Session TSE sur Netasq

Session TSE sur Netasq - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 03-03-2016 à 11:27:36    

Bonjour à tous,
 
Dans mon entreprise, nous sommes en possession d'un NETASQ U70.
Mes objectifs sont :

  • Ouvrir une session TSE depuis l'extérieur pour avoir accès à 1 ou plusieurs postes du réseau
  • Avoir accès au répertoire partagé d'un serveur NAS NETGEAR. \\192.168.35.XX\Nom_du_partage


J'ai donc commencé par créer une connexion VPN PPTP, qui fonctionne. je ping bien le routeur NETASQ + serveur + postes du réseau
Mais pas la connexion TSE ni répertoire partagé (mais que je n'ai pas encore configuré donc ce qui est normal).
 
A noter que lorsque je suis en Pass-all, la connexion TSE + répertoire partagé fonctionne, donc je pense que le problème vient d'une ou plusieurs règles de filtrage.
Ci-dessous, mes règles de filtrage
http://setur.fr/filtrage.JPG
merci de votre aide

Reply

Marsh Posté le 03-03-2016 à 11:27:36   

Reply

Marsh Posté le 03-03-2016 à 11:36:54    

Bonjour,
 
normalement le port pour le TSE est le 3389, pour ce probleme particulier je pense qu'il faut créer une règle :
 
passer - any-any en renseignant juste le port 3389
 

Reply

Marsh Posté le 03-03-2016 à 11:47:25    

Merci de ton retour!
Mais je l'ai fait, c'est la règle 16 (dernière ligne). Dans "Port de destination", j'ai bien indiqué le port microsoft ts (3389).

Reply

Marsh Posté le 03-03-2016 à 11:51:01    

Effectivement j'avais pas vu ! par contre enleve ta destination et met plutot any en destination et réessayes. Par contre pourquoi tu l'as monté en pptp ton vpn ? y'a une raison particulière ? le vpn ipsec existe sur ta version de netasq ?  

Reply

Marsh Posté le 03-03-2016 à 11:55:48    

perso j'aurais plutôt mis en source les ip des clients pptp et en destination ton/tes serveurs RDS.
any/any c'est crade

Reply

Marsh Posté le 03-03-2016 à 12:01:50    

Ca n'a rien de crade, ça permet simplement d'avoir de multiples sources de connexions TSE, ce qui semble etre la demande ici.

Reply

Marsh Posté le 03-03-2016 à 12:05:53    

bah non la source de connexion c'est les clients connecté en PPTP.

Reply

Marsh Posté le 03-03-2016 à 12:53:17    

pour ce genre de solution essaye plutot le vpn ssl
connection via tunnel ssl via https://
mais bon tu es encore en V8... elle n'est plus supporté, donc plus du Mise à jours, il faut passer en V9 le plus vite possible.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 03-03-2016 à 13:55:11    

Merci a tous!
 
Effectivement, il faut que ma présidente (entre autre) ait accès de n'importe ou au réseau, donc c'est pour cela que j'ai mis "any" pour la source.
Pourquoi PPTP? car c'était le plus simple et le plus rapide à mettre en place mais effectivement il faut que je passe en un vpn plus sécurisé, comme un vpn ipsec!!
 
Oui pour la V9 mais la dernière fois que nous avons fait la mise à jour, plantage totale du NETASQ!!! Heureusement que nous avions une sauvegarde.
 
Et si veux avoir accès aux dossiers partagés, comme \\adresse-ip-serveur\partage, quel est le port de destination que je dois intégrer??
 
Merci encore

Reply

Marsh Posté le 03-03-2016 à 15:49:22    

La migration V8 -> V9 n'est pas une mince affaire.
Pour faire simple, après avoir fait la maj du parefeu en V9, il faut faire un reset usine du boîtier et recommencer la conf.
En effet, la philosophie du boîtier a énormément changé entre ces 2 versions majeures.
 
L'idéal serait bien sûr de basculer sur un Stormshield en V2, mais là il te faudra du matos récent.


