Bonjour à tous,
 
je suis nouveau sur le forum, et c'est mon tout premier post    
 
Je me lance : je suis celui qui gère l'informatique dans une TPE de 9 personnes, bien que je ne sois pas du métier. Tout le réseau de l'entreprise est isolé d'internet et comporte un serveur avec DC + DNS et DHCP, partages réseau accèdés via DFS, et les utilisateurs ont tous leurs dossiers de session redirigés sur un partage (mes docs, téléchargements, bureau...). Les utilisateurs travaillent ensemble a l'aide d'un dossier partagé commun et d'une petite base de donées avec access. Je fais un peu de redondance avec un autre serveur physique, et la sauvegarde est faite avec VEEAM sur une 3eme machine non jointe au domaine.
 
Suite au covid j'aimerai que des utilisateurs puissent télétravailler mais tout en laissant le réseau d'entreprise étanche par rapport à internet. Je ne veux pas de VPN logiciel ou tout autre solution logicielle, mais seulement une solution basée sur du matériel pour garantir l'étanchéité vis à vis d'internet.
 
Switch entreprise <---> routeur hEX <---> box internet <---internet---> box internet 1 <---> routeur hEX <---> poste utilisateur 1
                                                                                  internet------> box internet 2 <---> routeur CRS326... <---> poste utilisateur 2
 
Suite à mes recherches il semblerait que je puisse faire ce que je souhaite avec des routeurs de la marque mikrotik. Je me suis penché sur cette marque vu que dispose déjà chez moi du CRS326-24G-2S+RM représenté tout à droite. J'ai fait acheter il y a un moment 2 routeurs de la même marque (modèle hEX) pour pouvoir expérimenter...sauf que je galère !
 
Les bons points avec ces routeurs est qu'ils sont capable de faire des connexions site-to-site, supportent IPSEC IKE V2 (entre autres), peuvent grouper ou séparer des ports RJ45 (jamais essayé), et ont un ddns intégré ce qui sera indispensable pour atteindre la box "d'en face" en vue d'établir une connexion.
Veuillez m'excuser si je n'emploi pas les bons termes dans le bon contexte, je ne suis pas du métier.
 
Pour l'instant je pose juste une question : est-ce que c'est possible de faire une connexion site-to-site tout en gardant l'étanchéité vis à vis d'internet ?
 
Merci pour avoir lu mon post
Alex

la gestion d'accès va se faire au niveau routeur, pour un besoin aussi simple ça ne devrait pas poser de problème.

J'ai eu l'occasion de mettre en place ce que je souhaitais faire. Je vais juste présenter le système mis en place et donner quelques infos à propos des performances, dans l'éventualité où des personnes souhaitent mettre en place une connexion équivalente.
 
Déjà à propos du matériel mis en oeuvre de marque mikrotik il faut bien veiller à ce que sur la page internet du fabricant présentant le produit, sous l'onglet "Test results" il apparaisse une section "IPsec test results". Autrement il semblerait bien que le matériel en question dispose d'un processeur sans module matériel de chiffrement (donc lent si le chiffrement est activé). J'ai essayé avec un switch de la marque équipé d'un processeur simple coeur sans chiffrement matériel, cadencé à 800MHz : résultat du test de débit entre 4 et 5 Mo/s ce qui met le processeur à 100% d'utilisation.
 
Dans mon cas j'ai choisi le modèle hEX qui fait le chiffrement matériel. Mon test de débit m'a donné un peu plus de 33Mo/s avec une utilisation du 50% du CPU (2 coeurs pour ce modèle), pour un seul tunnel ipsec et les 2 routeurs directement reliés par un câble ethernet. Pour info le routeur permet de mettre en place ce tunnel via une interface graphique en toute simplicité, sans avoir besoin de créer une autorité de certification ni de certificats. Dans ce cas le chiffrement par défaut est AES-128-CBC + SHA1.
 
J'ai eu l'occasion de faire des essais "en réel" pour évaluer les performances selon les conditions suivantes :
Côté télétravailleur dans tous les cas de figure connexion ADSL 12Mbps/1Mbps, PC Win10 joint au domaine, mises à jour de la machine via WSUS, dossier bureau redirigé vers un partage sur le serveur de l'entreprise, lecteur réseau pour les dossiers de travail personnels. En fait il n'y a aucune donnée utilisateur stockée sur les PCs.
J'ai monté un lab dans le but de publier des RemoteApp, avec la suite Office de publiée. La désactivation de la redirection des lecteurs locaux vers l'hôte de session a été nécessaire pour améliorer l'expérience utilisateur.
 
1er cas de figure avec une connexion côté entreprise ADSL 12Mbps/1Mbps :
- ouverture se de ssion hyper longue, et consommation de bande passante élevée (up entreprise) pendant les 20 minutes suivant l'ouverture de la session
- clic droit sur les fichiers : très long pour ouvrir le menu contextuel
- copie de fichiers réseau vers disque local : à oublier
- session RDP pour accéder à une VM windows sur le serveur entreprise : étonnamment fluide et tout à fait utilisable
- session RDP pour accéder à une VM linux via XRDP (Xubuntu) pour consulter des pages web : inutilisable, trop de lenteur et de délai. Je me souviens plus de l'utilisation de la bande passante
- RDP via les RemoteApp : fluide, performances tout à fait satisfaisantes. Cependant j'ai des problèmes de stabilité au delà de 5 à 6 fichiers word ouverts en même temps, donc pas d'utilisation intensive dans ces conditions
- fermeture de session très longue
Donc en bref ça peut dépanner pour un seul utilisateur, patient, et averti des limites de la "solution"
 
2eme cas de figure avec une connexion côté entreprise Fibre Free 1Gbps/600Mbps :
- ouverture de session bien plus rapide, juste un peu plus long que lorsque je suis sur le réseau local sur site. 45 secondes pour afficher toutes les icones du bureau, et 1 minute au total pour que la conso le la BP tombe presque à 0
- clic droit bien plus rapide, mais c'est pas génial pour autant
- copie de fichiers réseau vers disque local : le débit est au max de la BP côté distant la moitié du temps, et presque à 0 l'autre moitié du temps, le cycle max/0 se répétant toutes les 1 à 2 secondes. Copier un fichier de 145Mo a pris 4 minutes 10 secondes avec un temps supplémentaire de 20 secondes pendant lequel le poste distant monte presque au max de son UP (700Kb/S) des données vers le serveur entreprise. Donc ça fait 4min30 pour copier 145Mo. En ce qui concerne la copie des petits fichiers c'est assez rapide mais il y a toujours à la fin cette phase longue où ça monte des des données vers l'entreprise. Si quelqu'un sait comment je peux améliorer ce point, je suis intéressé !
- session RDP pour accéder à une VM windows sur le serveur entreprise : excellent
- session RDP pour accéder à une VM linux via XRDP (Xubuntu) pour consulter des pages web : trop de lenteur et de délai. Utilisation de la BP en down presque au max côté distant lorsque l'affichage de la page web consultée change beaucoup
- RDP via les RemoteApp : excellent. Pas de problèmes de stabilité avec 8 fichiers word ouverts en même temps (j'ai pas testé plus)
- fermeture de session : moins de 10 secondes
 
 
Si vous avez des remarques ou des conseils, je suis preneur