Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2255 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Faire un Serveur VPN transparent avec quelques spécificités

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Faire un Serveur VPN transparent avec quelques spécificités

n°159076
hispace_
Posté le 07-12-2018 à 09:17:05  profilanswer
 

Bonjour,
 
Infos préalable :
OS prévu pour le serveur VPN : Windows serveur 2012
Un logiciel serveur VPN « Gratuit » serait préférable ou a pascher…
 
Problématique :
 
Nous avons ici des PCs portable (OS : Windows 7 Pro & 10 Pro) qui se connecte en filaire dans notre entreprise avec un adresse IP fixe W.X.Y.Z (appelons les IP des portables dans l’entreprise : IPPCport1 pour le 1er PC portable, IPPCport2 2ème PC portable etc...). Je répète c’est une IP fixe (donc sans DHCP) c’est important ! il ne faut que le PC change d’adresse IP.
 
Les PCs portable une fois à l’extérieur seront en WIFI (plus en filaire (Ethernet) cela simplifie un peur je pense), en WIFI donc sur un réseau de type box (maison) ou cellulaire (Téléphone en mode modem/pont) ou autre accès… (?). Le Pc portable aura un accès Internet classique pas ces biais et ce faisant aussi au serveur.
 
Le serveur VPN aura une IP visible sur Internet : (IPserv) sous Windows server 2012.
 
Ce que nous souhaitons c’est que :
 
Le PC portable X (1,2…) à l’extérieur puisse être vu à travers le VPN avec la même adresse IPPCport1 comme s’il était dans l’entreprise avec donc toujours sa même adresse IP comme en filaire au sein de l’entreprise.
Nous voulons que le serveur VPN n’utilise/ne nécessite pas d’autre IP que la sienne. (I.e pas plus d’IP ou un pool d’adresses IP supplémentaire pour faire ce service VPN)
Aussi le logiciel/client VPN sur les PCs portable seront configuré sans possibilité de modification/export de la configuration. Autrement dit il faut être sûr que ce soit ce PC portable et uniquement lui qui se connecte (je pense faire cela par le bais d’un ID/mdp unique par PC portable, mais i vous avez d’autre Idées…)
 
En résumé le VPN une fois que l’on utilise le logiciel /client sur un PC portable 1 correctement configuré tout doit être « transparent » et doit être vu depuis l’extérieur à travers le serveur VPN comme s’il était (quasi / minus le lag réseau) physiquement dans l’entreprise avec son adresse IPPCport1 (idem pour chaque portable 2 , 3 …) comme habituellement dans l’entreprise.
 
Je conçois qu’il faudra bien paramétrer/configurer le serveur VPN pour faire cela et cela pour chaque PC portable. Mais je crains/ je « sens » qu’il y a un problème de routage pour conserver les adresses IP des portables à travers le VPN ?
 
Désolé de la « tartine », merci au courageux de m’avoir lu jusqu’ici.  
Si ce n’est pas clair  :pt1cable:  (c’est toujours pas évident de mettre à l’écrit ce l’on pense/conçoit) n’hésitez à me "rentrer" dedans...
 
Et si vous avez des explication/idées, vous aurez ma gratitude  :jap: :o) (si !)

mood
Publicité
Posté le 07-12-2018 à 09:17:05  profilanswer
 

n°159077
nebulios
Posté le 07-12-2018 à 09:42:15  profilanswer
 

C'est imbitable. Donne-nous tes besoins business, et la raison pour laquelle vous vous infligez ces contraintes techniques débiles.

n°159080
saarh
Posté le 07-12-2018 à 09:52:43  profilanswer
 

En effet. Pourquoi la contrainte de garder impérativement cette adresse IP ? On dirait presque un sujet de TD.....
Un peu plus de contexte serait pas mal ;)

n°159083
hispace_
Posté le 07-12-2018 à 10:01:37  profilanswer
 

Re-
Nope ce n'est pas un sujet de TP. (j'ai bien lu les "a lire avant de poster"
Effectivement les contrainte sont lourdes mais pas débiles, car nous avons des serveurs de licence logiciel qui nous impose ce type de contraintes.
 
sinon je pense faire du rdp a travers ce VPN mais il faut que je teste...
pour l'heure je vais voir le serveur inclus dans les Windows (dont le Server).
 
Désolé pour l'imbitable, je tenter de mieux l'expliquer, j'aurais du occulter la partie "la config sur le client n'est pas exportable". oubliez-la...
 

n°159085
nebulios
Posté le 07-12-2018 à 10:27:14  profilanswer
 

Je dirais qu'il faut que tu oublies cette histoire de serveur Windows VPN pour installer une appliance dédiée à la place, et de mettre en place du RDS, mais j'ai beau relire 3  fois ton post j'ai toujours un peu de mal  :D

n°159086
hispace_
Posté le 07-12-2018 à 10:43:17  profilanswer
 

oups  :hello:  Désolé,
 
Je tente de reformuler sans trop rentrer dans les détails
 
Des PC portables à l’extérieur (Wifi...) doivent pourvoir être vu à travers le VPN comme s'il était dans l'entreprise (avec la problématique : vu dans l'entreprise comme s'il était dans l'entreprise c.a.d avec son adresse IP d'origine (filaire), c’est là ou ça coince)
 
En tout cas merci d'avoir fait l'effort de me comprendre :bounce:

n°159090
saarh
Posté le 07-12-2018 à 14:05:00  profilanswer
 

Au moins, on comprends mieux la problématique :D Dans ces cas de figure, je dirais aussi plutôt tenter le RDS. ça sera aussi bien moins chiants à administrer par la suite.  
Là, si je comprends bien, tu n'as pas non plus la main pour définir au niveau du serveur de licence d'autres plages IP autorisées ?

n°159091
still_at_w​ork
Posté le 07-12-2018 à 14:31:33  profilanswer
 

Il y'a plusieurs possibilité :  
 
- Tu installes ton logiciel sur un RDS/Citrix. De cette manière, l'accès est possible en interne comme en externe.
- Si le logiciel n'est pas installable sur un RDS/Citrix, tu peux faire de la virtualisation du poste de travail. Plein de solutions existent.
 
