pas assez pour dire si c une extrapolation purement théorique et imaginaire ou si c réalisable

VI, j'y avais pas pensé!!!!
en plus j'en ai 8 de dispo....
 
bon reste à aprofondir vis à vis de VNC.
 

 
c'est typiquement avec ce genre d'idée qu'une méthode complèete vas apparaître!

Le gros avantage de soft comme PC-Duo en solution de rmplacement de TighVNC, hormis un plus grand confort, étant bcp plus rapides, il consomme moins de ressources, il est sécurisé, facile à paramètré, dispose d un bon support et permest de toujours pointé vers la même IP.
 
L'autre point fort: la partie client est trés restreinte    les ports sont remappables et le client peux appeller la machine servant au contrôle distant:
C'est un peu comme si TighVNC server appelais le TighVNCViewer pour lui dire:
"prends moi     la main"
On peux aussi bien évidemment faire une prise de contrôle directement depuis le poste "contrôleur"
 
 
vala.. ct u gros up!