---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 03-03-2016 à 15:49:22   

Reply

Marsh Posté le 03-03-2016 à 16:11:58    

Je ne peux que rejoindre Faboss ! et j'e t'encourage meme a un upgrade de matériel si ton service peut se le permettre car les Stormshield sont vraiment intéressants notamment en terme de fonctionalités vpn . Si tu passes en Stormshield n'hésites pas à poster ici tu trouveras des gens compétents en la matière  :jap:

Reply

Marsh Posté le 03-03-2016 à 16:49:56    

OK merci pour l'info!!
On verra pour l'upgrade vers les Stormshield, mais ce n'est pas d'actualité.
 
Je vais me contenter du NETASQ pour le moment  :)

Reply

Marsh Posté le 03-03-2016 à 16:52:03    

À noter que la migration en V9 n'est possible que si ton U70 est sous maintenance.


---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 03-03-2016 à 17:31:01    

jeanan82 les U70 ne seront bientot plus supporté du tout même avec support.
C'est un type d'equipement qui doit avoir une maintenance et un support NV2 avec une société certifié NETASQ.
C'est un element central dans une entreprise. si il y a un probléme et que tu n'as pas de GTR 4h comment vas tu faire ?
pour info du site stormshild
 
fin de vie des U70 par netasq le 30/09/2016
 


Message édité par skoizer le 03-03-2016 à 17:36:36

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 03-03-2016 à 21:32:38    

skoizer, c'est bien une société certifié qui l'a installé et paramétré.
Mais pour ce type de dépannage, je ne souhaite pas les appeler, et plutôt essayer de me débrouiller et ainsi mieux comprendre comment fonctionne un NETASQ.
 
Par contre, je n'étais pas au courant de la fin de vie des U70, donc merci pour l'info.
 
Pour en revenir a mon problème, l'accès TSE par mon VPN.
Par contre, j'aimerai également avoir accès à des dossiers partagés du réseau, par exemple \\192.168.35.X\mon_partage
 
Quelles règles dois-je créer?

Reply

Marsh Posté le 03-03-2016 à 21:35:56    

je voulais dire : Pour en revenir a mon problème, l'accès TSE par mon VPN FONCTIONNE

Reply

Marsh Posté le 04-03-2016 à 08:17:01    

Aléluia ! t'as changé quoi pour que ça fonctionne ?  
 
Pour tes partages je pense qu'il te faut une règle avec en source un objet réseau qui porte le plan d'adressage de ton lan distant et en destination soit any, soit network internals (les deux fonctionnent) , en ne précisant pas de port source ni de port dest par contre.

Reply

Marsh Posté le 04-03-2016 à 08:40:03    

Bonjour,
 
J'ai mis en destination "any" en lieu et place du Firewall_out!
D'ailleurs, je devrais plutôt mettre network_in si je veux que mon réseau interne?
 
ok, je teste pour mes partages. Même chose d'ailleurs, si je veux accéder qu'à un serveur précis, je devrais plutot le renseigner au lieu de network internals ou any??

Reply

Marsh Posté le 04-03-2016 à 09:49:47    

Oui, si tu ne souhaites accéder qu'a un serveur précis sur ton lan tu peux créer une règle plus ciblée en indiquant ta source (ton  lan distant ) et ta destination : un objet machine qui porte l'adresse de ton serveur.  
 
Effectivement ta règle ne pouvait pas fonctionner avec firewall_out en destination ( comme je te l'avais précisé plus haut  :) ), par contre tu peux très bien,la aussi, créer une règle plus précise en indiquant ta source (toujours ton lan distant) et ta destination : ton serveur TSE / ton lan local (comme tu préfères) .  
 

Reply

Marsh Posté le 07-03-2016 à 09:09:25    

Tout est ok pour moi!
Merci à tous pour vos messages!
 
J'ai bien noté pour la MaJ en V9 et fin de vie des U70.
Je vais regarder cela de plus près et si souci, je ne manquerai de vous envoyer un ptit mail d'help!!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed