Télétravail openvpn

Fermé
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 - Modifié le 2 avril 2020 à 11:11
brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 - 3 avril 2020 à 17:14
Bonjour, pour des besoins de télétravail, et comme Team**er n'est plus autorisé dans l'entreprise, je suis en train de créer un serveur VPN pour pouvoir accéder aux dossiers partagés du serveur du réseau local.

L'architecture que je dois avoir c'est :

un accès sécurisé au serveur du réseau local par le poste client en passant par une adresse publique qui pointe sur le serveur openVPN de la DMZ

Actuellement j'ai construit un serveur sous Ubuntu server 18.04 avec la config suivante :

(réseau local 10.1.0.0) <--ETH1--> serveur openVPN <--ETH2--> (DMZ 10.2.0.0)

je ne sais pas vraiment comment le configurer :

ce que j'ai déjà fais :

- Installer et configurer le serveur Ubuntu
- Ip fixe sur les 2 cartes réseaux 10.1.0.99 et 10.2.0.5 (pointé par une adresse IP publique)
- Proxy renseigné
- Quand je créé un configuration avec openVPN sur le 10.2.0.5 le tunnel fonctionne, le poste client peut se connecter à internet via la DMZ mais ne peut pas voir le réseau local.
- Du serveur openVPN je peux accéder aux dossiers du serveur local après authentification.

Merci d'avance ! je suis très malléable donc toute autre solution est bonne à prendre quitte à tout recommencer de zéro tant que l'accès est sécurisé.

Configuration: Windows / Edge 18.18362


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.

9 réponses

brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 13 839
2 avril 2020 à 15:25
Salut,
je ne comprends pas bien ce que tu fais, de quel poste client parles tu ?
Quand je créé un configuration avec openVPN sur le 10.2.0.5 le tunnel fonctionne, le poste client peut se connecter à internet via la DMZ mais ne peut pas voir le réseau local.
-

le poste client openvpn, il est bien à l'extérieur de tout ce machin ?
et forcément il accède déjà à l'internet par sa propre connexion ?
quel est le réseau IP dans openvpn, tu n'en parles pas, parce que le réseau de la DMZ, on s'en fout, une fois le vpn établi, il ne compte plus, c'est le réseau openvpn qui compte.
ce qu'il faut c'est router entre 10.1.0.0/16 ? et le réseau du vpn et que le réseau local ait une route vers le réseau openvpn, pas gagné ça, ou alors faire du nat (masquering) sur le serveur open vpn pour présenter au réseau local openvpn avec l'adresse 10.1.0.99.

0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
Modifié le 2 avril 2020 à 15:49
Bonjour brupala, merci de m'avoir répondu,

Le poste client c'est celui (pro ou perso) du personnel qui, chez lui, aura installé openvpn et lancé le fichier télétravail-xyz.ovpn fourni. et bien sûr, le poste est naturellement connecté à internet.

Le client devrait avoir (via le VPN) l'adresse ip 10.1.0.XXX fourni par le serveur du réseau local.

je pense que tu as raison par rapport au nat (masquering), c'est l'idée.

Cordialement


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
0
brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 13 839
2 avril 2020 à 15:53
il y a quand même un souci,
openvpn est bien en mode routeur (tun) pas en mode bridge ?
dans ce cas la plage d'adresse dans openvpn doit être différente de celle du réseau local.
si il est en mode bridge (tap) alors, il faut juste des adresses différentes de celles du réseau local, mais dans le même réseau IP.
0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
Modifié le 2 avril 2020 à 16:13
Oui, Il faudrait qu'il soit en mode bridge !
c'est ça en fait…
Je vais chercher des tutos, mais si tu as la solution, je suis preneur ;)
Merci


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
0
brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 13 839
2 avril 2020 à 16:14
yapuka,
0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
2 avril 2020 à 16:23
j'ai trouvé un tuto, mais il ne fonctionne qu'avec une seule carte réseau, mais je suis obligé de passer par la DMZ pour ensuite passer sur le réseau local…

sur debian-fr --> install-openvpn-en-mode-bridge/4458

Merci pour le tuyau, ça fait avancer le schmilblick

Cordialement.
0
brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 13 839
2 avril 2020 à 16:29
ah ouais....
je ne sais pas comment ça se passe le mode mode bridge avec 2 connexions réseau local, effectivement, il doit falloir préciser avec lequel on bridge, je dois avouer que je ne me suis jamais intéressé à la question :-(
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
2 avril 2020 à 16:53
Oui, c'est un sacré morceau là ^^

Merci pour ton aide !

0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
3 avril 2020 à 08:22
Bonjour,
je suis toujours à la recherche d'une solution (même autre...)
Je vous donne mon schéma actuel pour plus de lisibilité au cas où…
Merci d'avance pour vos réponses.
Bien cordialement.

0
brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 13 839
3 avril 2020 à 09:15
Donc, tu ne sais pas régler le problème du bridge ?
voir aussi la possibilité de repasser openvpn en routage et masquerade en 10.1.0.99 du réseau openvpn en 10.3.0.0/24
activer le routage sur le serveur vpn aussi.
0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
Modifié le 3 avril 2020 à 09:58
En toute franchise, j'apprends là… c'est un des rares pans de l'informatique qui me sois nouveau… et j'ai beau chercher les forums en français ou anglais… mon cas de figure a l'air exotique…


A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
3 avril 2020 à 10:17
Je suis parti sur un serveur pfsense pour voir...
0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
3 avril 2020 à 17:03
Bon, usine à gaz aussi, je ferme la boite et je pars en vacances… dans mon salon ;)
0
brupala Messages postés 106400 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 mai 2023 13 839
3 avril 2020 à 17:14
non,
mais avec du nat c'est possible, même du bridge.
Le souci, c'est la faille de sécurite qui va être introduite par le routage, puisque le lan sera relié à la DMZ directement par ton serveur, sans passer obligatoirement par le firewall.
ou alors, il faudra ajouter des règles iptables dans le serveur pour n'autoriser le forward qu'entre vpn et et lan, pas entre lan et DMZ, ni vpn et DMZ, afin que ça passe uniquement par le firewall.
0