Rotosky

Un forum pour se présenter. Le but est surtout de faciliter la compréhension des posts émis par l'auteur et donc un endroit privilégié pour mettre vos schémas réseaux. Ce qui peut servir à la convivialité et à la bonne ambiance est accepté aussi, à condition d'éviter de tomber dans le style 3615MyLife !

Rotosky

Message par rotosky » 20 Juin 2012 14:39

Bonjour, enfin réinscrit après Ixus!

J'utilise 2 réseaux avec SME : 1 à la maison (pour faire des essais et mon confort personnel... derrière une livebox2 en server/gareway) et l'autre au boulot dont voici le schéma.
Code : Tout sélectionner
                                         internet
                                             |
                                        livebox pro
                                             |
                                      netasq U70
                                     |          |
--------------------------------------          --------------
| 192.168.XXX.yy5                                           | 192.168.ZZZ.yy1
|                                                           |
|                                                           | 192.168.ZZZ.yy2(WAN)
|                                                         SME Server/Gateway (messagerie / openvpn / web / ftp!)
|                                                           | 192.168.XXX.yy4 (LAN)
-------------------------------------------------------------
     |                                              |
     | Serveur 2008 (obligatoire)                   | postes +.....(192.168.XXX.yyy)
       192.168.XXX.yy1
rotosky
 
Message(s) : 5
Inscription : 19 Juin 2012 09:08
Localisation : Rodez (12)

Re: Rotosky

Message par jdh » 20 Juin 2012 15:20

Réflexion perso :

Il y a donc 2 "circuits" pour les micros du LAN :
- passage direct vers NetAsq (ligne à gauche)
- traversée via SME (ligne à droite)

Cela me semble très dangereux !

Un schéma standard eut été :

Internet <-> Livebox Pro <-> fw Netasq U70 <-> réseau LAN

et dans le réseau LAN, on trouve le serveur Windows ainsi que le SME en "server only" (1 seul carte réseau), et tous les PC.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Rotosky

Message par ccnet » 21 Juin 2012 09:01

Réseau inutilement compliqué et dangereux. La recommandation de jdh s'impose.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: Rotosky

Message par rotosky » 04 Juil 2012 15:45

Bonjour,
Je suis d'accord avec vous, c'est compliqué et peut-être dangereux.
L'explication est simple mais difficile à faire passer. :?
Le CA de ma boite n'a confiance qu'en les services d'Orange, il fallait une connexion sécurisée pour les transferts entre le site 1, le site 2 et un bureau déporté (ce bureau se trouve dans les locaux de la dgfip).
Présentation de la solution Netasq pour site déporté (site 1 <=> site 2) + 1 client mobile => ça fait PRO.
Pour ma part j'avais besoin d'un serveur mail, ftp et (open) vpn. Si possible souple et sécurisé => SME Server/passerelle
Le côté linux fait encore un peu peur à certains. Le technicien Orange qui a fait l'installation du netasq m'a dit que c'était impossible, j'ai alors pensé à cette solution qui remplit toutes les conditions précitées.
Pour l'instant, il n'y a jamais eu de problèmes depuis environ 3 ans. Mis à part le remplacement du serveur SME à chaque évolution de version qui correspondait à un changement de machine.
Et oui, le SME est victime de son succès (trop petit en stockage d'où le recyclage des anciens serveurs). :D
rotosky
 
Message(s) : 5
Inscription : 19 Juin 2012 09:08
Localisation : Rodez (12)

Re: Rotosky

Message par ccnet » 04 Juil 2012 23:53

Je suis d'accord avec vous, c'est compliqué et peut-être dangereux.

C'est pas peut être, c'est sûr.
il fallait une connexion sécurisée pour les transferts entre le site 1, le site 2 et un bureau déporté

Il y a les vpn pour cela. Pouruoi tout ne transite pas par le Netasq ?
Le technicien Orange qui a fait l'installation du netasq m'a dit que c'était impossible

Qu'est ce qui est impossible ?
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: Rotosky

Message par rotosky » 05 Juil 2012 09:29

Bonjour,
Merci du temps passé à me lire.

1) dangereux : le serveur windows => dhcp, passerelle (livebox pro), TSE, serveur de fichier, serveur d'impression
le serveur SME => ip fixe, no dhcp, mail, webmail, serveur fax, ftp, web, openvpn (dhcp pas dans la plage d'adresse du dhcp de Windows).
le pourquoi du Sme , souplesse et réactivité de SME + le budget.

2) Les échanges entre les sites 1, 2 et client mobile passent tous par le vpn Netasq pour faire du TSE. Le SME grâce à Openvpn de passer outre le problème de licence mobile Netasq (1 pour 1 poste) et le coût de chacune.

3) le tech d'Orange ne pouvait pas configurer l'accès aux serveurs Windows et Sme à travers le Netasq avec la même adresse Ip fixe (Wan) pour faire passer le vpn Netasq et l'Openvpn (conflit Nat). Pour une Livebox Pro + SDSL, Orange fourni 6 adresses Ip fixe dont 2 sont réservées, il en reste 4. D'où pour le Windows, une adresse différente du Sme et plus de conflit Nat.

Je sais bien que c'est une usine à gaz mais tout marche sans anicroches et d'après les logs, il y a bien des tentatives d'intrusion mais bloquées soit par le Netasq (pour Ip Windows), soit par le Sme (Ip SME).
J'ai un budget limité pour faire fonctionner tout cela et je dois perturber l'entreprise au minimum (c'est à dire pas de perturbations).
Je sais que la solution n'est pas très orthodoxe mais je pense avoir limité les risques avec ce que j'avais.
Cordialement.
rotosky
 
Message(s) : 5
Inscription : 19 Juin 2012 09:08
Localisation : Rodez (12)

Re: Rotosky

Message par jdh » 05 Juil 2012 09:48

Le danger est latent dans une config à 2 branches !

Je recommande juste que la SME devienne "server only" et soit connecté au LAN (comme le serveur Windows).
Cela évite tout problème particulier.
(Bien sur, si le NetAsq gère plusieurs adresses ip publiques et redirige l'une vers le SME, il faudra changer la règle ...)

Mais ce sont des ajustements, somme toute, assez mineurs pour éviter un danger latent.

Ce qui est important, c'est d'avoir conscience du danger, de planifier une bascule, ... la main est dans ton camp !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Rotosky

Message par rotosky » 05 Juil 2012 16:13

Bonjour,
Je suis tout à fait d'accord mais dans mon cas j'ai besoin d'une solution pour gérer un openvpn à moindre coût (d'où l'obligation d'avoir 2 cartes réseaux sur une config type SME).
Je dois avouer que mon idée est plutôt de supprimer le Netasq (à court terme=> fin d'abonnement) et de mettre un autre SME sur le site déporté et d'utiliser le "site-to-site" en mettant cette fois le SME en tête et le Windows dans le Lan (en dessous). A voir si je peux conserver la fonction de client mobile openvpn.
Merci encore pour ces conseils.
rotosky
 
Message(s) : 5
Inscription : 19 Juin 2012 09:08
Localisation : Rodez (12)

Re: Rotosky

Message par ccnet » 05 Juil 2012 17:37

(d'où l'obligation d'avoir 2 cartes réseaux sur une config type SME)

Absolument pas. J'opterai aussi pour la proposition de jdh. Un SME et un Windows dans le même lan, chacun une interface.
Quitte à remplacer le Netasq, mettez Pfsense. Vous pourrez y gérer un ou plusieurs vpn SSL (Openvpn) ainsi que de l'ipsec pour la connectivité site à site par exemple. Et comme, côté wan, vous avez un /29 c'est le grand confort.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: Rotosky

Message par rotosky » 06 Juil 2012 10:19

Bonjour,
Merci pour ces précisions.
Je viens de relire les docs de SME et Openvpn (pas toutes quand même, je n'ai pas eu le temps) et effectivement, le mode gateway n'est pas obligatoire pour faire de l'Openvpn. Honte à moi! Je ne connais pas Pfsense, je vais m'y intéressé de plus près et voir comment corriger tout ça.
Merci pour votre 'insistance'.
Cordialement.
rotosky
 
Message(s) : 5
Inscription : 19 Juin 2012 09:08
Localisation : Rodez (12)


Retour vers Présentation - schémas

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron