Bonjour tous le monde,
 
Je dois mettre en place une infrastructure de ce type :  
les employés doivent pouvoir accéder au ressources intranet de l'entreprise depuis chez eux. J'ai donc a ma disposition une machine possédant une adresse ip publique et la tache d'installé un os dessus (surement un linux).  
Deplus les serveurs interne de l'entreprise ne peuvent être accessible que depuis une ip interne. J'aimerais donc votre avis sur le matériel a utilisé :
je pense ipsec pour le tunnel (freeswan pour linux).
Mais jvois pas trop comment résoudre le problème pour accéder au server interne, car une fois le vpn monté le client, depuis chez lui accedera a la gw qui fait vpn, mais pas au server interne car son ip ne sera pas une ip du réseau interne.
 
Apres lecture de certaines docs sur le net, j'ai lu qu'on pouvait utiliser dhcp pour donnée une ip virtuelle au client, ce qui pourrait ptre etre utile (il suffirait d'allouer une plage du sous réseau d'adresse privée).Mais j'ai pas vu d'exemple pratique utilisant cette solution.
 
Ah et autre chose, il faut que depuis le poste client, ceci sois possible sous windows, linux et mac. Il faut également que se soit relativement accessible vu que c'est pour des employés.
 
Merci d'avance
 

Vala je sais pas si c'est mieux ms bon :x

au niveau du fw, je pense pas qu'il y aura de soucis, le truc qui m'enbete vraiment c'est que les "road warriors" (terme apparement utilisé pour désigner les gens qui bossent en dehors de la boite ) arrivent à acceder a ses foutu servers interne (malgré la restrictions d'ip)

installe un vnc sur le VPN

lol

Bon ya pu d'idée ? :x

pffff...j'ai exactement la meme chose a faire..en Gros serveur web dans une DMZ qui doit pouvoir etre accessible de l exterieur comme de l interieur, avec posibilite d atteindre l interne depuis l exterieur sans que les ip externe n'ai le droit directe d'atteindre l'interne..
Donc c est la meme chose...
Le serveur web est donc entoure d un ISA server et d'un FW Unix et IPSec doit etre mis en place...
Le seul soucis c'est que je n'ai jamais touche à une machine linux ou unix de ma vie
Ca va etre fuuuuun

 
ah moi c est pas ce qu on m'a suggeré/imposé...IPSec sera entre la patte interne du serveur Web et la patte externe du FW interne

boomboommusic, bah ipsec avec freeswan c'est assez space au début, ms une fois compris le truc cavas
me reste plus qu'a testé les certfis x509 et j'ai fais les 4modes d'auth

hum, deja le coup des certifs j'aime pas (une apres midi et ca marche toujours pas :').
Sinon le plus simple (jparle avec freeswan, j'ai pas essayé ipsec+2.6,) c'est la gestion manuelle des clés : tu définis tous en dur ds le fichier de conf et y a pas de pluto qui tourne (demon ike). D'un c'est pas super niveau sécu, et de deux sous win j'arrive pas a conf pour la meme gestion des clés (dc c'est réglé car il faut que se sois interoperable.
Sinon via preshared key ou signature rsa c'est pas mal jpense et relativement simple a mettre en place et niveau sécu si on met une bonne taille pour rsa c'est pas trop mal.
 
En fait perso moi pour mon taff il faudra le meilleur compromis entre interopérabilité et sécurité (server soit sous linux soit openbsd (pas encore testé et client windows/linux/*bsd/mac)
 
ps : stuveux jpeux te montrer mes fichiers de conf si ca peut t'aidé à résoudre certains pb

 
ce que j'appelle une patte c est la carte reseau ( c est surement du patois de mon environnement de travail )
 
Alors explication je vais essayer d etre clair.
 
J ai un reseau interne Win 2k AD 172.xxx.xxx.xxx
 
ce reseau interne pour acceder à l'exterieur passe par  la patte interner d'ISA server 172.xxx.xxx.xxx
 
ISA server pour aller à l'exterieur sort par sa patte externe toujours en 172.xxx.xxx.xxx ...
 ...pour acceder à la patte interne du FW Unix en 172.xxx.xxx.xxx toujours puis on sort via smoothwall sur la patte externe autre que 172.xxx.xxx.xxx
 
(ce qui se traduit pour une requete web du client interne par
client--->green ISA--->red ISA--->green fw UNIX---> Red UNIX
 
Pour le serveur WEB en VPN IPSec cela se fait entre ISA et le FW Unix... via l'interface Orange de smoothwall
 
J'avoue que depuis ce matin je dechante un peu..tout ce qui etait Microsoft ca allais tout seul mais la je suis passez à Linux/UNIX et vu que je ne connais que 3 commandes : ls, cd et man vous voyez le trip  donc tout devient un peu flou tout a coup mais c est un challenge qui me branche bien
 
++
 
Voila j'espere avoir expliquer correctement

j'ai rien capté lol
c'est quoi ISA ? (a pars que c'est un port dans un pc ^^, ok je sors

 
Microsoft Internet Security & Acceleration Server

ah ok

vivement les vacances que ca murisse un peu dans ma tete paskeu la ca aurait plutot tendance à me casser la tête...
J'en suis seulement à l'etape installation de FreeBSD pour le serveur WEB et a chaque foi y a un package qui fout la merde..lu mais pas installe c est relativement enervant

Slts à tous.
 
Msg pour kenshln
As-tu trouvé une solution pour accéder depuis l'extérieur (avec une @IP interne) au réseau interne ?
J'ai le meme problème à résoudre.
 
Merci.