Aide VPN / IPCop

Aide VPN / IPCop - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 09-06-2010 à 12:12:11    

Voilà le contexte: Mon équipe et moi allons travailler de temps à autre depuis chez nous. Pour facilité les choses, un VPN sur nos portable Windows serait pratique lorsque l'on est pas au bureau.
 
La configuration IPCop roadwarrior semble répondre à ce besoin. Ma question est : lorsque le VPN est actif, est-il possible de ne rediriger que les connexions vers le LAN du bureau à travers le VPN? Les autres connexions (internet, skype, etc.) ne passant pas dans le VPN.
 
Merci


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 12:12:11   

Reply

Marsh Posté le 09-06-2010 à 12:42:41    

en jouant sur la table de routage ça ne devrait pas poser de problème.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-06-2010 à 12:48:40    

coté client ?


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 12:52:19    

oui


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-06-2010 à 12:54:17    

bon je vais setuper le VPN et quand ca marche je reviens poser des questions sur les tables de routage


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 13:57:53    

:hello:

 
m3z a écrit :

... setuper ...

 

Syntax error ! :lol:

  
20c a écrit :

...  lorsque le VPN est actif, est-il possible de ne rediriger que les connexions vers le LAN du bureau à travers le VPN? Les autres connexions (internet, skype, etc.) ne passant pas dans le VPN. ...

 

Es-tu conscient que tu crées un trou de sécurité avec ce type de configuration  ?

 

@+


Message édité par m3z le 09-06-2010 à 14:27:08
Reply

Marsh Posté le 09-06-2010 à 14:14:36    

En fait non, j'en suis pas trop conscient. Tu peux m'expliquer rapido voir si dans notre cas c'est grave ou pas ?


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 14:26:19    

:hello:

 
20c a écrit :

En fait non, j'en suis pas trop conscient. Tu peux m'expliquer rapido voir si dans notre cas c'est grave ou pas ?

 

Oh oui c'est mal [:-jim-]

 

En fait si tu permets à une machine d'accéder simultanément à internet et à l'intérieur de ton réseau, tu autorises internet à pénétrer directement dans ton réseau. Le VPN donne accès derrière le firewall prévu pour le protéger.

 

Bon ça c'est la théorie brute, en réalité je suppose que les machines sont un minimum protégé (firewall + antivirus).
Mais quand même tu prends de vrais risques. Le risque décroit si le temps passé en connexion est réduit et le fait que les pc distant ne soit pas en adresse ip fixe. Il ne sera jamais nul.

 

@+


Message édité par m3z le 09-06-2010 à 14:29:23
Reply

Marsh Posté le 09-06-2010 à 14:28:32    

Mais la meme machine directement sur le LAN qui accede a internet, finalement ca présente le meme risque non ?
Biensur nous avons antivirus et firewall (de toute facon nous somme tous en NAT derrière nos box en mode "routeur" )


Message édité par 20c le 09-06-2010 à 14:29:43

---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 14:31:15    

:hello:

 

Non car entre internet et la machine (tout le LAN en fait) il y a un firewall qui protège et ne laisse pas tout passer.

 

@+


Message édité par m3z le 09-06-2010 à 14:31:47
Reply

Marsh Posté le 09-06-2010 à 14:31:15   

Reply

Marsh Posté le 09-06-2010 à 14:33:43    

:hello:
 
Il s'agit de machine windows ?

Reply

Marsh Posté le 09-06-2010 à 14:36:03    

Ouai je vois le risque quand on se connecte depuis des Hotspot ou autre réseau dont on a pas le contrôle. Dans ce cas il n'y a que le pauvre Firewall de Windows pour nous protéger.
Oui les clientes sont sous Windows 7


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 14:44:35    

:hello:
 
Tu peux toujours mettre un firewall plus sérieux que celui du système. Même si les firewalls windows reste en user space et sont par essence moi sûr que ceux de linux qui fonctionne en kernel space.
 
Mais l'idéal est quand même de tout faire passé par le tunnel.  
Au moins tu connais la protection en place.
 
Après tout est une question de dosage selon le risque admissible.
C'est lié à la sensibilité des données et à la qualité des solutions de restauration.
 
 
@+

Reply

Marsh Posté le 09-06-2010 à 21:51:52    

Bon le VPN marche nickel.
Je suis près pour la méthode pas safe avec changement des tables routage


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 21:54:16    

il faut juste que tu aies dans ta table de routage une route vers le réseau local distant (celui derrière le VPN) passant par ton interface VPN, et que tout le reste (route par défaut) passe par ton interface physique, rien de bien compliqué.
Pour manipuler la table de routage, regarde la commande route (sous Windows ou Linux).


Message édité par Misssardonik le 09-06-2010 à 21:55:19

---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-06-2010 à 21:58:30    

Ah ben je suis con, mais il semblerait que OpenVPN fasse ça déjà tout seul
J'aurais juste besoin de rajouter des routes pour les autres réseaux derrière mon VPN


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 22:01:38    

oui je pense que par défaut openvpn est réglé comme ça. Donc effectivement il te reste juste à rajouter tous les réseaux de ton lan distant dans ta table de routage.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-06-2010 à 22:02:59    

Confirmé avec un traceroute
Google.com -> ca passe direct par mon routeur local
Machine sur le LAN -> ca passe par le VPN
Si j'avais su, j'aurais mis un VPN plus tôt au lieu de m'emmerder avec du tunneling SSH


---------------
Mon vieux feedback
Reply

Marsh Posté le 09-06-2010 à 22:03:18    

Merci les gars


---------------
Mon vieux feedback
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed