PhenIXUS

[Bertr@nd]

Salut à tous,

Je suis à la recherche d'une solution permettant l'utilisation d'un VPN pour une petite structure.
Un utilisateur nomade aurait besoin d'accéder au serveur depuis l'extérieur.

config actuelle :
1serveur windows 2008 R2 fondation
4 utilisateurs locaux
1 futur utilisateur nomade
Accès sdsl orange pro 1Mbits

je pensais pouvoir paramétrer un accès vpn directement sur la livebox pro mais après quelques recherches cela ne parait pas possible ...
un vieux post ixus me l'a confirmé :
http://forums.ixus.net/viewtopic.php?t=39859

une solution proposée est de créer une connexion entrante directement sur le serveur puis de paramétrer la livebox en conséquence :
http://livebox.nigateo.info/sections.php?op=viewarticle&artid=35
mais cette solution techniquement possible me pose problème concernant la sécurité du serveur...

Donc la seul solution serait d'ajouter un serveur VPN, mais 2 serveurs pour une petite structure comme celle-ci ... déjà qu'ils avaient à peine la place pour le serveur windows !!

il s'agit de trouver la solution bien dimensionnée pour ce type d'utilisateur ...

Qu'en pensez-vous ?

@+

[Cool34000]

Salut,

Attention : si tu as un accès SDSL Orange, normalement tu n'as pas de Livebox mais une Business Livebox... Le hardware est en fait une OneAccess (surement une One100 vu ton débit).
Normalement ces routeurs gèrent le VPN IPSEC... Pas sur que ca soit possible par l'interface web, mais c'est possible via la console (Telnet ou SSH)

La difficulté est d'avoir accès à cette console... Et je ne suis pas sur qu'Orange te donne le mot de passe admin !
Mais ils devraient pouvoir te paramétrer ce service moyennant finance

[arapaho]

As-tu étudié une solution à base d'OpenVpn ?
Cela ne résout pas l'accès direct au serveur, certes, mais a le mérite de ne pas utiliser les composants fournis par Microsoft.

[jdh]

Quelques réflexions :
- une Livebox Pro moderne supporte les VPN Ipsec. (Où trouver de bons tutos ?)
- avec 1 serveur + 5 micros, il est difficile d'envisager un micro supplémentaire.
- il y a 2 alternatives : introduire un firewall supportant le VPN ou mettre en place une solution VPN sur le serveur.
- un serveur Windows peut être serveur VPN : soit avec des protocoles "microsoft" soit avec des services tiers.
- le serveur Windows en serveur VPN nécessite de configurer la Livebox : nom dynamique et transfert de port selon le VPN.
- mettre cette solution exige un minimum de compétences ...

Quelques solutions :
* configurer le VPN à partir des outils Windows 2008R2 foundation :
privilégier SSTP ou L2TP/Ipsec, cf http://www.labo-microsoft.org/articles/ ... -VPN-SSTP/
avantages : "full" microsoft
inconvénients : "full" microsoft, sécurité ? opérationnalité ?

* configurer un VPN avec OpenVPN :
cf http://openvpn.net/index.php/open-sourc ... ml?start=1
choisir une config routée
avantages : performant et sûr
inconvénients : nécessite de bien suivre le tuto

* mettre un boitier firewall avec VPN :
il existe des boitiers simples commerciaux (Zyxel, Sonicwall, ...) ou opensource (par exemple http://www.osnet.eu/ basé sur pfSense)
avantages : dédié, indépendant de Windows, performance, apporte vraiment de la sécurité (filtrage sortant !)
inconvénients : mettre les mains dans le cambouis, coûte quelque euros


Mon conseil : en 1, le boitier firewall !
Un peu exigent mais intéressant.
En 2, OpenVPN, parce que c'est quand même aisé mais limitation à accès au serveur.

[Cool34000]

Salut,

Je répète : Livebox avec accès SDSL chez Orange = Business Livebox
Rien à voir avec les Livebox et Livebox Pro !

Sa box ressemble (selon son offre) à ceci :

Ou ceci (pas trouvé d'image concernant la version SDSL, mais c'est le même boitier) :


Peux tu confirmer Bertr@nd ?

Dans tous les cas, les solutions que proposent jdh sont valables...
Sinon, tu peux demander à Orange de te paramétrer un VPN IPSEC comme déja expliqué.

[Bertr@nd]

En effet il s'agit bien d'une "business livebox" et pas d'un "livebox pro" (erreur de ma part ...)
confirmation d'après les images que propose cool34000.

j'ai donc demander des infos sur la tarification d'un option vpn chez orange, mais je n'ai pas de réponse pour l'instant.

@ jdh et arapaho :

Sur le papier je serais plus partant pour une solution type petit boitier pare feu (pfsense), mais matériel à maintenir en plus...

Concernant l'intégration d'une solution vpn sur le serveur windows : SSTP intéressant mais pas compatible avec xp sp3
Il reste la solution openvpn que je ne connais pas trop...(pas plus que SSTP d'ailleurs)

Si le serveur avait été une SME cela m'aurais moins dérangé d'intégrer le vpn au serveur ... mais se n'est pas possible à cause de logiciels propriétaires et base de données M$.

@+

[jdh]

Je ne suis pas là pour faire la publicité du site d'un membre du forum pfsense.org.

Néanmoins un Alix 2D13 avec 1 carte flash 4G + install pfSense + extension de garantie 3 ans est affiché à 215€.
Cela doit convenir largement à la dimension du tuyau et jusqu'à 5 micros en vpn.
Cela me parait pas excessif (même en prenant 2 pour assurer le coup).


Sinon OpenVPN est installable aisément en suivant le tuto que j'ai indiqué.
Il y a 2 difficultés à comprendre (loin d'être insurmontables) :
- la création des certificats sur le serveur se réalise en ligne de commande,
- sur le client, il est conseillé que les utilisateurs soit administrateur local.

Dernier point, avec une appliance firewall pfSense, vous aurez à créer les mêmes certificats mais vous disposerez d'une interface web.

[kryboo]

J'ai fait appel plusieurs fois a orange pour activer le VPN sur les boitiers sdsl il marche tres bien pour les petites structures.
En plus c'est Orange qui gère les incidents liés au vpn t'a pas a t'occuper d'un srv en plus.

[jdh]

Je viens d'avoir à faire un accès VPN à un (petit) site que je gère :

Schéma :
Internet <-> modem adsl <-> (WAN) pfSense (LAN) <-> réseau interne

Dimension : 6 salariés / 7 PC + 2 serveurs (mail + fichier) + 1 firewall (pfSense 2.0 mis à jour)

Mise en place d'OpenVPN :

Côté pfSense :
* dans System > Cert manager :
- création d'un CA (CA-comp)
- création d'un certificat pour le serveur VPN (vpn-serveur)
- création d'un certificat par utilisateur (ste-utilisateur) xN
* dans Firewall > Rules > onglet WAN :
- création d'une règle : proto/UDP, source/any, destinat/WAN Address, dest port/OpenVPN(=1194)
* dans VPN > OpenVPN :
- création d'un server : mode/RemoteAccess(SSL/TLS), proto/UDP, port/1194,
TLS auth/2 cases cochées, Peer autority/CA-comp), Server cert/vpn-serveur,
Tunnel network/n° de réseau VPN/24, Local network/n° du LAN/24,
DNS default domain + DNS Servers (selon le contexte),
le reste par défaut ...
* enregistrer les clés :
- revenir sur le serveur VPN et copier la clé générée (TLS authentication) dans un fichier "societe-tls.key"
- revenir sur le CA et enregistrer le fichier "societe-ca.crt" (première "flèche" : export CA crt)
- revenir sur les certificats utilisateur et enregistrer les 2 fichiers "ste-utilisateur.crt" ("flèche" export cert) et "ste-utilisateur.key" ("flèche" export key)

Côté Client (Windows) :
* installer le pgm client
- sur le site OpenVPN : http://openvpn.net/index.php/open-source/downloads.html
- installer (en administrateur)
* configuration :
- dans C:\Programmes\OpenVPN\config
- installer les 4 fichiers : societe-ca.crt, societe-tls.key, ste-utilisateur.crt, ste-utilisateur.key
- créer le fichier de conf "societe.ovpn" :

Code : Tout sélectionner

dev tun
persist-tun
persist-key
proto udp
cipher AES-128-CBC
tls-client
client
resolv-retry infinite
remote (adresse publique) 1194
ca (societe-ca.crt)
cert (ste-utilisateur.crt)
key (ste-utilisateur.key)
tls-auth (societe-tls.key) 1

* Lancement :
- bien veiller à démarrer le gui open-vpn en mode administrateur !


NB : cela fonctionne très bien avec une ip dynamique : activer un Dyndns p.e. Je ne détaille pas si on est derrière une box ...
NB : désolé pour ce tuto un peu sec mais il y a juste ce qu'il faut ...

[Bertr@nd]

salut à tous,

Merci bien pour toutes ces infos utiles.
Pour l'instant cela n'avance pas beaucoup, après coup de fils au support orange il semblerait que le modèle de box fournie (forfait biv) ne permette pas de faire du vpn (étonnant...). D'ailleurs tant pis pour orange, si le besoin de vpn se confirme on partira certainement sur du pfsense ...

@+