PhenIXUS

[James_Bond]

Bonjour a tous,

Je sors de DUT info (je suis développeur à la base) et ceci est ma première expérience en matière de réseau informatique.

Je suis actuellement en charge de la création d'un SI dans une entrerpise situé sur 2 sites possèdant chacun une connexion internet.

Voci le schéma actuel des réseaux :



Le projet a pour objectif de relier les 2 réseaux et de filtrer les requêtes http des machines.

Pour cela, j'envisage de monter deux servers IPCOP devant chaque box.

Voici lidée du "futur" réseau.




Je voudrais savoirr s'il sera possible d'établir une liaison VPN entre les 2 servers (openvpn par exemple sur le principe client/server) .
Le but ici étant de pouvoir accéder à l'interface web du proxy 2 à partir du site 1.

Les IPCOP serviront de Proxy trnasparent et donc de server DHCP car je n'ai pas accès à la configuration des systèmes des machines sur les 2 réseaux lan pour des raisons de sécurité interne à l'entreprise ( c'est peut-être pour ça qu'aucun dispositif n'a été mis en place avant).

Zentyal semble être très bien pour un débutant mais l'addon squidguard de IPCOP (s'il est compatible v2 ?) me paraît indispensable notamment pour établir des blacklists.

J'espère avoir respecté les règles et vous remercie de bien vouloir m'orienter vers les distributions libres qui vous semblent les plus adéquates à la réalisation de ce projet.

[Franck78]

Le projet a pour objectif de relier les 2 réseaux et de filtrer les requêtes http des machines.

Pour cela, j'envisage de monter deux servers IPCOP devant chaque box.

Je voudrais savoirr s'il sera possible d'établir une liaison VPN entre les 2 servers (openvpn par exemple sur le principe client/server) .
Le but ici étant de pouvoir accéder à l'interface web du proxy 2 à partir du site 1.

Les IPCOP serviront de Proxy trnasparent et donc de server DHCP car je n'ai pas accès à la configuration des systèmes des machines sur les 2 réseaux lan pour des raisons de sécurité interne à l'entreprise ( c'est peut-être pour ça qu'aucun dispositif n'a été mis en place avant).

Salut,

Sans accés à la conf des postes clients, il est risqué, même avec le dhcp, d'intercaler un routeur. Il y aura bien un engin (serveur, imprimante,...) réglé en dur quelque part. Il faut le coucours du 'service qui gère le lan' !

Le vpn pour administrer le proxy est peut être en peu trop lourd. Si le site 1 est un IP fixe, autoriser l'admin de site2 depuis cette unique IP suffit.

Il faut avoir accès au box/routeur, pour rediriger le trafic vers le routeur inséré. Est-ce le cas ?



bye

[James_Bond]

Merci ta réponse.

Sans accés à la conf des postes clients, il est risqué, même avec le dhcp, d'intercaler un routeur. Il y aura bien un engin (serveur, imprimante,...) réglé en dur quelque part. Il faut le coucours du 'service qui gère le lan' !

Actuellemment, il n ' y a que des stations internet dans les 2 lan et c'est moi le gérant. En fait, c'est bizarre mais c'est juste un réseau pour l'internet et rien d'autre.

Le vpn pour administrer le proxy est peut être en peu trop lourd. Si le site 1 est un IP fixe, autoriser l'admin de site2 depuis cette unique IP suffit.

Il faut avoir accès au box/routeur, pour rediriger le trafic vers le routeur inséré. Est-ce le cas ?

j'ai accès à la configuration de toutes les machines sur le schéma sauf des machines du lan. En ce qui concerne les box, j'ai un speedtouch 510 routeur dhcp nat du coté du site 1 paramètrable depuis une interface web et avec telnet (je n'ai pas encore testé). Si je comprends bien, Il est possible de se connecter a IPCOP à distance sans vpn , comment?

[Franck78]

risque : simplement que rien ne marche parcequ'un réglage quelconque sur le poste client n'est pas inpacter par le dhcp.

Actuellemment, il n ' y a que des stations internet dans les 2 lan et c'est moi le gérant. En fait, c'est bizarre mais c'est juste un réseau pour l'internet et rien d'autre

il n'y a pas que des entreprises avec des secrétaires !
hotel, internet café...

Donc effectivement, le risque de panne est très limité (surtout si clients linux).

Pour l'admin par l'interface publique, il n'y a qu'a chercher un peu. Ca doit bien être prévu sur IPCop2. C'est toujours une option désactivée par défaut.

Franck

[James_Bond]

Bon et ben, je pensais me faire jeter en arrivant ici mais ça s'est bien passé, je commence dès demain l'installation de mon réseau !
Merci

[sibsib]

Bonjour,

Pas du tout spécialiste des VPN, mais dans ton schéma, un truc me choque : il semble que le réseau privé derrière la box soit le même sur les deux sites. Je ne vois pas trop comment çà doit pouvoir marcher en cas de VPN. Plus généralement, j'éviterais (il y a pléthore de réseaux possibles en adressage privé, pourquoi prendre un risque pareil ?)

A+,
Pascal

[Franck78]

@sibsib,
il a bien changé les numéros de réseaux derrière ses ipcop (192.168.0/1.x)

entre les ipcops et les routeurs, ça ne concerne plus le contenu du vpn.

[jibe]

Salut,

Bon et ben, je pensais me faire jeter en arrivant ici mais ça s'est bien passé, je commence dès demain l'installation de mon réseau !

Pourquoi ? On a l'air si méchants ?

C'est vrai qu'on est volontairement un peu exigeants, entre autres pour des raisons historiques. Mais ceux qu'on jette, ce sont ceux là. Quand on sent qu'il y a un investissement personnel et un effort pour présenter le problème de manière claire et complète, donc de la recherche préalable, au contraire : on apprécie et ça nous motive à aider !

Pour en revenir à ton réseau, je suis aussi de l'avis qu'un VPN n'est pas nécessaire et pourrait poser des problèmes, maintenant ou plus tard si tu n'as pas possibilité d'intervenir sur le LAN. Et je plussoie ce que dit sibsib, qui ne parlait pas du LAN, mais du réseau privé entre box et ipcop !

[EDIT] Pas prêté attention à la remarque de Franck :

entre les ipcops et les routeurs, ça ne concerne plus le contenu du vpn.

Oui, j'ai probablement mal raisonné... Je voyais l'accès à l'interface web depuis ce réseau entre ipcops et box, mais effectivement c'est plutôt depuis le LAN ! J'ai un peu mélangé VPN entre box et VPN entre ipcops placées derrière des routeurs...

Démonstration du danger de la cascade de routeurs : on a vite fait de se mélanger les pinceaux
[/EDIT]

J'ajouterai aussi que la solution provoque un double NAT, et que je persiste et signe ce que j'ai dit dans le troll du siècle (lien inutile à ceux qui ne l'ont pas lu, c'est dilué dans plus de 200 posts !) : la cascade de routeurs-firewall n'amène aucun avantage mais des inconvénients au moins potentiels, elle ne se justifie que lorsqu'elle est inévitable (je dis ça pour contrer un argument pertinent de Frank à l'époque : la cascade routeur du FAI + routeur du réseau privé est inévitable, ce n'est pas comparable à la cascade du second schéma de James_Bond ). N'y a-t-il pas moyen de passer les box en bridge ? Ou d'utiliser un simple modem ?

Pour le reste, j'avoue ne pas avoir vraiment bien saisi le besoin exact ayant amené le projet (un petit manque dans le premier post... ). Un accès ssh ne peut-il pas faire l'affaire ?

[jdh]

Voilà un problème correctement posé.
Mais il y a aussi pas mal d'incompréhensions qui pourrait poser problèmes ...

- Sans avoir la main sur les box/routeurs (à préciser), il va être difficile de réaliser quoi que ce soit !
- 2 sites = 2 réseaux distincts = 2 n° de réseau différents

Les IPCOP serviront de Proxy trnasparent et donc de server DHCP car je n'ai pas accès à la configuration des systèmes des machines sur les 2 réseaux lan pour des raisons de sécurité interne à l'entreprise ( c'est peut-être pour ça qu'aucun dispositif n'a été mis en place avant).

Les ipcop seront serveur DHCP (en remplacement du routeur) : OUI
un proxy transparent : semble super mais semble seulement : à partir d'une certaine taille, il est bien préférable de mettre un proxy dédié.
"raison de sécurité" : soit vous avez la responsabilité de l'ensemble soit il ne faut rien faire !

Mon approche
1/ migrer chacun des réseaux internes vers son adressage final :
- modifier les box/routeur,
- pensez à tout ce qui peut avoir une adresse en dur
- découper des blocs d'adresses par type de matériels : routeur, imprimantes, pc, ...

2/ préparer les firewalls
- préparer les machines
- tester la config avec le vpn
- tester les règles de firewall

3/ basculer
- modifier les box/routeur + configurer les renvois nécessaires
- intercaler les firewalls


NB : il est notable que les vpn IPSEC peuvent avoir quelques difficulté avec la traversée de routeurs (ou les renvois).

NB : le débit du lien sera inférieur à la vitesse maxi de montée (souvent 800k soit 80ko/s) (et pas 20M ou 8M).

[James_Bond]

Bonsoir,

Donc j'ai installé une machine IPCOP 1.4.2 entre la BOX 1 et le lan1 sans trop de difficulté, il est vrai que c'est assez simple.

J'avais quelques appréhensions avant de poster car je suis loin d'avoir un bon niveau en linux et en réseau en particulier. Mai c'est vrai que je fais pas mal de recherches pour essayer d'avancer. Par exemple la, j'ai un peu souffert pour ajouter l'addon urlfilter à mon server (créer le répertoire et copier le fichier ). Un vrai noob quoi !

C'est vrai que 2 routeurs DHCP à la suite me gène un peu et il y a un mode bridge sur mon speedtouch 510. Je vais donc essayer de l'utiliser. Je ne connais toujours pas le nom de ma deuxième box/routeur car je ne me suis pas encore rendu sur le deuxième site mais de mémoire visuelle c'est un truc du même style.

Sur le lan 1: J'ai un service (de gens qui bossent) de 3 machines windobes qui devra utiliser un scanner réseau. 2 machines (mac et winxp) appartenant à mon service d'où je configure mes routeurs et les autres machines sont soit des PC perso sous windobe ou mac n'appartenant pas à l'entreprise soit des machines dont on ne doit pas savoir ce qu'elles font ( c'est confidentiel , ils m'ont dit pas " pas touche", mais comme c'est mon service qui paye la connexion , si y a un problème c'est pas à eux qu'on demandera des comptes ). Bref, d'où l'importance de pouvoir surveiller le traffic.
Donc je vais mettre les adresses des machines du service en dur pour le scanner. Configurer URLfilter et jeter un coup de d'oeil à nettraffic.

Sur le 2ième lan ce sera sensiblement la même chose.