VPN - RADIUS
Résolu/Fermé
elpens
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
-
Modifié par elpens le 1/06/2011 à 16:28
elpens Messages postés 814 Date d'inscription mercredi 10 septembre 2008 Statut Contributeur Dernière intervention 24 avril 2014 - 7 juin 2011 à 08:05
elpens Messages postés 814 Date d'inscription mercredi 10 septembre 2008 Statut Contributeur Dernière intervention 24 avril 2014 - 7 juin 2011 à 08:05
A voir également:
- VPN - RADIUS
- Vpn gratuit - Guide
- Vpn comment ça marche - Guide
- Bright vpn - Télécharger - Confidentialité
- Tuxler vpn - Télécharger - Confidentialité
- Vpn edge - Guide
3 réponses
elpens
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 juin 2011 à 16:29
1 juin 2011 à 16:29
up...
brupala
Messages postés
109454
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
13 623
1 juin 2011 à 16:40
1 juin 2011 à 16:40
Salut,
il faut dire que l'architecture est pour le moins étrange:
deux firewall l'un derrière l'autre avec finalement un serveur qui les court circuite, c'est assez ..... particulier.
Le serveur nps devrait être dans une dmZ avec connexions entrantes permises depuis internet et depuis le lan, mais connexions sortantes fermées, pas besoin de deux cartes réseau dessus.
il faut dire que l'architecture est pour le moins étrange:
deux firewall l'un derrière l'autre avec finalement un serveur qui les court circuite, c'est assez ..... particulier.
Le serveur nps devrait être dans une dmZ avec connexions entrantes permises depuis internet et depuis le lan, mais connexions sortantes fermées, pas besoin de deux cartes réseau dessus.
elpens
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
6 juin 2011 à 09:26
6 juin 2011 à 09:26
Hello,
Merci déjà pour ta réponse.
En effet comme elle est représentée sur cette image, l'architecture peut paraitre étrange, mais j'ai supprimé quelques sous-réseaux afin de la rendre plus "simple".
Le problème avec ta solution en DMZ est le "nating". Vu que je veux mettre en place un layer 2 VPN (L2TP/IPSec), je ne pourrais pas passer à travers mes 2 firewalls, non?
D'ou cette solution de m***e qui me court-circuite mon 2ième firewall...
Merci pour votre aide
Merci déjà pour ta réponse.
En effet comme elle est représentée sur cette image, l'architecture peut paraitre étrange, mais j'ai supprimé quelques sous-réseaux afin de la rendre plus "simple".
Le problème avec ta solution en DMZ est le "nating". Vu que je veux mettre en place un layer 2 VPN (L2TP/IPSec), je ne pourrais pas passer à travers mes 2 firewalls, non?
D'ou cette solution de m***e qui me court-circuite mon 2ième firewall...
Merci pour votre aide
brupala
Messages postés
109454
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
13 623
6 juin 2011 à 10:56
6 juin 2011 à 10:56
nating ...
pourquoi tu n'as qu'une seule adresse ip ?
tu ne peux pas en avoir plusieurs ?
pourquoi tu n'as qu'une seule adresse ip ?
tu ne peux pas en avoir plusieurs ?
elpens
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
6 juin 2011 à 12:21
6 juin 2011 à 12:21
Oui, je n'ai à disposition qu'une seule adresse ip publique (193.x.y.z).
J'ai refait un schema avec la solution "DMZ", mais j'ai du mal à imaginer les configurations des firewalls (routes).
http://www.cijoint.fr/cj201106/cijAuCAHcO.gif
Je suis désolé, mais je suis un peu perdu
J'ai refait un schema avec la solution "DMZ", mais j'ai du mal à imaginer les configurations des firewalls (routes).
http://www.cijoint.fr/cj201106/cijAuCAHcO.gif
Je suis désolé, mais je suis un peu perdu
brupala
Messages postés
109454
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
13 623
6 juin 2011 à 12:33
6 juin 2011 à 12:33
au niveau firewall, c'est classique d'une DMZ:
internet >>DMZ autorisé pour le vpn (ESP+AH)
DMZ>>internet bloqué
interne >>DMZ autorisé (un seul port éventuellement)
DMZ>>interne bloqué
pour les routes, c'est le routage normal de ton réseau local (éventuellement une route en /32 ou en /30 pour le serveur en DMZ)
Reste à voir le problème du tunnel ipsec avec le nat
internet >>DMZ autorisé pour le vpn (ESP+AH)
DMZ>>internet bloqué
interne >>DMZ autorisé (un seul port éventuellement)
DMZ>>interne bloqué
pour les routes, c'est le routage normal de ton réseau local (éventuellement une route en /32 ou en /30 pour le serveur en DMZ)
Reste à voir le problème du tunnel ipsec avec le nat
elpens
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
Modifié par elpens le 6/06/2011 à 16:22
Modifié par elpens le 6/06/2011 à 16:22
Ok ok, ca (re)devient un peu + clair... merci
Concernant la communication DMZ <-> intern, tu m'as conseillé de bloquer DMZ -> intern, mais ne suis-je pas obligé de laisser un port ouvert pour laisser passer les requêtes EAP-TLS (identity, client certificate,...)?
Et oui, il y a toujours le problème du NAT, mais comment contourner ca...? Est-ce que NAT traversal vous dit quelque chose?
Concernant la communication DMZ <-> intern, tu m'as conseillé de bloquer DMZ -> intern, mais ne suis-je pas obligé de laisser un port ouvert pour laisser passer les requêtes EAP-TLS (identity, client certificate,...)?
Et oui, il y a toujours le problème du NAT, mais comment contourner ca...? Est-ce que NAT traversal vous dit quelque chose?
brupala
Messages postés
109454
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
13 623
6 juin 2011 à 19:35
6 juin 2011 à 19:35
oui, tu as raison,
j'oubliais le radius, effectivement, il faut laisser ça.
nat traversal, oui, mais je ne l'ai jamais mis en oeuvre, par contre ça doit nécéssiter une connexion dmz >> internet
j'oubliais le radius, effectivement, il faut laisser ça.
nat traversal, oui, mais je ne l'ai jamais mis en oeuvre, par contre ça doit nécéssiter une connexion dmz >> internet