Bonjour,
 
Situation : J'administre un réseau dans un vpn opérateur. Je dois trouver le moyen de donner l'accès à un serveur TSE depuis l'extérieur.
J'avais pensé à mettre en place un serveur openvpn, et gérer ainsi les accès des utilisateurs par le biais de certificats.
Voyez vous quelque chose d'incohérent, un problème que je ne perçois pas ?
Ou dois-je placer le serveur openvpn ? C'est un simple ordinateur du réseau et je dois router un port vers ce serveur openvpn, ou y a-t-il une particularité sur le routeur à mettre en place ?

Ca n'a pas l'air d'inspirer grand monde...

tu auras des éléments de réponse et de réflexion en cherchant 'unified security gateway'

 
Il faudra pardonner mes imprécisions, mais comme personne ne te répond je vais essayer de t'aider.
J'ai mis en place la même solution à mon boulôt, pour plus ou moins les mêmes raisons: accès à des sessions TSE et à des applis sur l'intranet.
C'est une solution honorable à mon avis en terme de temps passé et de coût.
 
En pratique, tu installes donc openvpn sur une machine qui te servira de serveur vpn.
 
En ce qui me concerne j'ai fait les choses suivantes:
- j'ai laissé le configuration du tunnel par défaut en mode TUN.
- J'ai configuré un transfert du port 1194 vers ma machine qui sert de serveur openvpn. (à faire sur ton routeur / firewall)
- Contrairement au mode TAP, en mode TUN il faut préciser dans la config openvpn sur le serveur les routes à publier sur le client pour qu'il puisse avoir accès aux réseaux.
Par exemple s'il doit avoir accès au réseau 192.168.1.0 il faut ajouter push "route 192.168.1.0 255.255.255.0".
- Attention; il faut activer ip_forward afin que ta passerelle puisse router les paquets entre l'interface tunnel et ton réseau local, sinon tes clients arriveront à se connecter au vpn mais ils n'auront accès à rien sur ton réseau.
 
Si tu as un peu d'argent à dépenser, jette un coup d'oeil sur la version commerciale qui est un peu plus sexy à utiliser!
 
En cas de problème n'hésite pas à jeter un coup d'oeil à la faq:
http://openvpn.net/index.php/open-source/faq.html
 
et à la doc:
http://openvpn.net/index.php/open- [...] ation.html
 
Tous les problèmes courants s'y trouvent. Bon courage!
 
Nico

hey !!!!
 
Super ca !!
Merci. Donc c'est faisable.
Juste une question con : pourquoi le port 1194 ? C'est pas le 22 auquel s'attaque le client openvpn ?

22 c'est ssh, c'est quoi le rapport ?
 
Sinon avec 2008 tu as Terminal services gateway qui encapsule le flux rdp dans du ssl

J'ai lu tellement de trucs sur le sujet que je mélange peut-etre un peu.
 
Sans dec, nice ça
Je suppose qu'il faut un certificat coté client pour se connecter ?

Non, enfin pas obligé, tu peux t'authentifier avec ton compte AD ou via une smartcard .
 
L'avantage c'est que ça passe les proxy souvent

Concrètement, il s'y prend comment l'utilisateur ? Il utilise "connexion à un bureau à distance", comme pour du rdp standard, et ca roule tout seul ?
L'idée est d'essayer de donner à certaines personnes l'accès à un serveur tse à distance depuis n'importe où, par exemple quand ils sont chez un client.
Le fait de ne rien avoir à installer sur le poste client est un plus non négligeable, quitte à devoir posséder une clé usb qui contient un certificat, ou un truc dans le genre.
Ca vous semble jouable ?

Suffit d'avoir RDP6.1. Dans le client tu as un tab passerelle où tu entres l'adresse de ta passerelle TS et tu te connectes comme ça

Hummm, ca me plait l'histoire là  
Dernière question ( pour le moment ) : je dois monter un serveur TSG entre mon/mes TSE. Niveau licence, il me faut des calls aussi sur le TSG ? Dans la "logique" ca m'étonnerait, puisque ce n'est qu'un serveur de "routage", mais on ne sait jamais.
Bonus1 : Je suppose qu'on peut router les connexion sur le serveur TSE qu'on veut dans notre vpn, du moment qu'on a atteint le serveur TSG ?
Bonus 2 : Est-il toujours assez "simple" pour l'utilisateur de se connecter si on lui impose une authentification "physique", à l'aide d'un certificat sur une clé par exemple ?

Pour les licences je sais pas trop je dirais non si tu gères de CAL users.
Pas compris l'histoire bonus 1
Pour le bonus 2, avec TSG ya pas d'histoire de certificat sur clé usb, c'est password ou smartcard. si tu veux rajouter un vpn alors faut voir la solution vpn mais typiquement les produits windows utilisent le magasin de certificat et c'est pas les certificats des clé usb

Bonus1: J'ai déjà un vpn multi-site aujourd'hui, un serveur 2k3 sur chaque site, l'idée c'est de rentrer par une "porte" sur un serveur TSG, et de là, en fonction du site de l'utilisateur (ou de l'IP du serveur tse qu'il va contacter), router sa connexion sur le bon serveur.
Je sais pas si je suis bien plus clair :s

Bon, je lis ça histoire de mieux comprendre mon sujet : http://www.labo-microsoft.com/arti [...] S_Gateway/

Dites, ça pourrait pas se tenter par l'intermédiaire d'un serveur SSH ?
 
On lance putty depuis un poste client, et de là on se connecte en rdp au serveur TSE ?

Je le fais ouais, ça marche bien

merci
Des contraintes / différences par rapport à passer par un serveur openvpn ?

bah g toujours putty sur ma clé usb alors que openvpn non pas besoin d'installer de drivers tap/tun and co.

Yep, en effet
 
Toutefois, ya pas des fonctionnalités supplémentaires sur openvpn ?
Ca me plait bien toutefois

Je relance un peu ce sujet.
Je suis partis sur une solution avec un serveur ssh, et une connexion via putty.
Vous avez des idées de préconisation matériel ? (Je rappelle que c'est pour faire des connexions RDP).
2 Cartes réseaux, ça apporte quelque chose ?
 

Allez, une petite opinion svp