Salut journal,
J'ai besoin de monter un VPN entre 2 réseaux constitués de machines Windows et Linux. Ces 2 réseaux sont déjà protégés par 2 firewalls sous Linux. Un de ces réseaux dispose d'une DMZ où se trouve un serveur Windows 2000 hébergeant une application métier et Oracle.
Je souhaite que les machines des 2 réseaux locaux se voient directement comme si il s'agissait d'un seul réseau et je souhaite que la DMZ ne soit accessible qu'aux machines du VPN. Par ailleurs, l'ensemble des machines doit avoir accès à Internet (http et ftp uniquement).
Ce VPN pourra évoluer dans un second temps pour une inter-connexion avec d'autres réseaux de l'entreprise. Il n'y aura pas par contre d'utilisateur itinérant (commerciaux avec portables par exemple).
Ma question : quelle solution utiliser, quelle distribution me conseillez vous, quel matériel ?
Je préférerai que l'architecture du VPN repose sur Linux si possible, sinon du matériel dédié type CISCO.
Merci journal :)
# Re: VPN : besoins d'avis, conseils
Posté par degeu raoul ⭐ (Mastodon) . Évalué à 1.
Mais pour deux réseau, du pix a pix semble etre la meilleur solution.
Niveau soft, il y a freeswan sous GNU/linux, pareil je sais qu'entre deux Freeswan monté sur 2 parrefeux ca dialogue bien, maitenant si tu diversifie les protocols de communication ca devient plus difficile.
[^] # Re: VPN : besoins d'avis, conseils
Posté par Matthieu . Évalué à 3.
Avec freeswan de linux aucuns problèmes...
[^] # Re: VPN : besoins d'avis, conseils
Posté par romain . Évalué à 1.
Hem. Un argument au moins ? parce qu'a priori, je ne trouve pas ça (faire un VPN de pix à pix) particulièrement difficile, ni peu sûr. Si cela peut être intégré à du matériel réseau, c'est pas plus mal.
Si ? Non ?
[^] # Re: VPN : besoins d'avis, conseils
Posté par Matthieu . Évalué à 3.
De plus, le PIX est un exemple de l'illogisme réseau : qu'est elle cette notion de NAT same address (pour pouvoir faire transiter un paquet d'une interface à une autre (en interne), il faut nater le paquet avec la même adresse).
De plus, le mélange de l'interface IPsec avec les autres interfaces ne permet pas une gestion simple des VPNs. L'interface IPsec (virtuelle) doit apparaître (comme sous Linux) comme une interface supplémentaire sur laquelle on applique des règles de filtrage spécifiques.
Voila mes arguments.... J'utilise des pix tous les jours, et à chaque manipulation je me demande pourquoi ils ont trifouillé le truc de cette manière....
Matthieu
# Re: VPN : besoins d'avis, conseils
Posté par monsieurw . Évalué à 4.
Le tout est encapsulé sur UDP, ce qui est très simple à gérer au niveau des pare-feu (il suffit d'ouvrir un port UDP de chaque côté, pour la communication entre les 2 démons OpenVPN).
Je l'ai déjà utilisé avec succès pour relier 2 réseaux IP distants (interface tunX), mais aussi pour créer un réseau Ethernet (interface tapX, cf http://openvpn.sourceforge.net/bridge.html(...) ). On peut ensuite faire passer n'importe quoi au dessus (attention, comme j'utilisais 2 connexions ADSL en PPPoE, il y avait quelques problèmes de MTU, que je devais mettre à 1300/1350 pour les machines qui devaient communiquer à travers).
L'intérêt d'une telle solution est la simplicité à mettre en oeuvre (aucun besoin de matériel dédié/spécifique, multi-plateforme, basé sur UDP -donc facile à gérer au niveau des pare-feu), surtout quand il n'y a pas de postes itinérants.
[^] # Re: VPN : besoins d'avis, conseils
Posté par Ano nyme (site web personnel) . Évalué à 2.
Merci
[^] # Re: VPN : besoins d'avis, conseils
Posté par monsieurw . Évalué à 1.
Dans le cas des 2 réseaux IP interconnectés, je n'avais pas de problèmes (c'est ce que j'utilisais entre 2 sites au boulot) ; il suffisait d'adapter le MTU avec l'option --link-mtu (cf. le man, ici en français : http://lehmann.free.fr/openvpn/OpenVPNMan/(...) ).
J'avais uniquement le problème dans le cas du pont Ethernet : j'avais beau modifier les paramètres d'OpenVPN, il y avait toujours le gel des communications entre 2 machines de part et d'autre du VPN si le MTU de ces machines était réglé sur 1500 (Ethernet par défaut ; en descendant à 1300, ça allait mieux). Mais bon, le pont entre 2 points distants n'est pas très utile, je l'ai utilisé uniquement pour pouvoir jouer à Warcraft 3 ;)
[^] # Re: VPN : besoins d'avis, conseils
Posté par SubBass . Évalué à 1.
[^] # Re: VPN : besoins d'avis, conseils
Posté par monsieurw . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.