Acces sécurisé à un serveur TSE depuis l'extérieur [Reseaux] - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 23-06-2009 à 19:19:15
tu auras des éléments de réponse et de réflexion en cherchant 'unified security gateway'
Marsh Posté le 24-06-2009 à 10:20:04
tuxbleu a écrit : Bonjour, |
Il faudra pardonner mes imprécisions, mais comme personne ne te répond je vais essayer de t'aider.
J'ai mis en place la même solution à mon boulôt, pour plus ou moins les mêmes raisons: accès à des sessions TSE et à des applis sur l'intranet.
C'est une solution honorable à mon avis en terme de temps passé et de coût.
En pratique, tu installes donc openvpn sur une machine qui te servira de serveur vpn.
En ce qui me concerne j'ai fait les choses suivantes:
- j'ai laissé le configuration du tunnel par défaut en mode TUN.
- J'ai configuré un transfert du port 1194 vers ma machine qui sert de serveur openvpn. (à faire sur ton routeur / firewall)
- Contrairement au mode TAP, en mode TUN il faut préciser dans la config openvpn sur le serveur les routes à publier sur le client pour qu'il puisse avoir accès aux réseaux.
Par exemple s'il doit avoir accès au réseau 192.168.1.0 il faut ajouter push "route 192.168.1.0 255.255.255.0".
- Attention; il faut activer ip_forward afin que ta passerelle puisse router les paquets entre l'interface tunnel et ton réseau local, sinon tes clients arriveront à se connecter au vpn mais ils n'auront accès à rien sur ton réseau.
Si tu as un peu d'argent à dépenser, jette un coup d'oeil sur la version commerciale qui est un peu plus sexy à utiliser!
En cas de problème n'hésite pas à jeter un coup d'oeil à la faq:
http://openvpn.net/index.php/open-source/faq.html
et à la doc:
http://openvpn.net/index.php/open- [...] ation.html
Tous les problèmes courants s'y trouvent. Bon courage!
Nico
Marsh Posté le 24-06-2009 à 18:05:59
hey !!!!
Super ca !!
Merci. Donc c'est faisable.
Juste une question con : pourquoi le port 1194 ? C'est pas le 22 auquel s'attaque le client openvpn ?
Marsh Posté le 24-06-2009 à 19:14:32
22 c'est ssh, c'est quoi le rapport ?
Sinon avec 2008 tu as Terminal services gateway qui encapsule le flux rdp dans du ssl
Marsh Posté le 24-06-2009 à 19:45:45
Je@nb a écrit : 22 c'est ssh, c'est quoi le rapport ? |
J'ai lu tellement de trucs sur le sujet que je mélange peut-etre un peu.
Sans dec, nice ça
Je suppose qu'il faut un certificat coté client pour se connecter ?
Marsh Posté le 24-06-2009 à 19:48:35
Non, enfin pas obligé, tu peux t'authentifier avec ton compte AD ou via une smartcard .
L'avantage c'est que ça passe les proxy souvent
Marsh Posté le 30-06-2009 à 09:07:02
Je@nb a écrit : Non, enfin pas obligé, tu peux t'authentifier avec ton compte AD ou via une smartcard . |
Concrètement, il s'y prend comment l'utilisateur ? Il utilise "connexion à un bureau à distance", comme pour du rdp standard, et ca roule tout seul ?
L'idée est d'essayer de donner à certaines personnes l'accès à un serveur tse à distance depuis n'importe où, par exemple quand ils sont chez un client.
Le fait de ne rien avoir à installer sur le poste client est un plus non négligeable, quitte à devoir posséder une clé usb qui contient un certificat, ou un truc dans le genre.
Ca vous semble jouable ?
Marsh Posté le 30-06-2009 à 09:35:09
Suffit d'avoir RDP6.1. Dans le client tu as un tab passerelle où tu entres l'adresse de ta passerelle TS et tu te connectes comme ça
Marsh Posté le 30-06-2009 à 09:45:42
Hummm, ca me plait l'histoire là
Dernière question ( pour le moment ) : je dois monter un serveur TSG entre mon/mes TSE. Niveau licence, il me faut des calls aussi sur le TSG ? Dans la "logique" ca m'étonnerait, puisque ce n'est qu'un serveur de "routage", mais on ne sait jamais.
Bonus1 : Je suppose qu'on peut router les connexion sur le serveur TSE qu'on veut dans notre vpn, du moment qu'on a atteint le serveur TSG ?
Bonus 2 : Est-il toujours assez "simple" pour l'utilisateur de se connecter si on lui impose une authentification "physique", à l'aide d'un certificat sur une clé par exemple ?
Marsh Posté le 30-06-2009 à 10:00:32
Pour les licences je sais pas trop je dirais non si tu gères de CAL users.
Pas compris l'histoire bonus 1
Pour le bonus 2, avec TSG ya pas d'histoire de certificat sur clé usb, c'est password ou smartcard. si tu veux rajouter un vpn alors faut voir la solution vpn mais typiquement les produits windows utilisent le magasin de certificat et c'est pas les certificats des clé usb
Marsh Posté le 30-06-2009 à 10:12:03
Bonus1: J'ai déjà un vpn multi-site aujourd'hui, un serveur 2k3 sur chaque site, l'idée c'est de rentrer par une "porte" sur un serveur TSG, et de là, en fonction du site de l'utilisateur (ou de l'IP du serveur tse qu'il va contacter), router sa connexion sur le bon serveur.
Je sais pas si je suis bien plus clair :s
Marsh Posté le 30-06-2009 à 10:13:49
Bon, je lis ça histoire de mieux comprendre mon sujet : http://www.labo-microsoft.com/arti [...] S_Gateway/
Marsh Posté le 10-07-2009 à 10:39:53
Dites, ça pourrait pas se tenter par l'intermédiaire d'un serveur SSH ?
On lance putty depuis un poste client, et de là on se connecte en rdp au serveur TSE ?
Marsh Posté le 13-07-2009 à 11:50:28
merci
Des contraintes / différences par rapport à passer par un serveur openvpn ?
Marsh Posté le 13-07-2009 à 13:21:03
bah g toujours putty sur ma clé usb alors que openvpn non pas besoin d'installer de drivers tap/tun and co.
Marsh Posté le 15-07-2009 à 11:23:59
Yep, en effet
Toutefois, ya pas des fonctionnalités supplémentaires sur openvpn ?
Ca me plait bien toutefois
Marsh Posté le 31-08-2009 à 14:34:06
Je relance un peu ce sujet.
Je suis partis sur une solution avec un serveur ssh, et une connexion via putty.
Vous avez des idées de préconisation matériel ? (Je rappelle que c'est pour faire des connexions RDP).
2 Cartes réseaux, ça apporte quelque chose ?
Marsh Posté le 02-09-2009 à 09:02:32
Allez, une petite opinion svp
Marsh Posté le 23-06-2009 à 14:46:34
Bonjour,
Situation : J'administre un réseau dans un vpn opérateur. Je dois trouver le moyen de donner l'accès à un serveur TSE depuis l'extérieur.
J'avais pensé à mettre en place un serveur openvpn, et gérer ainsi les accès des utilisateurs par le biais de certificats.
Voyez vous quelque chose d'incohérent, un problème que je ne perçois pas ?
Ou dois-je placer le serveur openvpn ? C'est un simple ordinateur du réseau et je dois router un port vers ce serveur openvpn, ou y a-t-il une particularité sur le routeur à mettre en place ?