Forum général.général impression à distance

Posté par  .
Étiquettes : aucune
0
13
nov.
2008
Slt à tous,

Je voudrais mettre en place un serveur d'impression à l'intérieur d'une DMZ afin de permettre à des utilisateurs distants d'y faire des impressions.
Pour l'instant je compte chercher du côté de CUPS.
Qu'en pensez vous??

Toutes les suggestions sont bienvenues!!!

  • # Très bonne idée

    Posté par  . Évalué à 2.

    ... ainsi n'importe qui pourra imprimer 1001 conneries sur ton imprimante...

    Pour ma part, lorsque j'ai besoin d'imprimer chez moi alors que je me trouve ailleurs (pour ne pas oublier ou pour faire du travail une manipulation qui ne sera plus à faire...), j'utilise OpenVPN afin d'être reconnu comme un utilisateur local. Mais bon, tout dépend de ce que tu entends par utilisateurs distants.

    Tu dois aussi pouvoir mettre en place une authentification sur le CUPS (à vérifier)

    • [^] # Re: Très bonne idée

      Posté par  . Évalué à 1.

      J'ai déjà testé l'impression à distance avec Ssl-Explorer, c'est un VPN SSL qui s'utilise avec un navigateur web. Je trouve cette solution simple pour les utilisateurs nomades.

    • [^] # Re: Très bonne idée

      Posté par  . Évalué à 1.

      Ce à quoi je pensais, vu que le serveur doit se trouver dans une DMZ c'est d'autoriser uniquement l'adresse de mon client distant à se connecter sur cette machine.
      Mais je vais également jetter un coup d'oeil à vos solution vpn

      • [^] # Re: Très bonne idée

        Posté par  . Évalué à 2.

        Sinon, il me semble qu'on peut faire de l'autorisation par certificat, pour CUPS...

        ... mais en effet, j'aurais plutôt tendance à voir ça comme un service interne, qui aurait plus sa place derrière un VPN.

        • [^] # Re: Très bonne idée

          Posté par  . Évalué à 1.

          en fait le problème est que je n'arrive pas encore à cerner la mise en place du vpn derrière le firewall et surtt permettre la communication entre mon interface outside et l'inside. C'est pourquoi j'ai opté pour la solution de la DMZ.

          • [^] # Re: Très bonne idée

            Posté par  . Évalué à 2.

            Bah, tu peux voir un VPN comme une espèce de routeur ou de switch (selon que la plage d'adresses qu'il met à disposition pour les clients est sur le même sous-réseau que ce à quoi tu le branches), avec authentification : une fois connecté dessus, c'est comme si on était branché dans ton réseau...

            L'avantage de passer par un VPN (s'il switche tes clients avec le serveur CUPS... à voir si c'est possible, voire souhaitable, dans ton cas), ça va aussi être que tu vas pouvoir bénéficier des broadcast CUPS, et donc, de l'autodétection de l'imprimante par les PC clients.

            Quant au firewall, aucun souci pour OpenVPN : a priori, par défaut, le port 1194 en UDP lui suffit. Avec IPSec, ça peut être beaucoup plus chiant.

            • [^] # Re: Très bonne idée

              Posté par  . Évalué à 1.

              J'ai toujours du mal à cerner l'option VPN, voilà je t'explique mon projet:
              J'ai une imprimante à mon siège (siege A) et les membres d'un autre siège (siege B) souhaitent imprimer directement sur mon imprimante au siege A j'ai pensé au début à ne permettre l'accès à mon LAN qu'à l'IP du siege B à partir de mon firewall (qui fait une translation de ports vers les différents services de la DMZ). Dû au fait que le niveau de sécurité de mon interface LAN est de 100 et celle de l'outside 0 (je sais pas si c'est vraiment le problème) mais j'ai pas pu permettre la communication entre siege B et LAN du siege A, étant donné que ma DMZ fonctionne j'ai décidé d'y mettre un serveur d'impression tt en autorisant que l'Ip de siege B et n'ouvrir que le port de CUPS.
              Avec Openvpn comment ferais je la translation de port et est ce possible de faire communiquer openvpn dans le lan avec mon interface outside??
              Désolé pour toutes ces questions mais suis un peu perdu.

              Merci

              • [^] # Re: Très bonne idée

                Posté par  . Évalué à 3.

                > le niveau de sécurité de mon interface LAN est de 100 et celle de l'outside 0

                Je ne vois pas trop ce que tu veux dire par là... question de politique interne, genre le siège B ne doit pas accéder au LAN du siège A ? Si c'est ça, un VPN pourrait introduire de la granularité dans ta DMZ, en permettant l'accès au CUPS uniquement à ceux qui s'authentifient sur le VPN, sans pour autant mettre le CUPS sur le LAN - en gros : le VPN est en DMZ, et donne accès à une imprimante qui est dans une DMZ "moins publique".



                > Avec Openvpn comment ferais je la translation de port

                Mettons que tu as un serveur VPN dans ton site A : les gens de ton site B utilisent un client VPN sur leur machine pour s'y connecter, et toutes leurs connexions sont encapsulées dans des paquets UDP qui sortent du client VPN. La gateway du site B envoie tout ça à la gateway du site A, qui NATe vers le port UDP 1194 du serveur VPN : les paquets en ressortent alors comme ils y sont entrés, ie à destination du port TCP 631 du CUPS du site A, avec son adresse interne sur le site A.

                Le "client" VPN peut être global pour le site B, ie un seul VPN par lequel tout le monde passe, de sorte à avoir un tunnel ouvert en permanence, plutôt qu'à la demande. Pour interconnecter deux sites, c'est encore le plus simple, a priori. En gros, là, tu as un serveur VPN en DMZ de chaque côté, et il connecte les deux sites pour faire comme s'ils n'en faisaient qu'un, du point de vue des utilisateurs.

                Un VPN ne fait qu'encapsuler des paquets dans d'autres, en les chiffrant, et après authentification, pour connecter deux sites distants, ou un utilisateur distant à un site. Une fois connecté, c'est exactement comme si on était en local, du point de vue utilisateur ; ce qui fait qu'il faut une certaine cohérence entre les deux sites, genre ne pas utiliser une adresse IP pour le CUPS du site A qui soit déjà utilisée sur le site B, par exemple.

                Tu peux voir des VPN comme des distrans, dans Hypérion, ou des portes des étoiles dans Stargate :p


                > est ce possible de faire communiquer openvpn dans le lan avec mon interface outside

                Faudra quand même bien que le VPN écoute sur une interface publique, pour qu'il réponde aux demandes de connexion... donc, NATer vers lui, si tu n'as qu'une seule adresse publique.



                Ah oui, sinon, pense bien à un truc : OK, là, avec ta DMZ, tu n'autorises que le site B à se connecter à ton CUPS... mais si tu n'utilises pas au moins SSL pour dialoguer avec ton CUPS, tu es conscient que tous les paquets de l'impression se baladent en clair sur le net, interceptables sans avoir à les déchiffrer par n'importe qui entre deux ? J'espère qu'il n'y a rien de confidentiel dans ce qui est imprimé, hein...

                • [^] # Re: Très bonne idée

                  Posté par  . Évalué à 1.

                  Merci pour ce petit cours, c'est beaucoup plus clair à présent je te tiendrai informer du résultat.

                  Encore merci

                  • [^] # Re: Très bonne idée

                    Posté par  . Évalué à 3.

                    comment ca marche chez les autres tu as pour le moment
                    Reseau A -> parefeu B-> internet <- parefeu B<- reseau B

                    tu met la machine "serveur vpn" dans le reseau A
                    tu fait une translation de port pour le protocole vpn (1194 pour openvpn par exemple)

                    ensuite, si tu veux que TOUS les gens de B puisse aller sur A
                    tu met un client VPN sur (ou derriere) le parefeu B
                    et tu indiques qu'il faut passer par cette machine pour aller de l'autre coté.

                    evidemment il ne faut pas que les reseaux A et B soit dans le meme plan
                    par ex :
                    A est en 192.168.1.0/24
                    B est en 192.168.2.0/24

                    afin de pouvoir dire coté B, pour joindre le reseau 192.168.1.0/24 il faut passer par client-vpnB

                    tu finis donc avec une config

                    Serveur VPN A -> Reseau A -> Parefeu A -> internet <- Parefeu B <- Reseau B <- Client VPNB
                    Machine A1 /
                    Machine A2 /



                    tu peux aussi avoir des "clients autonomes" qui pourront se connecter depuis le reste du monde si tu autorise le port 1194 à tout le monde.

                    ainsi ton chef pourra se brancher à VPN A depuis chez lui, ou depuis chez les clients

                    Dans ma boite on utilise Openvpn, qu'on place directement sur les passerelles/parefeu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.