[Reseaux] Acces sécurisé à un serveur TSE depuis l'extérieur

Acces sécurisé à un serveur TSE depuis l'extérieur [Reseaux] - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 23-06-2009 à 14:46:34    

Bonjour,
 
Situation : J'administre un réseau dans un vpn opérateur. Je dois trouver le moyen de donner l'accès à un serveur TSE depuis l'extérieur.
J'avais pensé à mettre en place un serveur openvpn, et gérer ainsi les accès des utilisateurs par le biais de certificats.
Voyez vous quelque chose d'incohérent, un problème que je ne perçois pas ?
Ou dois-je placer le serveur openvpn ? C'est un simple ordinateur du réseau et je dois router un port vers ce serveur openvpn, ou y a-t-il une particularité sur le routeur à mettre en place ?

Reply

Marsh Posté le 23-06-2009 à 14:46:34   

Reply

Marsh Posté le 23-06-2009 à 18:50:38    

Ca n'a pas l'air d'inspirer grand monde...
:bounce:

Reply

Marsh Posté le 23-06-2009 à 19:19:15    

tu auras des éléments de réponse et de réflexion en cherchant 'unified security gateway'

Reply

Marsh Posté le 24-06-2009 à 10:20:04    

tuxbleu a écrit :

Bonjour,
 
Situation : J'administre un réseau dans un vpn opérateur. Je dois trouver le moyen de donner l'accès à un serveur TSE depuis l'extérieur.
J'avais pensé à mettre en place un serveur openvpn, et gérer ainsi les accès des utilisateurs par le biais de certificats.
Voyez vous quelque chose d'incohérent, un problème que je ne perçois pas ?
Ou dois-je placer le serveur openvpn ? C'est un simple ordinateur du réseau et je dois router un port vers ce serveur openvpn, ou y a-t-il une particularité sur le routeur à mettre en place ?


 
Il faudra pardonner mes imprécisions, mais comme personne ne te répond je vais essayer de t'aider.
J'ai mis en place la même solution à mon boulôt, pour plus ou moins les mêmes raisons: accès à des sessions TSE et à des applis sur l'intranet.
C'est une solution honorable à mon avis en terme de temps passé et de coût.
 
En pratique, tu installes donc openvpn sur une machine qui te servira de serveur vpn.
 
En ce qui me concerne j'ai fait les choses suivantes:
- j'ai laissé le configuration du tunnel par défaut en mode TUN.
- J'ai configuré un transfert du port 1194 vers ma machine qui sert de serveur openvpn. (à faire sur ton routeur / firewall)
- Contrairement au mode TAP, en mode TUN il faut préciser dans la config openvpn sur le serveur les routes à publier sur le client pour qu'il puisse avoir accès aux réseaux.
Par exemple s'il doit avoir accès au réseau 192.168.1.0 il faut ajouter push "route 192.168.1.0 255.255.255.0".
- Attention; il faut activer ip_forward afin que ta passerelle puisse router les paquets entre l'interface tunnel et ton réseau local, sinon tes clients arriveront à se connecter au vpn mais ils n'auront accès à rien sur ton réseau.
 
Si tu as un peu d'argent à dépenser, jette un coup d'oeil sur la version commerciale qui est un peu plus sexy à utiliser!
 
En cas de problème n'hésite pas à jeter un coup d'oeil à la faq:
http://openvpn.net/index.php/open-source/faq.html
 
et à la doc:
http://openvpn.net/index.php/open- [...] ation.html
 
Tous les problèmes courants s'y trouvent. Bon courage!
 
Nico

Reply

Marsh Posté le 24-06-2009 à 18:05:59    

hey :jap: !!!!
 
Super ca !!
Merci. Donc c'est faisable. :jap:
Juste une question con : pourquoi le port 1194 ? C'est pas le 22 auquel s'attaque le client openvpn ?

Reply

Marsh Posté le 24-06-2009 à 19:14:32    

22 c'est ssh, c'est quoi le rapport ?
 
Sinon avec 2008 tu as Terminal services gateway qui encapsule le flux rdp dans du ssl :)

Reply

Marsh Posté le 24-06-2009 à 19:45:45    

Je@nb a écrit :

22 c'est ssh, c'est quoi le rapport ?
 
Sinon avec 2008 tu as Terminal services gateway qui encapsule le flux rdp dans du ssl :)


J'ai lu tellement de trucs sur le sujet que je mélange peut-etre un peu.
 
Sans dec, nice ça :)
Je suppose qu'il faut un certificat coté client pour se connecter ?

Reply

Marsh Posté le 24-06-2009 à 19:48:35    

Non, enfin pas obligé, tu peux t'authentifier avec ton compte AD ou via une smartcard :).
 
L'avantage c'est que ça passe les proxy souvent :D

Reply

Marsh Posté le 25-06-2009 à 08:42:49    

:jap:

Reply

Marsh Posté le 30-06-2009 à 09:07:02    

Je@nb a écrit :

Non, enfin pas obligé, tu peux t'authentifier avec ton compte AD ou via une smartcard :).
 
L'avantage c'est que ça passe les proxy souvent :D


Concrètement, il s'y prend comment l'utilisateur ? Il utilise "connexion à un bureau à distance", comme pour du rdp standard, et ca roule tout seul ?
L'idée est d'essayer de donner à certaines personnes l'accès à un serveur tse à distance depuis n'importe où, par exemple quand ils sont chez un client.
Le fait de ne rien avoir à installer sur le poste client est un plus non négligeable, quitte à devoir posséder une clé usb qui contient un certificat, ou un truc dans le genre.
Ca vous semble jouable ?

Reply

Marsh Posté le 30-06-2009 à 09:07:02   

Reply

Marsh Posté le 30-06-2009 à 09:35:09    

Suffit d'avoir RDP6.1. Dans le client tu as un tab passerelle où tu entres l'adresse de ta passerelle TS et tu te connectes comme ça :)

Reply

Marsh Posté le 30-06-2009 à 09:45:42    

Hummm, ca me plait l'histoire là  :)
Dernière question ( pour le moment [:joce] ) : je dois monter un serveur TSG entre mon/mes TSE. Niveau licence, il me faut des calls aussi sur le TSG ? Dans la "logique" ca m'étonnerait, puisque ce n'est qu'un serveur de "routage", mais on ne sait jamais.
Bonus1 : Je suppose qu'on peut router les connexion sur le serveur TSE qu'on veut dans notre vpn, du moment qu'on a atteint le serveur TSG ?
Bonus 2 : Est-il toujours assez "simple" pour l'utilisateur de se connecter si on lui impose une authentification "physique", à l'aide d'un certificat sur une clé par exemple ?

Reply

Marsh Posté le 30-06-2009 à 10:00:32    

Pour les licences je sais pas trop je dirais non si tu gères de CAL users.
Pas compris l'histoire bonus 1
Pour le bonus 2, avec TSG ya pas d'histoire de certificat sur clé usb, c'est password ou smartcard. si tu veux rajouter un vpn alors faut voir la solution vpn mais typiquement les produits windows utilisent le magasin de certificat et c'est pas les certificats des clé usb

Reply

Marsh Posté le 30-06-2009 à 10:12:03    

Bonus1: J'ai déjà un vpn multi-site aujourd'hui, un serveur 2k3 sur chaque site, l'idée c'est de rentrer par une "porte" sur un serveur TSG, et de là, en fonction du site de l'utilisateur (ou de l'IP du serveur tse qu'il va contacter), router sa connexion sur le bon serveur.
Je sais pas si je suis bien plus clair :s


Message édité par tuxbleu le 30-06-2009 à 10:12:11
Reply

Marsh Posté le 30-06-2009 à 10:13:49    

Bon, je lis ça histoire de mieux comprendre mon sujet : http://www.labo-microsoft.com/arti [...] S_Gateway/

Reply

Marsh Posté le 10-07-2009 à 10:39:53    

Dites, ça pourrait pas se tenter par l'intermédiaire d'un serveur SSH ?
 
On lance putty depuis un poste client, et de là on se connecte en rdp au serveur TSE ?

Reply

Marsh Posté le 10-07-2009 à 11:11:43    

Je le fais ouais, ça marche bien :o

Reply

Marsh Posté le 13-07-2009 à 11:50:28    

merci :)
Des contraintes / différences par rapport à passer par un serveur openvpn ?

Reply

Marsh Posté le 13-07-2009 à 13:21:03    

bah g toujours putty sur ma clé usb alors que openvpn non :d pas besoin d'installer de drivers tap/tun and co.

Reply

Marsh Posté le 15-07-2009 à 11:23:59    

Yep, en effet :jap:
 
Toutefois, ya pas des fonctionnalités supplémentaires sur openvpn ?
Ca me plait bien toutefois :jap:

Reply

Marsh Posté le 31-08-2009 à 14:34:06    

Je relance un peu ce sujet.
Je suis partis sur une solution avec un serveur ssh, et une connexion via putty.
Vous avez des idées de préconisation matériel ? (Je rappelle que c'est pour faire des connexions RDP).
2 Cartes réseaux, ça apporte quelque chose ?
 
:jap:

Reply

Marsh Posté le 02-09-2009 à 09:02:32    

Allez, une petite opinion svp

 

:)


Message édité par tuxbleu le 02-09-2009 à 09:02:41
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed