Bonjour,
voici l'architecture que j'aimerai mettre en place :
 

 
Ma première question est de savoir déjà si une telle structure est possible ?  
 
Et de facto, si ce que j'appelle dans ce croquis un "nomade" (tout utilisateur distant) peut accéder au NAS ?
 
 
Merci !

Pas de problème, pour les deux questions. Le tout est de bien configurer les routes et le NAT, mais après c'est pas compliqué.

Ok merci bien ! c'est cool

Je me permets de remettre à jour ce post pour une nouvelle question. Effectivement cette archi est possible mais je me demande comment rendre accessible le NAS de l'extérieur étant donné qu'il est derrière une DMZ.
 
Est-il possible de faire une sorte de réplication du NAS dans la DMZ ? Tout en gardant l'aspect sécurité bien entendu !

Qu'appelles-tu une DMZ, techniquement ? parce que ce mot peut avoir deux significations, alors il faudrait être sûr de ce dont on parle.

cette notion là :

http://www.commentcamarche.net/con [...] ement.php3

Et du coup on voit bien qu'il est impossible de faire passer du trafic du réseau externe vers le réseau interne (principe même de la DMZ)

Tu mets en place un espace disque en DMZ que tu synchronises avec ton NAS.
La synchronisation est initiée par le NAS (ou en tout cas un serveur ayant accès au NAS situé dans le LAN).

Tout accès direct de la DMZ vers le NAS doit être bloqué. Seule un connexion initié de l'intérieur du LAN peut déclencher un échange.

Tu protège ton NAS contre les attaques qui visent à détruire les données.
Par contre en cas de compromission tes données sont accessibles.

Voilou

@+

En même temps, c'est toi qui défini le rôle de la DMZ!  
Le principe est effectivement celui est décrit, mais si tu souhaite pouvoir faire transiter du trafic DMZ -> LAN c'est possible si ton routeur / firewall le permet : il suffit de configurer les routes et d'autoriser le trafic DMZ vers LAN sur les ports qui t'intéresse... en effet, ça t'ouvre potentiellement une faille de sécurité.
 
Après, tu peux aussi faire une réplication de ton NAS dans la DMZ, et n'autoriser que le NAS de la DMZ a communiquer avec celui du LAN.
 
 

oui voila c'est ca que j'aimerai comprendre un peu plus. La réplication du NAS dans la DMZ.
Comment ca se passe ? En placer un deuxième (NAS) dans la DMZ ? Ou existe-t'il une sorte de réplication logique ?

Il s'agit d'un espace disque, qui doit être accessible à la fois par le portail de ton VPN et par le logiciel de synchro.
La machine qui partage doit se trouve dans la DMZ.
Après c'est comme tu le sens, un autres NAS, un répertoire partagé sur serveur qui héberge le portail du VPN, sur un autre serveur Windows ou GNU/linux (SAMBA).

@+

Oue donc en gros faut que je fasse une "tri réplication". Une réplication sur un troisième support qui est lui dans la DMZ (Parce que pour rappel le NAS qui est derrière la DMZ doit être en réplication avec un autre NAS sur un site distant).
Du coup les utilisateurs distants auront accès non pas au NAS qui est derrière la DMZ mais à une réplication de celui-ci ?

 
Tu peux aussi considéré que ta réplication est placé dans la DMZ auquel cas tu n'as que deux NAS et les utilisateurs accède à la réplication du NAS principal.
 
Le soucis est surtout de savoir qui écrit. Si les utilisateurs du VPN qui accèdent au NAS en lecture seul tu es dans le cas simple (synchro unidirectionnel).  
Si tes utilisateurs VPN peuvent aussi écrire, il faudra une synchro bidirectionnel. C'est toujours un peu plus délicat à faire. Jette un oeil à Unison.
 
@+

le problème de mettre la réplication dans la DMZ est qu'on perd l'aspect sauvegarde des données entre deux sites distants.
 
Pour la syncho je vais aller voir Unison ! Merci

Je n'ai pas compris. A partir du moment ou il existe deux disques en réplication, si un tombe au champ d'honneur des disques durs Tu as toujours un disque qui conserve les données.

Personnellement je verrais en fait les chose dans l'autre sens. Le disque principal en DMZ et la réplication sur le LAN.

A moins que ton ne problème soit d'avoir toujours tes données accessibles sur chaque site même si la connexion entre les deux tombe !
@+

Ben le problème de mettre le NAS et dans le LAN et dans la DMZ donc physiquement sur le même site c'est que si jamais le dit site subit des dégâts importants du type incendie, les deux NAS seront cramés

Alors là je ne comprends plus (dès fois je suis comme ca )

Si tu souhaites avoir une réplication avec un NAS par site, ce qui est évidement très bonne solution en soit, pourquoi un VPN ?
Une simple connexion sécurisé (scp ?) entre les deux deux sites pour la synchro, chaque utilisateur accède aux données sur son NAS local et le tour est jouer.

@+

Parce que le second site est très petit (quelques pc) il y a surtout de nombreux utilisateurs itinérants

Euh franchement une double réplication temps réel (je suppose) bi-directionnelle .... ca fait peur.

J'aurais plutôt tendance à revenir à un VPN classique (pas de DMZ) et un NAS avec une réplication unidirection offline.
Ça, tu es sûr que cela va marcher.

@+