VPN - RADIUS
Résolu
elpens
Messages postés
815
Date d'inscription
Statut
Contributeur
Dernière intervention
-
elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention -
elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
J'aimerai mettre en place un VPN (L2TP/IPSec) avec une authentification sur un serveur RADIUS.
Ma configuration se compose de:
2x firewalls (edge-fw & intern-fw)
1x NPS (nps-server)
1x RADIUS (radius-server)
Schema: http://www.cijoint.fr/cj201106/cijS7FmCGP.gif
Mon problème est que j'ai du authoriser l'accès entre mon VLAN "nonat" et le VLAN "intern", ce qui rend mon server NPS très vulnérable (accessible publiquement, directement connecté au réseau interne) et ce n'est pas une solution qui me convient.
Donc, je m'en remets à vous pour une meilleure solution!
Merci pour tout conseils/ aide
Elpens
J'aimerai mettre en place un VPN (L2TP/IPSec) avec une authentification sur un serveur RADIUS.
Ma configuration se compose de:
2x firewalls (edge-fw & intern-fw)
1x NPS (nps-server)
1x RADIUS (radius-server)
Schema: http://www.cijoint.fr/cj201106/cijS7FmCGP.gif
Mon problème est que j'ai du authoriser l'accès entre mon VLAN "nonat" et le VLAN "intern", ce qui rend mon server NPS très vulnérable (accessible publiquement, directement connecté au réseau interne) et ce n'est pas une solution qui me convient.
Donc, je m'en remets à vous pour une meilleure solution!
Merci pour tout conseils/ aide
Elpens
A voir également:
- VPN - RADIUS
- Vpn comment ça marche - Guide
- Vpn gratuit - Accueil - Guide VPN
- Hola vpn chrome - Guide
- Nord vpn - Guide
- Netflix vpn - Guide
3 réponses
Salut,
il faut dire que l'architecture est pour le moins étrange:
deux firewall l'un derrière l'autre avec finalement un serveur qui les court circuite, c'est assez ..... particulier.
Le serveur nps devrait être dans une dmZ avec connexions entrantes permises depuis internet et depuis le lan, mais connexions sortantes fermées, pas besoin de deux cartes réseau dessus.
il faut dire que l'architecture est pour le moins étrange:
deux firewall l'un derrière l'autre avec finalement un serveur qui les court circuite, c'est assez ..... particulier.
Le serveur nps devrait être dans une dmZ avec connexions entrantes permises depuis internet et depuis le lan, mais connexions sortantes fermées, pas besoin de deux cartes réseau dessus.
Hello,
Merci déjà pour ta réponse.
En effet comme elle est représentée sur cette image, l'architecture peut paraitre étrange, mais j'ai supprimé quelques sous-réseaux afin de la rendre plus "simple".
Le problème avec ta solution en DMZ est le "nating". Vu que je veux mettre en place un layer 2 VPN (L2TP/IPSec), je ne pourrais pas passer à travers mes 2 firewalls, non?
D'ou cette solution de m***e qui me court-circuite mon 2ième firewall...
Merci pour votre aide
Merci déjà pour ta réponse.
En effet comme elle est représentée sur cette image, l'architecture peut paraitre étrange, mais j'ai supprimé quelques sous-réseaux afin de la rendre plus "simple".
Le problème avec ta solution en DMZ est le "nating". Vu que je veux mettre en place un layer 2 VPN (L2TP/IPSec), je ne pourrais pas passer à travers mes 2 firewalls, non?
D'ou cette solution de m***e qui me court-circuite mon 2ième firewall...
Merci pour votre aide
au niveau firewall, c'est classique d'une DMZ:
internet >>DMZ autorisé pour le vpn (ESP+AH)
DMZ>>internet bloqué
interne >>DMZ autorisé (un seul port éventuellement)
DMZ>>interne bloqué
pour les routes, c'est le routage normal de ton réseau local (éventuellement une route en /32 ou en /30 pour le serveur en DMZ)
Reste à voir le problème du tunnel ipsec avec le nat
internet >>DMZ autorisé pour le vpn (ESP+AH)
DMZ>>internet bloqué
interne >>DMZ autorisé (un seul port éventuellement)
DMZ>>interne bloqué
pour les routes, c'est le routage normal de ton réseau local (éventuellement une route en /32 ou en /30 pour le serveur en DMZ)
Reste à voir le problème du tunnel ipsec avec le nat
Ok ok, ca (re)devient un peu + clair... merci
Concernant la communication DMZ <-> intern, tu m'as conseillé de bloquer DMZ -> intern, mais ne suis-je pas obligé de laisser un port ouvert pour laisser passer les requêtes EAP-TLS (identity, client certificate,...)?
Et oui, il y a toujours le problème du NAT, mais comment contourner ca...? Est-ce que NAT traversal vous dit quelque chose?
Concernant la communication DMZ <-> intern, tu m'as conseillé de bloquer DMZ -> intern, mais ne suis-je pas obligé de laisser un port ouvert pour laisser passer les requêtes EAP-TLS (identity, client certificate,...)?
Et oui, il y a toujours le problème du NAT, mais comment contourner ca...? Est-ce que NAT traversal vous dit quelque chose?