Besoin de conseils pour nouvelle architecture - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 17-05-2010 à 14:29:31
Citation : Est il possible de gérer les accès au NAS par des comptes utilisateurs par exemple ? (permettant ainsi d'empêcher l'accès de certaines personnes à certains "endroits" du NAS) |
- Oui bien entendu tu peux gerer les acces utilisateurs
- Depend comment tu veux config ton raid, perso au boulot, 5 disques dans le NAS, deux en RAID-1 pour le system, et 3 en RAID-5
- Un vrai controleur RAID avec un VRAI serveur, eviter le RAID logiciel et des disques durs identiques bien entendu
Pour le VPN, jamais mis ce type de chose en place.
Et par curiosite, tu ne nous parles pas de l'OS/environnement, Windows/Linux/Unix/Mac ou autre peut-etre - versions etc...
Marsh Posté le 17-05-2010 à 15:11:01
Merci pour ta réponse !
Tout est sous Windows. Majorité XP, quelques uns sous Vista et un très forte minorité de Seven.
Par contre je comprends pas très bien pourquoi tu a différencié la partie système de l'autre ?
Comme je compte m'en servir comme simple serveur de fichiers ai je à prévoir ca aussi ? Ou n'y a t'il rien à voir ?
Je comptais d'ailleurs utiliser un RAID-5 qui apparemment est plutôt fiable (j'ai un Chef un brin parano)
Marsh Posté le 17-05-2010 à 15:58:00
Bonjour,
Pour les accés tu peux gerer chaque utilisateur mais un peu fatidieu avec quand meme plus de 30 personnes... encore que c'est la limite mais bon si l'entreprise s'agrandit il faudrait plus penser a un serveur avec AD et serveur de fichier non ?
Marsh Posté le 17-05-2010 à 16:42:57
Il n'y a pas possibilité de faire des groupes d'utilisateur avec un NAS ? Parce que j'ai pas trop envie de partir sur des dépenses trop importantes (genre serveur et licence) à savoir que moi je reste pas et je sais pas si quelqu'un saura gérer l'AD une fois que je serai parti
Marsh Posté le 17-05-2010 à 18:47:42
Etre parano, c'est la premiere qualite d'un admin sys/reseau ;P
Question sécurité et propreté à mon avis. Si ton système plante complètement et que tu dois récupérer ce dernier, tes fichiers utilisateurs sur ton NAS sont "en lieu sûre", tu n'as pas besoin de monter cette partition en plus, comme ça tu te concentres uniquement à récupérer ton système, si tu vois ce que je veux dire. Alors que si tes fichiers utilisateurs sont sur le même disque / les mêmes disques, imagine le possible désastres lors d'un crash
Ce sont des choses à prévoir effectivement, et tu veux faire tourner ton NAS sur quel OS ? (Windows Server ou du Linux)
Marsh Posté le 17-05-2010 à 20:16:33
Je n'ai pas choisi encore il y a du mieux ? ou c est globalement identique ?
Marsh Posté le 17-05-2010 à 23:26:10
Ca, ca depend de ton boss et de ses boss et du budget, du personnel et de ses compétences... blahblah administratif grossomodo
On roule sous OpenFiler : http://www.openfiler.com/
Marsh Posté le 18-05-2010 à 08:01:25
ok merci bien ! je vais voir ca.
Mais deja faut que je choisisse un NAS !!!
Marsh Posté le 18-05-2010 à 11:08:00
Bon il y a plusieurs choses dans ton sujet, je propose de répondre en posant une "architecture" réseau compatible avec tes objectif puis de régler secondaire ensuite.
La configuration ci dessous me semble adapté.
SITE 1 SITE 2 switch switch |
Les deux sites sont connectées par un VPN gérer par des routeurs VPN.
Sur le sites principal, il faut que le prestataire réseau/télécom mettes en place le transfert de port nécessaire au montage du VPN.
L'ensemble des PC, imprimantes et service (NAS) seront alors visible sur le réseau.
La passerelle internet sera sur l'un des deux sites (au choix.). Sur ce site il faudra installer un routeur filtrant (si tu veux con troller les accès).
Si un PC veux accéder à internet et qu'il ne se trouve pas sur le site de la passerelle alors la connexion transitera par l'autre site.
