Accéder a mon réseau d'entreprise

Bonsoir la zone,

J’ai un besoin que certains d’entre vous ont déjà sûrement déjà rencontré.
J’aimerai permettre à mes utilisateurs au taff de pouvoir occasionnellement bosser de chez eux.
A savoir, accéder aux partages réseaux avec les autorisations qui vont bien, consulter/envoyer des messages via la messagerie interne et si possible utiliser les applications internes.

La connexion inter-sites est géré par notre FAI donc pas possibilité d’être fin au niveau parefeu; en gros tout traffic entrant est bloqué et quelques ports en sortants sont ouverts en TCP/UDP (si besoin on peut en ouvrir d’autres). Nous n’avons pas non plus d’IP publiques en interne.

Je ne souhaite pas de prise en main à distance type logmein puisque certains utilisateurs ont des portables et prendront donc la main … ben, sur rien en fait.

Quelles sont les solutions qui s’ouvrent à moi ou que vous connaissez?

Je regarde actuellement ssl-explorer qui me semble pas mal mais comment accéder au serveur qui n’est pas public de l’extérieur?

En espérant avoir été clair et avoir posté ca au bon endroit… B)

[quote=“knep, post:1, topic: 45869”]Bonsoir la zone,

J’ai un besoin que certains d’entre vous ont déjà sûrement déjà rencontré.
J’aimerai permettre à mes utilisateurs au taff de pouvoir occasionnellement bosser de chez eux.
A savoir, accéder aux partages réseaux avec les autorisations qui vont bien, consulter/envoyer des messages via la messagerie interne et si possible utiliser les applications internes.

La connexion inter-sites est géré par notre FAI donc pas possibilité d’être fin au niveau parefeu; en gros tout traffic entrant est bloqué et quelques ports en sortants sont ouverts en TCP/UDP (si besoin on peut en ouvrir d’autres). Nous n’avons pas non plus d’IP publiques en interne.

Je ne souhaite pas de prise en main à distance type logmein puisque certains utilisateurs ont des portables et prendront donc la main … ben, sur rien en fait.

Quelles sont les solutions qui s’ouvrent à moi ou que vous connaissez?

Je regarde actuellement ssl-explorer qui me semble pas mal mais comment accéder au serveur qui n’est pas public de l’extérieur?

En espérant avoir été clair et avoir posté ca au bon endroit… B)[/quote]

A titre d’info, qui est ton fournisseur ?
Pour moi, l’idéal dans ton cas est de monter un OpenVPN.
Edit : ou autre. Je cite OpenVPN parce que c’est le premier qui me viens à l’esprit, que c’est relativement simple a mettre en place et a utiliser coté client, et que ca passe sur UDP (c’est mieux) ou sur TCP (c’est moins top, niveau perfs, mais ca marche). Suffit d’ouvrir le (y’en a besoin de qu’un) port adéquoit.

Nous sommes chez le fournisseur historique en equant vpn avec parefeu mutualisé.
Je regarde déjà Open VPN d’un oeil pour le moment (les 2 un peu plus tard) donc juste un petite question sur OpenVPN; quel os pour le déployer (Windows, une distrib linux, du freebsd)?
Actuellement nous sommes en grande majorité sur du windows mais aussi ouvert à de nouvelles experiences. B)

Euh, autre petite question en fait, peut-on interfacer OpenVPN avec Active Directory pour l’authentification des utilisateurs?

[quote=“knep, post:3, topic: 45869”]Nous sommes chez le fournisseur historique en equant vpn avec parefeu mutualisé.
Je regarde déjà Open VPN d’un oeil pour le moment (les 2 un peu plus tard) donc juste un petite question sur OpenVPN; quel os pour le déployer (Windows, une distrib linux, du freebsd)?
Actuellement nous sommes en grande majorité sur du windows mais aussi ouvert à de nouvelles experiences. B)[/quote]
Demande a ton hebergeur. Il a deja des solutions pour ca (ok c’est cher mais bon)

Non. Ca n’a meme rien a voir.

OpenVPN utilise un systeme de certificats/cles pour s’authentifier sur le reseau VPN (certificats qui peuvent avoir des pass mais c’est pas oblige) donc y a pas de liaison possible avec AD.

De plus, c’est pas possible a ma connaissance de lancer openvpn sans etre deja logge, donc l’authentification AD… Babye.

Pire, tu passes par un reseau virtuel sur le vpn, different de ton reseau d’entreprise existant, donc les noms des machines, tu peux te les tailler en pointes… (pas de broadcast)

LoneWolf
Annonciateur de mauvaises nouvelles.

Ouais, si c’est comme chez nous, c’est pas a son avantage…

[quote]Non. Ca n’a meme rien a voir.

OpenVPN utilise un systeme de certificats/cles pour s’authentifier sur le reseau VPN (certificats qui peuvent avoir des pass mais c’est pas oblige) donc y a pas de liaison possible avec AD.[/quote]

Que si… tu peux coupler au systeme de certificat (qui lui non plus n’a rien d’obligatoire… tu peux très bien utiliser une clé partagée, même si c’est pas conseillé) une authentification par user/pass custom (et donc l’interfacer avec AD… bon, OK, faut savoir s’y prendre).

Tu peux utiliser en service, mais c’est pas pratique B) … mais ca n’a rien a voir. Tout dépends de s’il veux faire du single login ou non.

Pas forcément. Suffit de monter l’OpenVPN en mode bridge (ce qui est tout a fait fesable) pour avoir du broadcast. Mais de toutes facons, sur un AD, le broadcast ne sers qu’a voir les machines dans le voisinage (et encore, s’il on a pas de WINS). La résolution de nom se fait elle via DNS (qui se fout du broadcast).

Sinon, pour répondre a la question initiale, OpenVPN fonctionne sous Windows et Unixes.
Le plus grand “défaut” d’OpenVPN est son absence de GUI. (y’a bien une GUI pour le client, mais la gestion des certificats reste lourde pour l’admin, un truc auquel j’aimerais bien remedier si j’avais le temps).

Ok merci pour ces réponses… contrastées B)
Les solutions qu’on nous a proposée sont effectivement cher comparativement à nos besoins.
C’est principalement la direction qui aura besoin ponctuellement de consulter ses mails internes, un rapport excel ou un accès rapide a une appli métier.
Cela arrivera au maximum 7 fois par mois pour des durées de 10mins.

Concernant OpenVPN, si j’ai bien suivvi ce que je lis, je configure un serveur OpenVPN puis je fais un configuration client pour les postes qui devront y accéder.
Comment que je fais de l’exterieur de mon réseau pour attaquer mon serveur OpenVPN sans Ip publique?

Désolé de te contredire Lone, mais c’est tout à faire possible ce qu’il veut faire. Un VPN permet d’accéder à un réseau interne depuis l’extérieur comme si on venait de se brancher directement en Ethernet (à condition bien sur de configurer le VPN correctement). Notamment, avec OpenVPN il est possible de bridger les interfaces, du coup, le broadcast marchera tout à fait correctement (vu que tu seras dans le même réseau que le réseau normal).

Après, normalement, c’est justement le taff du contrôleur de domaine d’informer les clients des partages dispos (et des noms de machines Win), ca fait longtemps que les machines Win en entreprise ne sont plus censées faire du broadcast massif (et beaucoup d’entreprises ont plusieurs réseaux séparés par des routeurs, et un broadcast, ce n’est pas routable B) ).

Ahaha grillé par Tzim (qui devait avoir des frissons lui aussi en lisant le post de Lone B) )

Juste un truc : je déconseille OpenVPN sous FreeBSD (vu que tu posais la question), j’ai déjà eu des kernel panic avec ces OS.

[quote=“knep, post:6, topic: 45869”]Concernant OpenVPN, si j’ai bien suivvi ce que je lis, je configure un serveur OpenVPN puis je fais un configuration client pour les postes qui devront y accéder.
Comment que je fais de l’exterieur de mon réseau pour attaquer mon serveur OpenVPN sans Ip publique?[/quote]
Oui, tu as bien compris.

Tu as un HOWTO sur le site d’OpenVPN qui est bien foutu.
Perso, je te conseilles de bien générer un certif par poste client. Ca évite d’avoir à repasser sur tout les postes le jour où un des portables se fait voler (il suffit de révoquer le certificat).

Pour ce qui est d’attaquer le serveur OpenVPN, j’ose esperer que le fournisseur historique puisse te natter un port d’une IP publique sur l’IP privée du serveur OpenVPN …

ah mais j’ai jamais ose le mode bridge en fait

donc ecoute unreal et tzim knep, ils savent et moi je vais me planquer dans un coin B)

(par contre, pour AD et le certificat, c’est chaud non? je pensais naivement que c’etait plus facile de gerer ca avec un ipsec windows interface sur AD… mais bon, j’y connais rien dans ces trucs alors…)

LoneWolf
Bouh la honte. B)

Bon j’ai commence a mettre les 2 yeux sur OpenVPN et il parait completement correspondre à mes besoins.
En plus, ca se fait a la mano ce qui me convient bien.
Je verrai plus tard avec l’agrume pas jaune et pas vert ( B) ) pour le nattage de port.

Merci à tous pour vos réponses et bonne (fin de?) soirée!

PS: pour l’AD, ça se fera dans une deuxieme partie (une fois que tout roule propre), je remonterai l’info si ça intéresse des gensgens.

Si t’as le temps et les moyens tu peux faire des trucs assez sympa, par exemple moi j’ai une carte a puce avec un certificat, qui est locke avec un PIN pour la carte. Ca me permet de me connecter a un serveurs VPN de par le monde de la boite avec mon ID sur le domaine. Lorsqu’une machine se connecte elle est mise en “quarantaine” jusqu’a ce que les obligation de securite (virus scanner a jour et tournant, update win, etc) soit verifies. Si ca passe pas j’ai acces uniquement au sites qui me permettent de “corriger” le probleme et de me laisser sortir de quarantaine. Apres ca je suis sur le reseau comme si j’etais directement dans le domaine avec acces qu’il faut. Le VPN c’est bon mangezan!

Alors tu as les solutions des fournisseurs.
Tu dis que cela est cher ?

On t’a parlé donc de business everywhere je presume ?
sachant , qu’apres que le lien everywhere est monté, le cout est de 8 €/mois par login.

Apres tout depend des options que tu as pris. Mais tu es sur equant, (nous sommes chez oleane) tu n’as pas la main sur les routeurs, donc impossible d’ouvrir les ports.

Mais si tu arrives à faire des trucs chez FT, je suis prenneurs, car il y a un pblm avec leur solution :
Impossible de se loguer en auto avec AD …

  • Reponse de chez FT: oui on sait, c’est un pblm avec les lecteurs reseaux sous windows XP.

Par contre pour le reste aucun pblm : AS400, messagerie etc.

Ou alors sur equant tu as la main sur les routeurs pour faire ce que tu veux ?
Peut etre passé à leur solution alors …

@edit : pour etre sur : tu n’as aucun serveur, en frontal ?

Couplé à NAP/NAC, ça roxxe. Enfin nous, on est en train d’étudier la “nomadisation” sur le réseau, et on va faire ça à coup de Citrix et de VPN SSL avec auth forte par clés RSA ou équivalent (le truc qui te donne un pass valable que 60s, non réutilisable, synchronisé sur un serveur et tout le tralala)

-> silka
Je confirme que nous n’avons pas la main sur les routeurs et qu’une ouverture de port peut prendre pas mal de temps (de 1sem - 1mois), ce qui n’est pas toujours pratique.
Je n’ai plus le nom de la solution qu’on nous a proposé mais le probleme qui se posait était la facturation au volume de data qui transitait, ce qui peut aller très vite si la personne fait pas attention…
Une autre solution imposait le FAI d’ou venait la connexion… B)
(a prendre avec des pincettes, je n’ai pa seu les infos en direct)
Aucun serveur en frontal actuellement (j’entends par la un serveur accessible en direct du net par ip ou adresse), j’ai une petite idée mais il faut que j’étudie la faisabilité et la sécurité de la chose.
Ca risque de prendre un peu de temps mais je ferai remonter les infos lorsque cela aura avancé si ca t’intéresses. Je sens que je vais bien m’amuser en tout cas pour que tout soit bien propre et bien carré! B)

alors , je ne sais pas si tu pourras utiliser openvpn.

Par contre, la solution dont je te parle fournis pour oleane et equant, est pas cher

La solution Business everywhere est une solution ipsec tout gerer par orange.

solution @home des personnes :

WIFI : gratuit : car tu utilises le wifi perso de la personne.
Internet : via le cable reseau de la personne si ils ne savent pas utiliser le wifi.

Ces 2 solutions coutent 0 € , uniquemetn l’abonement mensuel de 8 € parlé plus haut.

via telephone : c’est la solution bas debit , utiliser en secour.
cela utilise une connexion telephonique, donc les analogique ! Donc ne marche pas si degroupage ou rnis.
Accessible n’importe ou dans le monde sauf liban et pays … (tu parles tjs à une operatrice pour avoir ton correspondant) .

Le cout est une com toll free ( sur la facture de la boite, ) ou local call charge.

Apres la solution 3G/gprs/edge

La soit ils branchent leur telephone portable sur l’ordi .
Soit tu prends une carte 3G ( style la pub SFR)

et la tu payes en fonction du debit. La solution la plus simple il y a different mode de paiement par debit exemple ( abonnement mensuel de 54 € pour le debit illimité)

Voila. Sinon j’ai deja tenter de faire une solution homemade.
Si tu le fais il faut une autre connexion donc trou de de securité, et l’apport que te fais equant ne te serts plus à rien.

Je peux et donner plus d’info. Mais il peut y avoir des diff entre equant et oleane, mais minim