vpn ipsec sous linux + pb d'addressage IP

vpn ipsec sous linux + pb d'addressage IP - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 30-03-2004 à 17:38:00    

Bonjour tous le monde,
 
Je dois mettre en place une infrastructure de ce type :  
les employés doivent pouvoir accéder au ressources intranet de l'entreprise depuis chez eux. J'ai donc a ma disposition une machine possédant une adresse ip publique et la tache d'installé un os dessus (surement un linux).  
Deplus les serveurs interne de l'entreprise ne peuvent être accessible que depuis une ip interne. J'aimerais donc votre avis sur le matériel a utilisé :
je pense ipsec pour le tunnel (freeswan pour linux).
Mais jvois pas trop comment résoudre le problème pour accéder au server interne, car une fois le vpn monté le client, depuis chez lui accedera a la gw qui fait vpn, mais pas au server interne car son ip ne sera pas une ip du réseau interne.
 
Apres lecture de certaines docs sur le net, j'ai lu qu'on pouvait utiliser dhcp pour donnée une ip virtuelle au client, ce qui pourrait ptre etre utile (il suffirait d'allouer une plage du sous réseau d'adresse privée).Mais j'ai pas vu d'exemple pratique utilisant cette solution.
 
Ah et autre chose, il faut que depuis le poste client, ceci sois possible sous windows, linux et mac. Il faut également que se soit relativement accessible vu que c'est pour des employés.
 
Merci d'avance :)
 :hello:


Message édité par kenshln le 30-03-2004 à 17:41:16
Reply

Marsh Posté le 30-03-2004 à 17:38:00   

Reply

Marsh Posté le 30-03-2004 à 17:40:49    

Vala je sais pas si c'est mieux ms bon :x

Reply

Marsh Posté le 30-03-2004 à 17:48:55    

au niveau du fw, je pense pas qu'il y aura de soucis, le truc qui m'enbete vraiment c'est que les "road warriors" (terme apparement utilisé pour désigner les gens qui bossent en dehors de la boite :D) arrivent à acceder a ses foutu servers interne (malgré la restrictions d'ip)

Reply

Marsh Posté le 30-03-2004 à 19:34:00    

installe un vnc sur le VPN :)

Reply

Marsh Posté le 30-03-2004 à 23:08:27    

lol

Reply

Marsh Posté le 31-03-2004 à 22:38:53    

Bon ya pu d'idée ? :x

Reply

Marsh Posté le 06-04-2004 à 15:02:42    

pffff...j'ai exactement la meme chose a faire..en Gros serveur web dans une DMZ qui doit pouvoir etre accessible de l exterieur comme de l interieur, avec posibilite d atteindre l interne depuis l exterieur sans que les ip externe n'ai le droit directe d'atteindre l'interne..
Donc c est la meme chose...
Le serveur web est donc entoure d un ISA server et d'un FW Unix et IPSec doit etre mis en place...
Le seul soucis c'est que je n'ai jamais touche à une machine linux ou unix de ma vie :D
Ca va etre fuuuuun :d

Reply

Marsh Posté le 06-04-2004 à 15:26:47    

JoWiLe a écrit :

ipsec en mode tunnel (à configurer correctement) entre la machine ext cliente et ton fw unix ;)


 
ah moi c est pas ce qu on m'a suggeré/imposé...IPSec sera entre la patte interne du serveur Web et la patte externe du FW interne

Reply

Marsh Posté le 06-04-2004 à 16:19:23    

boomboommusic, bah ipsec avec freeswan c'est assez space au début, ms une fois compris le truc cavas :)
me reste plus qu'a testé les certfis x509 et j'ai fais les 4modes d'auth :)

Reply

Marsh Posté le 06-04-2004 à 19:23:31    

hum, deja le coup des certifs j'aime pas (une apres midi et ca marche toujours pas :').
Sinon le plus simple (jparle avec freeswan, j'ai pas essayé ipsec+2.6,) c'est la gestion manuelle des clés : tu définis tous en dur ds le fichier de conf et y a pas de pluto qui tourne (demon ike). D'un c'est pas super niveau sécu, et de deux sous win j'arrive pas a conf pour la meme gestion des clés (dc c'est réglé car il faut que se sois interoperable:).
Sinon via preshared key ou signature rsa c'est pas mal jpense et relativement simple a mettre en place et niveau sécu si on met une bonne taille pour rsa c'est pas trop mal.
 
En fait perso moi pour mon taff il faudra le meilleur compromis entre interopérabilité et sécurité (server soit sous linux soit openbsd (pas encore testé :) et client windows/linux/*bsd/mac)
 
ps : stuveux jpeux te montrer mes fichiers de conf si ca peut t'aidé à résoudre certains pb :)


Message édité par kenshln le 06-04-2004 à 19:24:26
Reply

Marsh Posté le 06-04-2004 à 19:23:31   

Reply

Marsh Posté le 07-04-2004 à 16:13:08    

JoWiLe a écrit :


 
c'est quoi une patte :??:
 
sinon tu me décris une encryption entre 2 serveurs internes à la boite... il est où le client dans tout ça? faut bien l'authentifier, non?


 
ce que j'appelle une patte c est la carte reseau ( c est surement du patois de mon environnement de travail :) )
 
Alors explication je vais essayer d etre clair.
 
J ai un reseau interne Win 2k AD 172.xxx.xxx.xxx
 
ce reseau interne pour acceder à l'exterieur passe par  la patte interner d'ISA server 172.xxx.xxx.xxx
 
ISA server pour aller à l'exterieur sort par sa patte externe toujours en 172.xxx.xxx.xxx ...
 ...pour acceder à la patte interne du FW Unix en 172.xxx.xxx.xxx toujours puis on sort via smoothwall sur la patte externe autre que 172.xxx.xxx.xxx
 
(ce qui se traduit pour une requete web du client interne par
client--->green ISA--->red ISA--->green fw UNIX---> Red UNIX
 
Pour le serveur WEB en VPN IPSec cela se fait entre ISA et le FW Unix... via l'interface Orange de smoothwall
 
J'avoue que depuis ce matin je dechante un peu..tout ce qui etait Microsoft ca allais tout seul mais la je suis passez à Linux/UNIX et vu que je ne connais que 3 commandes : ls, cd et man vous voyez le trip  donc tout devient un peu flou tout a coup :p mais c est un challenge :) qui me branche bien :)
 
++
 
Voila j'espere avoir expliquer correctement :)

Reply

Marsh Posté le 08-04-2004 à 14:22:13    

j'ai rien capté lol
c'est quoi ISA ? (a pars que c'est un port dans un pc ^^, ok je sors :)

Reply

Marsh Posté le 08-04-2004 à 14:35:08    

kenshln a écrit :

j'ai rien capté lol
c'est quoi ISA ? (a pars que c'est un port dans un pc ^^, ok je sors :)


 
Microsoft Internet Security & Acceleration Server

Reply

Marsh Posté le 08-04-2004 à 17:20:39    

ah ok ;)

Reply

Marsh Posté le 08-04-2004 à 18:57:11    

vivement les vacances que ca murisse un peu dans ma tete paskeu la ca aurait plutot tendance à me casser la tête...
J'en suis seulement à l'etape installation de FreeBSD pour le serveur WEB et a chaque foi y a un package qui fout la merde..lu mais pas installe c est relativement enervant :d

Reply

Marsh Posté le 26-04-2005 à 12:44:45    

Slts à tous.
 
Msg pour kenshln
As-tu trouvé une solution pour accéder depuis l'extérieur (avec une @IP interne) au réseau interne ?
J'ai le meme problème à résoudre.
 
Merci.  

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed