Télétravail openvpn

[Fermé]
Signaler
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
-
Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
-
Bonjour, pour des besoins de télétravail, et comme Team**er n'est plus autorisé dans l'entreprise, je suis en train de créer un serveur VPN pour pouvoir accéder aux dossiers partagés du serveur du réseau local.

L'architecture que je dois avoir c'est :

un accès sécurisé au serveur du réseau local par le poste client en passant par une adresse publique qui pointe sur le serveur openVPN de la DMZ

Actuellement j'ai construit un serveur sous Ubuntu server 18.04 avec la config suivante :

(réseau local 10.1.0.0) <--ETH1--> serveur openVPN <--ETH2--> (DMZ 10.2.0.0)

je ne sais pas vraiment comment le configurer :

ce que j'ai déjà fais :

- Installer et configurer le serveur Ubuntu
- Ip fixe sur les 2 cartes réseaux 10.1.0.99 et 10.2.0.5 (pointé par une adresse IP publique)
- Proxy renseigné
- Quand je créé un configuration avec openVPN sur le 10.2.0.5 le tunnel fonctionne, le poste client peut se connecter à internet via la DMZ mais ne peut pas voir le réseau local.
- Du serveur openVPN je peux accéder aux dossiers du serveur local après authentification.

Merci d'avance ! je suis très malléable donc toute autre solution est bonne à prendre quitte à tout recommencer de zéro tant que l'accès est sécurisé.

Configuration: Windows / Edge 18.18362


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.

9 réponses

Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
12 892
Salut,
je ne comprends pas bien ce que tu fais, de quel poste client parles tu ?
Quand je créé un configuration avec openVPN sur le 10.2.0.5 le tunnel fonctionne, le poste client peut se connecter à internet via la DMZ mais ne peut pas voir le réseau local.
-

le poste client openvpn, il est bien à l'extérieur de tout ce machin ?
et forcément il accède déjà à l'internet par sa propre connexion ?
quel est le réseau IP dans openvpn, tu n'en parles pas, parce que le réseau de la DMZ, on s'en fout, une fois le vpn établi, il ne compte plus, c'est le réseau openvpn qui compte.
ce qu'il faut c'est router entre 10.1.0.0/16 ? et le réseau du vpn et que le réseau local ait une route vers le réseau openvpn, pas gagné ça, ou alors faire du nat (masquering) sur le serveur open vpn pour présenter au réseau local openvpn avec l'adresse 10.1.0.99.

Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
Bonjour brupala, merci de m'avoir répondu,

Le poste client c'est celui (pro ou perso) du personnel qui, chez lui, aura installé openvpn et lancé le fichier télétravail-xyz.ovpn fourni. et bien sûr, le poste est naturellement connecté à internet.

Le client devrait avoir (via le VPN) l'adresse ip 10.1.0.XXX fourni par le serveur du réseau local.

je pense que tu as raison par rapport au nat (masquering), c'est l'idée.

Cordialement


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
12 892
il y a quand même un souci,
openvpn est bien en mode routeur (tun) pas en mode bridge ?
dans ce cas la plage d'adresse dans openvpn doit être différente de celle du réseau local.
si il est en mode bridge (tap) alors, il faut juste des adresses différentes de celles du réseau local, mais dans le même réseau IP.
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
Oui, Il faudrait qu'il soit en mode bridge !
c'est ça en fait…
Je vais chercher des tutos, mais si tu as la solution, je suis preneur ;)
Merci


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
12 892
yapuka,
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
j'ai trouvé un tuto, mais il ne fonctionne qu'avec une seule carte réseau, mais je suis obligé de passer par la DMZ pour ensuite passer sur le réseau local…

sur debian-fr --> install-openvpn-en-mode-bridge/4458

Merci pour le tuyau, ça fait avancer le schmilblick

Cordialement.
Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
12 892
ah ouais....
je ne sais pas comment ça se passe le mode mode bridge avec 2 connexions réseau local, effectivement, il doit falloir préciser avec lequel on bridge, je dois avouer que je ne me suis jamais intéressé à la question :-(
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
Oui, c'est un sacré morceau là ^^

Merci pour ton aide !

Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
Bonjour,
je suis toujours à la recherche d'une solution (même autre...)
Je vous donne mon schéma actuel pour plus de lisibilité au cas où…
Merci d'avance pour vos réponses.
Bien cordialement.

Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
12 892
Donc, tu ne sais pas régler le problème du bridge ?
voir aussi la possibilité de repasser openvpn en routage et masquerade en 10.1.0.99 du réseau openvpn en 10.3.0.0/24
activer le routage sur le serveur vpn aussi.
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
En toute franchise, j'apprends là… c'est un des rares pans de l'informatique qui me sois nouveau… et j'ai beau chercher les forums en français ou anglais… mon cas de figure a l'air exotique…


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
Je suis parti sur un serveur pfsense pour voir...
Messages postés
284
Date d'inscription
jeudi 10 mai 2007
Statut
Membre
Dernière intervention
3 avril 2020
27
Bon, usine à gaz aussi, je ferme la boite et je pars en vacances… dans mon salon ;)
Messages postés
100776
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 octobre 2021
12 892
non,
mais avec du nat c'est possible, même du bridge.
Le souci, c'est la faille de sécurite qui va être introduite par le routage, puisque le lan sera relié à la DMZ directement par ton serveur, sans passer obligatoirement par le firewall.
ou alors, il faudra ajouter des règles iptables dans le serveur pour n'autoriser le forward qu'entre vpn et et lan, pas entre lan et DMZ, ni vpn et DMZ, afin que ça passe uniquement par le firewall.