Salut !
 
A ma boite, on a 2 sites de bureaux distants. Les deux ont chacun leur propre petit reseau local, et leur connection internet.  
Ce que j'aimerais faire, c'est de 2 reseaux locaux, arriver à en faire 1 seul.
Donc apres avoir lu un peu de documentation, il me reste quelques questions :
- Si je met en place un VPN entre les 2 sites, sera t-il possible de continuer a surfer sur internet pour les utilisateurs, ainsi que d'acceder au données située sur l'autre site?
- J'ai lu qu'il y avait plusieurs protocoles de tunelisations (pptp , ipsec) , lequel est le plus adapté a ma config?
 
Merci de m'eclairer sur le sujet, avant que je me lance dans du grand n'importe quoi   .

salut
 
tu peux tout à fait faire un tunnel vpn entre les deux sites par les liaisons Internet existante et tout le monde pourra continuer à surfer sur le net. C'est question du debit de part et d'autre, l'upload est important.
pour le protocole ipsec est nickel plus secure que pptp je crois

 
Je confirme.

Encore moi ! merci deja pour vos reponses    , mais j'ai encore quelques questions.
Entre mes 2 sites, un seul dispose d'un serveur,(win 2003) qui n'est actuellement meme pas utilisé.
Je compte donc installer dessus le serveur VPN L2TP/IPSec, le serveur de fichier, active directory et tout et tout (j'ai trouvé pas mal de tuto)
Ma question est la suivante :
Sur l'autre site, qui comprend environ 6 PC sous XP, dois je installer le client vpn sur tout les clients, et ouvrir les ports ?  
Ou serait-ce plus facile d'installer sur un seul pc placé directement derriere le modem adsl, et de s'en servir ensuite comme passerelle ?

 
Salut,
 
Se serait certainement plus simple de mettre en place un vpn site à site (une passerelle sur chaque site avec un vpn entre les deux), l'avantage est que tout est centralisé sur la passerelle et que la plupart des solution vpn font également proxy et pare-feu. Par contre je te déconseille tout simplement de ne pas faire de ton serveur AD / serveur de fichier ton serveur VPN pour des raisons évidentes de sécurité. Exposer son AD sur un réseau public n'est pas recommandé
 
Pour les protocoles la différence est surtout au niveau de la sécurité :
 
PPTP = niveu de sécurité moyen, authentification par mot de passe.
L2TP sur IPSec = haut niveu de sécurité si des certificats (PKI, autorité de certification) sont utilisés pour l'authentification et niveau moyen avec clés prépartagés.
Mode tunnel IPSec = idem que L2TP sur IPSec, mais protocole compatible avec toute les solutions VPN.

Juste une question comme ca, sur tes deux sites, tu as des routeurs, ils ne gèrent pas les vpn? Ca peut etre encore plus simple...

Malheuresement non, c'est une toute petite entreprise aux moyens plus que limités ... Les modems sont des livebox pro (inventel) qui font office de routeur.
 

 
Oui j'y avais deja pensé... Quoi qu'il arrive ca pourra pas etre pire que ce qu'il y a actuellement. Quand tu parles de "solutions vpn", qu'entends tu par la ? Du matériel uniquement dedié à ca ? En gros va falloir acheter du matos... C'est mon patron qui va etre content !  

Non je veux dire par là qu'il existe plusieurs produits/solutions payantes/gratuites pour faire du vpn.
En partant du faite qu'il n'y a pas de sécuritée pour l'instant et que les moyens sont limités.
Tu peux partir sur une distri linux comme ipcop (je connais que celle là) qui te permet de faire du vpn,firewall,proxy et même en rajoutant des modules filtre HTTP + antivirus. Selon le nombre de users la machine hôte peut être relativement peu puissante.  
Si tu as besoin de l'authentification pour loguer ce que font tes users, il est tout à fait possible de l'interfacé avec AD (je ne jamais testé perso, mais j'ai aperçu cette option lors d'une présentation du produit).  
 
Ce n'est qu'un exemple, mais cela te permettrait de mettre une solution simple, peu coutante et plutôt bien sécurisé tout en évitant de mettre ton AD sur le réseaux public
 
Sur les livebox pro, il doit bien y a voir un parefeu intégré aussi ? non ?

Pas facile d'etre un admin debutant !
En fait je suis en contrat d'alternance dans cette boite, je ne reste qu'un an. Mon patron ne veut pas de solutions linux   , car lorsque je vais partir qui s'en occuperait ... Alors que moi ca m'aurait plutot brancher ! J'ai jetter un coup d'oeil sur ipcop ca a l'air pas mal du tout, mais je doit m'en tenir a des solutions microsoft.  
 

Oui il y a effectivement un parfeu sur la livebox. Apres je sais pas ce que ca vaut, mais il est activé.  
 
Pour l'instant il n'y a meme pas encore de domaine AD, les partages et les permissions sont "sauvages" ... Le partage de fichiers entre les 2 sites se fait actuellement par mail, ou par ftp.  
Meme derriere le firewall de la livebox, mon AD serait vulnerable si je laisse tout sur la meme machine? sachant que je n'ouvrirais que les ports necessaire au vpn ?

Mise en place d’un réseau privé virtuel (VPN) sous Windows avec OpenVPN ici cela pourrait te dépanner.

 
Je ne connais pas openvpn, mais ce dont je suis certain c'est que windows 2003 server prend en charge le VPN nativement à partir de la console de routage et d'accès distant. Mais celà veut dire qu'il te faut un serveur 2003 sur chaque site avec la licence server 2003. De plus ton serveur fera office de passerelle VPN et NAT pour l'accès internet, mais ne fera en aucun cas pare-feu ou proxy, se qui serait dommage. Biensur il doit exister des solutions gratuite pour rendre ton serveur parfeu et proxy. Mais bon je ne pense pas que ce soit une bonne solution de mélanger trop de produits différents sur un même serveur. Pour du pure MS qui fait tout, il existe ISA Server 2004 ou 2006, mais le prix de 2 licences risque de vous refroidir. Ce qu'il faut bien comprendre, c'est que pour n'importe quel débutant, mettre en place ISA server n'est pas une partie de plaisir, biensur n'importe qui peut l'installer et le configurer sans connaitre forcement grand chose en réseaux/sécurité mais le jour où un probème se présente bonjour les galères. Perso, j'ai eu travaillé sur ISA 2000 et maintenant sous 2004, j'ai testé également IPCOP. Si ton patron a peur de linux, je peux te dire que pour n'importe qu'elle personne qui devra reprendre ton taf après toi sans avoir aucune connaissance de ces produits, il lui sera bien plus facile et rapide d'apprendre IPCOP que ISA Server. Maintenant chaque entreprise à ça propre politique et il faut faire avec. Quand tu dit que vos moyens son plus que limités, tu veux dire que tu doit mettre en place un solution MS à moindre coup ? voir gratuite
Sinon je pense à un truc pour éviter linux et le coup des produits MS, il existe des appliances tel qu'un boitier faisant routeur,vpn,pare-feu, etc... mais je n'ai aucune idée du coup d'une tel solution.
 
En tout cas l'avantage des solutions comme une distri linux réduite et optimisé pour faire uniquement que çà ou un appliance avec un OS réduit à ces seules fonctionnalitées c'est qu'elles seront potentiellement moins des nids à emmerdes qu'une solution MS.

Effectivement, parrait-il qu' ISA Server c'est un peu lourd, et cher    

On a deja une license "2003 entreprise edition" , et la machine qui va avec. Effectivement moindre coup tendrait a dire : demerde toi avec ce que tu as  
 
J'ai fouillé un peu partout sur le net à la recherche d'info supplémentaires, et ce que tu dis se verifie : pas tres bon de tout melanger sur un serveur.  
Mon futur controleur de domaine, ne fera donc pas grand chose de plus...
 
Je vais me renseigner sur les boitiers VPN, et je vais aussi tester IPCOP ca a l'air rigolo   Mais j'en voit pas trop l'utilité par rapport a une petite debian que l'on configure de A a Z ? Mis a part l'interface web ? ( mon seul argument pour convaincre mon patron lol )
 
Je vous tient au courant  

Disons que vus la taille de la distri d'ipcop, il n'y a vraiment que le strict minimum pour faire ce qu'il y a à faire ! y a pas de service superflu qui pourrait être la source d'éventuel problème. De plus il faut 10min chrono pour l'installer/configurer en ayant préparé un peu le terrain avant. Ensuite tout s'administre par interface web, donc n'importe quel "guignole" ne connaissant rien en linux peut l'administrer Ca c'est de l'argument pour ton patron !