Bonjour,
A rebours peut-être des autres pros du réseau ici, ton besoin a l'air
assez simple. Si vous n'avez pas besoin de protocoles plus ou moins
exotiques (c-a-d si tout ce que vous faîtes se fait via TCP - et oui,
UDP est "exotique" on dirait de nos jours), un tunnel SOCKSv5 suffit
amplement.
Donc une machine dans votre SI, avec la bonne conf réseau sortante, et
un serveur SSH installé dessus. Je n'ai pas bien compris en quoi SSH
était si dangereux en réseau public, mais on pourra toujours rendre la
machine accessible uniquement depuis le VPN sans l'exposer sur Internet.
Donc:
+--------------------------------------------+
Client === VPN ==> | SI ENTREPRISE |
| == SOCKSv5 ==> "Bastion SSH" |
====> Internet ==> SI Partenaires via IP sortante ENTREPRISE
|_____________________________|
Quelque chose de ce style là devrait aller non ?
On 29/03/2023 14:41, DUVERGIER Claude wrote:
Bonjour la liste,
Certains de nos clients limitent les accès a leur SI (site en
préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4.
On leur communique donc nos adresses IP publiques (celles pour l'accès
à Internet), il les autorisent et voilà.
Sauf qu'avec le télétravail, le staff qui travaille depuis leur
connexion Internet personnelle n'utilisent pas l'une des adresse IP
autorisée et sont donc bloqués.
On a bien un service VPN qui permet aux collaborateurs en télétravail
d’accéder au LAN et SI de la société, mais il est configuré pour ne
pas recevoir le trafic réseau "autres" (celui qui irait sur Internet)
: l'idée étant que l'employé qui veut se mater une vidéo musicale en
fond ou se faire un film en streaming pendant sa pause n'utilise pas
inutilement la bande passante du service VPN.
Historiquement le problème ne concernait que l'accès HTTP : on a donc
installé un proxy web (Squid) en interne (accessible en VPN) que
l'employé peut utiliser. Le trafic passe donc de son ordinateur au
serveur proxy via le tunnel VPN, et après ce serveur accède au SI du
client via une adresse autorisée.
Mais avec le temps, se pose la question de l'accès à un serveur FTP,
puis en SSH, puis en RDP, etc.
J'ai l'impression que pour chaque protocole je vais devoir installer
un nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas
là, autant leur configurer une session utilisateur sur un Ubuntu
(accessible en bureau à distance) qui utilise une des adresses IPs
publiques autorisée et ça fonctionnera pour tout les protocoles.
Mais bon, le RDP c'est peu pratique pour l'utilisateur.
Vous avez une façon de faire pour ces cas là ? Une solution technique
(tel qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de
protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le
trafic et puis c'est marre ?
Cordialement,
O.Yann
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
