Slt à tous,
Je voudrais mettre en place un serveur d'impression à l'intérieur d'une DMZ afin de permettre à des utilisateurs distants d'y faire des impressions.
Pour l'instant je compte chercher du côté de CUPS.
Qu'en pensez vous??
Toutes les suggestions sont bienvenues!!!
# Très bonne idée
Posté par pampryl . Évalué à 2.
Pour ma part, lorsque j'ai besoin d'imprimer chez moi alors que je me trouve ailleurs (pour ne pas oublier ou pour faire du travail une manipulation qui ne sera plus à faire...), j'utilise OpenVPN afin d'être reconnu comme un utilisateur local. Mais bon, tout dépend de ce que tu entends par utilisateurs distants.
Tu dois aussi pouvoir mettre en place une authentification sur le CUPS (à vérifier)
[^] # Re: Très bonne idée
Posté par youthux . Évalué à 1.
[^] # Re: Très bonne idée
Posté par serval21 . Évalué à 1.
Mais je vais également jetter un coup d'oeil à vos solution vpn
[^] # Re: Très bonne idée
Posté par Aefron . Évalué à 2.
... mais en effet, j'aurais plutôt tendance à voir ça comme un service interne, qui aurait plus sa place derrière un VPN.
[^] # Re: Très bonne idée
Posté par serval21 . Évalué à 1.
[^] # Re: Très bonne idée
Posté par Aefron . Évalué à 2.
L'avantage de passer par un VPN (s'il switche tes clients avec le serveur CUPS... à voir si c'est possible, voire souhaitable, dans ton cas), ça va aussi être que tu vas pouvoir bénéficier des broadcast CUPS, et donc, de l'autodétection de l'imprimante par les PC clients.
Quant au firewall, aucun souci pour OpenVPN : a priori, par défaut, le port 1194 en UDP lui suffit. Avec IPSec, ça peut être beaucoup plus chiant.
[^] # Re: Très bonne idée
Posté par serval21 . Évalué à 1.
J'ai une imprimante à mon siège (siege A) et les membres d'un autre siège (siege B) souhaitent imprimer directement sur mon imprimante au siege A j'ai pensé au début à ne permettre l'accès à mon LAN qu'à l'IP du siege B à partir de mon firewall (qui fait une translation de ports vers les différents services de la DMZ). Dû au fait que le niveau de sécurité de mon interface LAN est de 100 et celle de l'outside 0 (je sais pas si c'est vraiment le problème) mais j'ai pas pu permettre la communication entre siege B et LAN du siege A, étant donné que ma DMZ fonctionne j'ai décidé d'y mettre un serveur d'impression tt en autorisant que l'Ip de siege B et n'ouvrir que le port de CUPS.
Avec Openvpn comment ferais je la translation de port et est ce possible de faire communiquer openvpn dans le lan avec mon interface outside??
Désolé pour toutes ces questions mais suis un peu perdu.
Merci
[^] # Re: Très bonne idée
Posté par Aefron . Évalué à 3.
Je ne vois pas trop ce que tu veux dire par là... question de politique interne, genre le siège B ne doit pas accéder au LAN du siège A ? Si c'est ça, un VPN pourrait introduire de la granularité dans ta DMZ, en permettant l'accès au CUPS uniquement à ceux qui s'authentifient sur le VPN, sans pour autant mettre le CUPS sur le LAN - en gros : le VPN est en DMZ, et donne accès à une imprimante qui est dans une DMZ "moins publique".
> Avec Openvpn comment ferais je la translation de port
Mettons que tu as un serveur VPN dans ton site A : les gens de ton site B utilisent un client VPN sur leur machine pour s'y connecter, et toutes leurs connexions sont encapsulées dans des paquets UDP qui sortent du client VPN. La gateway du site B envoie tout ça à la gateway du site A, qui NATe vers le port UDP 1194 du serveur VPN : les paquets en ressortent alors comme ils y sont entrés, ie à destination du port TCP 631 du CUPS du site A, avec son adresse interne sur le site A.
Le "client" VPN peut être global pour le site B, ie un seul VPN par lequel tout le monde passe, de sorte à avoir un tunnel ouvert en permanence, plutôt qu'à la demande. Pour interconnecter deux sites, c'est encore le plus simple, a priori. En gros, là, tu as un serveur VPN en DMZ de chaque côté, et il connecte les deux sites pour faire comme s'ils n'en faisaient qu'un, du point de vue des utilisateurs.
Un VPN ne fait qu'encapsuler des paquets dans d'autres, en les chiffrant, et après authentification, pour connecter deux sites distants, ou un utilisateur distant à un site. Une fois connecté, c'est exactement comme si on était en local, du point de vue utilisateur ; ce qui fait qu'il faut une certaine cohérence entre les deux sites, genre ne pas utiliser une adresse IP pour le CUPS du site A qui soit déjà utilisée sur le site B, par exemple.
Tu peux voir des VPN comme des distrans, dans Hypérion, ou des portes des étoiles dans Stargate :p
> est ce possible de faire communiquer openvpn dans le lan avec mon interface outside
Faudra quand même bien que le VPN écoute sur une interface publique, pour qu'il réponde aux demandes de connexion... donc, NATer vers lui, si tu n'as qu'une seule adresse publique.
Ah oui, sinon, pense bien à un truc : OK, là, avec ta DMZ, tu n'autorises que le site B à se connecter à ton CUPS... mais si tu n'utilises pas au moins SSL pour dialoguer avec ton CUPS, tu es conscient que tous les paquets de l'impression se baladent en clair sur le net, interceptables sans avoir à les déchiffrer par n'importe qui entre deux ? J'espère qu'il n'y a rien de confidentiel dans ce qui est imprimé, hein...
[^] # Re: Très bonne idée
Posté par serval21 . Évalué à 1.
Encore merci
[^] # Re: Très bonne idée
Posté par NeoX . Évalué à 3.
Reseau A -> parefeu B-> internet <- parefeu B<- reseau B
tu met la machine "serveur vpn" dans le reseau A
tu fait une translation de port pour le protocole vpn (1194 pour openvpn par exemple)
ensuite, si tu veux que TOUS les gens de B puisse aller sur A
tu met un client VPN sur (ou derriere) le parefeu B
et tu indiques qu'il faut passer par cette machine pour aller de l'autre coté.
evidemment il ne faut pas que les reseaux A et B soit dans le meme plan
par ex :
A est en 192.168.1.0/24
B est en 192.168.2.0/24
afin de pouvoir dire coté B, pour joindre le reseau 192.168.1.0/24 il faut passer par client-vpnB
tu finis donc avec une config
Serveur VPN A -> Reseau A -> Parefeu A -> internet <- Parefeu B <- Reseau B <- Client VPNB
Machine A1 /
Machine A2 /
tu peux aussi avoir des "clients autonomes" qui pourront se connecter depuis le reste du monde si tu autorise le port 1194 à tout le monde.
ainsi ton chef pourra se brancher à VPN A depuis chez lui, ou depuis chez les clients
Dans ma boite on utilise Openvpn, qu'on place directement sur les passerelles/parefeu.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.