Ca sera surement moins compliqué que de bidouiller un truc par le VPN.


---------------
In my bed, but still_at_work.
n°159092
hispace_
Posté le 07-12-2018 à 15:14:51  profilanswer
 

Merci pour vos réponse,  
- mais le RDS, c'est du RDP ? ou ? (rem je vais voir ça...)
 
Et si c'est là, la solution, comment faire pour :
Être sur que ce soit uniquement certains PC (nos portables) qui se connectent et pas un PC tiers qui a les code d'accès ? (je veux que ce soit uniquement nos portables qui ont cette possibilité !).
Enfin merci encore...

n°159093
nebulios
Posté le 07-12-2018 à 15:30:34  profilanswer
 

RDP c'est le protocole de communication, RDS c'est l'infra derrière.
 
Une infra RDS s'appuie sur l'AD donc tu pourras passer par biais pour gérer les accès (et au niveau du broker RDS aussi).

mood
Publicité
Posté le 07-12-2018 à 15:30:34  profilanswer
 

n°159094
still_at_w​ork
Posté le 07-12-2018 à 15:56:02  profilanswer
 

Tu as plein de possibilité, c'est assez complet comme archi, si tu n'a pas les connaissances nécessaires, fais-toi accompagner par ton intégrateur.


---------------
In my bed, but still_at_work.
n°159119
saarh
Posté le 10-12-2018 à 09:10:14  profilanswer
 

Si déjà tu as la connexion VPN + l'authentification via AD, c'est pas mal.  
La première ligne de défense, la connexion VPN sans laquelle, ton serveur n'est de toute façon pas visible de l'extérieur. Donc là, rendre un bon VPN, firewall, etc.
ça, plus l'authentification AD......ça réduit les risques, quand même ;)

n°159121
skoizer
tripoux et tête de veau
Posté le 10-12-2018 à 10:17:11  profilanswer
 

surtout comme dit saarh n'ouvre pas ton rdp directement sur internet.. même en changeant de port (oui oui, il y en a qui ont essayés)
tu pourrais avoir de mauvaises surprises
exemple : https://news.sophos.com/fr-fr/2017/ [...] -protocol/
 
n'oubli pas d'acheter les CAL RDP microsoft qui vont bien.

Message cité 1 fois
Message édité par skoizer le 10-12-2018 à 10:17:38

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°159126
Je@nb
Modérateur
In ze cloud
Posté le 10-12-2018 à 19:26:29  profilanswer
 

tu peux ouvrir en n'autorisant que certaines ip aussi

n°159127
ShonGail
En phase de calmitude ...
Posté le 11-12-2018 à 07:15:27  profilanswer
 

skoizer a écrit :

surtout comme dit saarh n'ouvre pas ton rdp directement sur internet.. même en changeant de port (oui oui, il y en a qui ont essayés)
tu pourrais avoir de mauvaises surprises
exemple : https://news.sophos.com/fr-fr/2017/ [...] -protocol/
 
n'oubli pas d'acheter les CAL RDP microsoft qui vont bien.


 
Ouais enfin là c'est une attaque par Brute Force.
Finalement cela peut s'opérer sur n'importe quel système d’authentification sans contre-mesures appropriées.
 
Tu actives le verrouillage des comptes au bout de x échecs d'authentification et l'attaque sera vaine.
IDEM en changeant de port car je doute que les scans tentent autre chose que le port par défaut.
Enfin effectivement, on peut filtrer par IP sources.
Et bien sûr faire les MAJ de sécu sur le serveur RDS et avoir des MDP forts changés tous les x mois.
 
Avec cela il n'est pas dit au final qu'un tel accès ne soit pas plus secure que pas mal de VPN mal gaulés, avec des MDP en carton et des protocoles avec failles non corrigés.

n°159128
dims
if it ain't brocken, mod it !
Posté le 11-12-2018 à 07:17:28  profilanswer
 

des failles sur le RDP sans qu'il y ait besoin d'authentification, ça s'est déjà vu ;)

n°159129
ShonGail
En phase de calmitude ...
Posté le 11-12-2018 à 08:00:08  profilanswer
 

dims a écrit :

des failles sur le RDP sans qu'il y ait besoin d'authentification, ça s'est déjà vu ;)


 
Tout à fait sur des failles dont les correctifs existaient avant leurs exploitations :o
Et puis avec filtrage sur les IP sources et modification du port, t'es à l'abri.
 
Enfin bon je ne pousse pas le RDP ouvert sur Internet mais la sécu cela se juge de manière plus fine que simplement "VPN plus sécure que RDP".

n°159130
dims
if it ain't brocken, mod it !
Posté le 11-12-2018 à 08:59:17  profilanswer
 

on est parfaitement d'accord !


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Faire un Serveur VPN transparent avec quelques spécificités

 

Sujets relatifs
[Help] Serveur IBM RS6000Mini mini serveur pour windows server
VPN Livebox V3 ShrewChangement de serveur et mise en place RDS
Questions VPNserveur dhcp en boot pxe
windows serveur 1012 et GPO pour windows10Partage de dossier sous Win Serveur 2008r2
Connexion VPN L2TP depuis un site distant 1 seul utilisateur a la foisWeb serveur local inaccessible de l'extérieur
Plus de sujets relatifs à : Faire un Serveur VPN transparent avec quelques spécificités


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR