Bonjour,
 
Infos préalable :
OS prévu pour le serveur VPN : Windows serveur 2012
Un logiciel serveur VPN « Gratuit » serait préférable ou a pascher…
 
Problématique :
 
Nous avons ici des PCs portable (OS : Windows 7 Pro & 10 Pro) qui se connecte en filaire dans notre entreprise avec un adresse IP fixe W.X.Y.Z (appelons les IP des portables dans l’entreprise : IPPCport1 pour le 1er PC portable, IPPCport2 2ème PC portable etc...). Je répète c’est une IP fixe (donc sans DHCP) c’est important ! il ne faut que le PC change d’adresse IP.
 
Les PCs portable une fois à l’extérieur seront en WIFI (plus en filaire (Ethernet) cela simplifie un peur je pense), en WIFI donc sur un réseau de type box (maison) ou cellulaire (Téléphone en mode modem/pont) ou autre accès… (?). Le Pc portable aura un accès Internet classique pas ces biais et ce faisant aussi au serveur.
 
Le serveur VPN aura une IP visible sur Internet : (IPserv) sous Windows server 2012.
 
Ce que nous souhaitons c’est que :
 
Le PC portable X (1,2…) à l’extérieur puisse être vu à travers le VPN avec la même adresse IPPCport1 comme s’il était dans l’entreprise avec donc toujours sa même adresse IP comme en filaire au sein de l’entreprise.
Nous voulons que le serveur VPN n’utilise/ne nécessite pas d’autre IP que la sienne. (I.e pas plus d’IP ou un pool d’adresses IP supplémentaire pour faire ce service VPN)
Aussi le logiciel/client VPN sur les PCs portable seront configuré sans possibilité de modification/export de la configuration. Autrement dit il faut être sûr que ce soit ce PC portable et uniquement lui qui se connecte (je pense faire cela par le bais d’un ID/mdp unique par PC portable, mais i vous avez d’autre Idées…)
 
En résumé le VPN une fois que l’on utilise le logiciel /client sur un PC portable 1 correctement configuré tout doit être « transparent » et doit être vu depuis l’extérieur à travers le serveur VPN comme s’il était (quasi / minus le lag réseau) physiquement dans l’entreprise avec son adresse IPPCport1 (idem pour chaque portable 2 , 3 …) comme habituellement dans l’entreprise.
 
Je conçois qu’il faudra bien paramétrer/configurer le serveur VPN pour faire cela et cela pour chaque PC portable. Mais je crains/ je « sens » qu’il y a un problème de routage pour conserver les adresses IP des portables à travers le VPN ?
 
Désolé de la « tartine », merci au courageux de m’avoir lu jusqu’ici.  
Si ce n’est pas clair    (c’est toujours pas évident de mettre à l’écrit ce l’on pense/conçoit) n’hésitez à me "rentrer" dedans...
 
Et si vous avez des explication/idées, vous aurez ma gratitude   ) (si !)

C'est imbitable. Donne-nous tes besoins business, et la raison pour laquelle vous vous infligez ces contraintes techniques débiles.

En effet. Pourquoi la contrainte de garder impérativement cette adresse IP ? On dirait presque un sujet de TD.....
Un peu plus de contexte serait pas mal

Re-
Nope ce n'est pas un sujet de TP. (j'ai bien lu les "a lire avant de poster"
Effectivement les contrainte sont lourdes mais pas débiles, car nous avons des serveurs de licence logiciel qui nous impose ce type de contraintes.
 
sinon je pense faire du rdp a travers ce VPN mais il faut que je teste...
pour l'heure je vais voir le serveur inclus dans les Windows (dont le Server).
 
Désolé pour l'imbitable, je tenter de mieux l'expliquer, j'aurais du occulter la partie "la config sur le client n'est pas exportable". oubliez-la...
 

Je dirais qu'il faut que tu oublies cette histoire de serveur Windows VPN pour installer une appliance dédiée à la place, et de mettre en place du RDS, mais j'ai beau relire 3  fois ton post j'ai toujours un peu de mal  

oups    Désolé,
 
Je tente de reformuler sans trop rentrer dans les détails
 
Des PC portables à l’extérieur (Wifi...) doivent pourvoir être vu à travers le VPN comme s'il était dans l'entreprise (avec la problématique : vu dans l'entreprise comme s'il était dans l'entreprise c.a.d avec son adresse IP d'origine (filaire), c’est là ou ça coince)
 
En tout cas merci d'avoir fait l'effort de me comprendre

Au moins, on comprends mieux la problématique Dans ces cas de figure, je dirais aussi plutôt tenter le RDS. ça sera aussi bien moins chiants à administrer par la suite.  
Là, si je comprends bien, tu n'as pas non plus la main pour définir au niveau du serveur de licence d'autres plages IP autorisées ?

Il y'a plusieurs possibilité :  
 
- Tu installes ton logiciel sur un RDS/Citrix. De cette manière, l'accès est possible en interne comme en externe.
- Si le logiciel n'est pas installable sur un RDS/Citrix, tu peux faire de la virtualisation du poste de travail. Plein de solutions existent.
 
Ca sera surement moins compliqué que de bidouiller un truc par le VPN.

Merci pour vos réponse,  
- mais le RDS, c'est du RDP ? ou ? (rem je vais voir ça...)
 
Et si c'est là, la solution, comment faire pour :
Être sur que ce soit uniquement certains PC (nos portables) qui se connectent et pas un PC tiers qui a les code d'accès ? (je veux que ce soit uniquement nos portables qui ont cette possibilité !).
Enfin merci encore...

RDP c'est le protocole de communication, RDS c'est l'infra derrière.
 
Une infra RDS s'appuie sur l'AD donc tu pourras passer par biais pour gérer les accès (et au niveau du broker RDS aussi).

Tu as plein de possibilité, c'est assez complet comme archi, si tu n'a pas les connaissances nécessaires, fais-toi accompagner par ton intégrateur.

Si déjà tu as la connexion VPN + l'authentification via AD, c'est pas mal.  
La première ligne de défense, la connexion VPN sans laquelle, ton serveur n'est de toute façon pas visible de l'extérieur. Donc là, rendre un bon VPN, firewall, etc.
ça, plus l'authentification AD......ça réduit les risques, quand même

surtout comme dit saarh n'ouvre pas ton rdp directement sur internet.. même en changeant de port (oui oui, il y en a qui ont essayés)
tu pourrais avoir de mauvaises surprises
exemple : https://news.sophos.com/fr-fr/2017/ [...] -protocol/
 
n'oubli pas d'acheter les CAL RDP microsoft qui vont bien.

tu peux ouvrir en n'autorisant que certaines ip aussi

 
Ouais enfin là c'est une attaque par Brute Force.
Finalement cela peut s'opérer sur n'importe quel système d’authentification sans contre-mesures appropriées.
 
Tu actives le verrouillage des comptes au bout de x échecs d'authentification et l'attaque sera vaine.
IDEM en changeant de port car je doute que les scans tentent autre chose que le port par défaut.
Enfin effectivement, on peut filtrer par IP sources.
Et bien sûr faire les MAJ de sécu sur le serveur RDS et avoir des MDP forts changés tous les x mois.
 
Avec cela il n'est pas dit au final qu'un tel accès ne soit pas plus secure que pas mal de VPN mal gaulés, avec des MDP en carton et des protocoles avec failles non corrigés.

des failles sur le RDP sans qu'il y ait besoin d'authentification, ça s'est déjà vu

 
Tout à fait sur des failles dont les correctifs existaient avant leurs exploitations
Et puis avec filtrage sur les IP sources et modification du port, t'es à l'abri.
 
Enfin bon je ne pousse pas le RDP ouvert sur Internet mais la sécu cela se juge de manière plus fine que simplement "VPN plus sécure que RDP".

on est parfaitement d'accord !