Je suppose que les PC fonctionnent sur Windows. Est-tu en domaine ou en groupe de travail ?
Le mieux est sans doute d'unifier le réseau. C'est à dire d'avoir tous les PCs et imprimantes (des deux sites) dans me même réseau (voir sous réseau).
Dans le premier tu peux créer un sous-réseau par site.
Dans le seconde cas, l'ensemble des PC doivent être dans le même sous-réseau. En effet un groupe de travail ne peut fonctionner que dans un même sous-réseau.
L'intérêt de cette configuration réside dans le fait que l'administration est centralisée et que l'ensemble des services est (potentiellement) accessible à tout le mode (c'est le but du réseau). L'inconvénient est qu'en cas de perte du réseau les services sont indisponibles. Par exemple si le NAS est sur le site principal et que le réseau tombe ... plus de NAS sur le site secondaire. Il convient donc de prévoir ce cas. Dans le cas des NAS par exemple tu peux en mettre deux (1 par site) en réplication.
Les NAS Synology sont très simple à mettre en place. Tu crées des partitions (tu choisi le type de raid que tu souhaites 0, 1 0+1, 5, 6). Ensuite tu crées des partages, des groupes d'utilisateurs et des comptes utilisateurs. Tu autorises un utilisateur ou un groupe d'utilisateurs à accéder à un partage en lecture, ou en lecture/écriture et ca roule.
Voilou
@+
Marsh Posté le 18-05-2010 à 11:24:13
Merci pour tout ces informations ! J'ai maintenant une meilleure idée de l'infrastructure générale !
Effectivement ce matin j'ai aussi pensé à l'acquisition de deux NAS plutôt qu'un mais pas pour les mêmes raisons ! Comme dit plus haut ayant un chef parano les deux NAS en réplication assurera le maintien des données si jamais une météorite détruit l'un des deux....
En tout cas merci de me confirmer que la gestion des utilisateurs est possible vu qu'on me pousse au cul pour la mettre en place !
Par contre il va falloir que je m'oriente maintenant vers les routeurs alors c'est bien ce que je redoutai ! N'y connaissant pas grand chose dans les différents routeurs je vais de ce pas me documenter !
Merci encore !
PS : quand tu parle de passerelle internet tu parle du serveur VPN ou rien à voir ?
Marsh Posté le 18-05-2010 à 11:25:12
EGALEMENT : Pour le moment j'ai mis tous les postes sous le même groupe de travail
Marsh Posté le 18-05-2010 à 12:03:17
Par contre la je viens de réfléchir à autre chose. La disposition actuelle fait que les postes sont connectés au réseau en se connectant directement à des prises murales.
Je me demande si je ne devrais pas plutôt relié un routeur à une prise murale et après relié différents switchs à ce routeur pour connecter les PC sur ces switchs ?
Marsh Posté le 18-05-2010 à 16:13:37
Je pense que tu as cette config actuellement :
|
Comme tu le vois, par différence entre les deux schémas, le routeur vient prendre place entre le switch et le câble réseau qui te donne accès à internet (qui va lui-même vers le routeur du prestataire probablement par l'intermédiaire d'un switch). Le câblage bouge seulement en amont du switch, tu n'as pas à toucher au câblage des PC
Khorgan a écrit : |
Routeur VPN pas serveur.
Mais c'est bien ca effectivement.
ps : pourquoi ne demandes-tu pas au prestataire qui gère le réseau sur votre site principal de vous monter l'infra qui va bien ?
Après tu mets tes deux NAS et ca roules
Parce que là, sans vouloir t'offenser, tu as encore quelques connaissances à acquérir et si tu dois mettre en route rapidement ... ca va être chaud.
@+
Marsh Posté le 18-05-2010 à 16:44:35
Ben en fait le prestataire ne s'occupe pas des entreprises au cas par cas comme il assure le réseau de plusieurs entreprises regroupées dans un même batiment. Du coup il va gentiment envoyé me faire fo...
Sinon oui je suis bien d'accord avec toi que je suis faible mais justement je ne demande qu'à apprendre. Je n'ai jamais déployé ni utilisé ce genre de matériel et comme c'est pour une entreprise faut que pas que je fasse de la merde.
Mais la je pense que je commence à entrevoir une bonne archi, probablement celle que je vais déployer et du coup je suis à la recherche d'avis sur du bon matériel (routeur VPN, routeur normal, NAS)
Marsh Posté le 18-05-2010 à 17:26:21
Voici en gros à quoi ca va ressembler :
BON BEN EN FAIT CA MERDE
Ca semble pas trop mal ou c'est n'importe quoi ?
Marsh Posté le 19-05-2010 à 08:55:39
oue normal comme un boulay j'ai mis le croquis de l'archi sur un ftp privé et faut le mot de passe pour l'afficher du coup j'ai du l'enlever
Marsh Posté le 19-05-2010 à 11:05:41
Pour résumer
Tu as besoin de deux routeur VPN type ca
http://www.netgear.fr/produits/pro [...] od=FVS318G
Voici un tuto de configuration.
Éventuellement un routeur filtrant pour le Web comme ipcop
plus ton/tes nas
@+
Marsh Posté le 19-05-2010 à 11:23:50
Ben en fait je vais monter un VPN SSL du coup je pense que je n'aurai pas besoin de deux routeurs !
Par contre je dois encore faire des recherches sur le fait de rendre accessible un NAS à des utilisateurs distants via VPN SSL....
Marsh Posté le 19-05-2010 à 11:42:03
Khorgan a écrit : Ben en fait je vais monter un VPN SSL du coup je pense que je n'aurai pas besoin de deux routeurs ! |
Tu veux dire un tunnel logiciel avec OpenVPN par exemple ? Cela suppose que tu mettes 2 PC (un de chaque coté) en passerelle.
Khorgan a écrit :
|
C'est indépendant. Si ton NAS est accessible d'un coté du tunnel, il le sera de l'autre coté.
@+
Marsh Posté le 19-05-2010 à 11:55:15
non en fait voila comment je vais procéder :
Donc la maintenant comme les utilisateurs distants n'auront qu'à utiliser un navigateur Web pour accéder aux ressources je me demande s'ils pourront accéder au NAS.
Marsh Posté le 19-05-2010 à 14:05:56
C'est pas bon ca.
Il s'agit d'un schéma de principe d'un accès VPN pour des clients itinérants. l'exemple c'est la boite qui à des VRP qui se connectent au réseau de l'entreprise depuis la chambre d'hôtel quelque part en France pour lire leurs courriels et leur agenda de manière sécurisé.
Ce que tu as décrit est différent. Il s'agit d'un VPN intersite.
Deux sites qui doivent être unifiés au sein du même réseau.
Ce qui permet aux utilisateurs, quelque soit leur localisation, d'accéder aux ressources réseau (NAS par exemple).
Voici le schéma qui correspond :
Khorgan a écrit :
|
Je ne sais pas ou tu as lu ça.
Avec un navigateur Web tu accèdes à un site Web. Pas besoin d'un VPN si c'est pour un accès WEB.
La première chose à faire est d'exprimer clairement le besoin, sans parler des solutions.
C'est a dire: répondre à la question: qu'est-ce que les utilisateurs doivent pouvoir faire sans chercher comment il vont le faire.
Ensuite vient le temps des contraintes (cout, temps de déploiement, performance, garantie de fonctionnement ...)
Et enfin la recherche de la solution.
La bonne solution sera trouvé si le besoin est bien exprimé. (et ca rime en plus )
@+
Marsh Posté le 19-05-2010 à 14:40:39
Citation : Je ne sais pas ou tu as lu ça. |
SSL VPN (Secure Sockets Layer Virtual Private Network) est un type de VPN qui fonctionne au-dessus de Secure Socket Layers (SSL) et accessible avec un navigateur web via https. Il permet aux utilisateurs d'établir une connexion sécurisé au réseau intranet depuis n'importe quel navigateur Web.
Voila ce que je veux faire. En fait j'ai revu justement les besoins des différents utilisateurs et il s'avère que ce genre d'infrastructure sera plus adapté plutôt qu'un VPN intersite. Le problème est donc de savoir si grâce à ce système les utilisateurs pourront accéder aux ressources réseau plus particulièrement au NAS sinon je devrai trouver une nouvelle solution.
Marsh Posté le 19-05-2010 à 15:48:36
Je crois que tu n'as pas compris
SSL (ou TLS depuis la version 3) est un protocole d'échange de donnée sécurisée. Il sert à établir un connexion sécurisé point a point.
Ce protocole est en couche 5 du modèle OSI. C'est a dire au dessus de TCP ou UDP (sur lesquels il s'appui) et en dessous des protocoles de la couche applicative comme HTTP (couche 7).
En d'aurtes termes un protocole de couche 7 peut être sécurisé en utilisant SSL/TLS.
Le protocole de couche 7 HTTP est protéger avec du SSL il devient alors HTTPS.
FTP => FTPS
POP => POP3S
etc...
On peux aussi faire un VPN en utilisant la couche SSL c'est ce que propose l'excellent OpenVPN. Mais OpenVPN inclus le protocole d'échange du VPN.
Khorgan a écrit : |
Ok ....
Khorgan a écrit : |
La non ca n'a pas de sens tu mélanges SSL VPN et HTTPS ce n'est pas le même protocole ils n'ont pas la même fonction.
Khorgan a écrit : |
Un VPN IPSec le ferais de la même manière.
Khorgan a écrit : |
Encore une fois, tu mélanges besoins et solutions (même si je me doute que tu résumes ).
Khorgan a écrit : |
Pour avancer un peu, si je résume, tu veux seulement permettre aux utilisateurs du site secondaire d'avoir accès au NAS qui sera branché sur le réseau du site principale.
Le plus simple est de mettre en place un serveur FTP(S).
Mais cela suppose que ton presta sur le site principale puisse te rediriger les ports FTP.
@+
Marsh Posté le 19-05-2010 à 15:56:48
http://fr.wikipedia.org/wiki/SSL_VPN
et surtout
http://www.mag-securs.com/spip.php?article5355
J'ai lu l'article en entier et ca s'accorde bien avec ce que j'ai en tête
Marsh Posté le 19-05-2010 à 15:57:44
et lui aussi tant qu'à faire :
http://www.supinfo-projects.com/fr [...] ise_vpn/2/
Marsh Posté le 19-05-2010 à 16:29:21
Ah Ok je ne connaissais pas.
Il s'agit en fait d'un portail web accessible en HTTPS.
Il me semble que le terme VPN est un peu abusif dans ce cas.
En effet, le client n'a pas accès au réseau distant mais à des services disponible dans le portail mettant à disposition une partie des ressources distantes.
Cela dit c'est probablement facile à mettre en place et si cela correspond au besoin , il ne faut pas s'en priver.
Le problème soulevé sur le message précèdent reste entier. Il faudra que ton prestataire réseau du site principal te forward le port 443 et te donne l'adresse externe (fixe) sur lequel tu auras accès au SSL VPN.
Ou alors tu inverse et tu installes le NAS et le SSL VPN sur le site secondaire (c'est plus simple si tu maitrise ton environnement).
D'un autre coté, si tu mets un en place un serveur FTP(S) plutôt que le SSL VPN, le boulot est le même (voir plus simple encore).
Mais tu ne peux que accéder à des espaces de stockage. A voir si cela suffit.
J'ai trouvé ca d'intéressant.
Il y a un File Manager qui devrait être paramétrable pour accéder à l'espace partagé de ton NAS.
@+
Marsh Posté le 19-05-2010 à 16:52:21
Oui il me semble que ca peut être pas mal ! En tout cas j'avais pas pensé au FTP merci bien mais ca risque d'être trop restrictif par rapport aux besoins que j'aurai !
Pour le prestataire je lui en ai déjà glissé quelques mots.... alors oue y a pas de problème pour n'importe quelle modification à faire...... faudra juste payer
Marsh Posté le 19-05-2010 à 17:04:23
Khorgan a écrit : |
Ah ben oui mais ca c'est normal hein !
@+
Marsh Posté le 19-05-2010 à 17:12:04
Oue mais j'espere juste qu'il me fera pas payer l'ouverture de certains ports !
Marsh Posté le 17-05-2010 à 12:55:26
Bonjour !
comme indiqué dans le sujet je suis en charge d'installer une nouvelle structure réseau pour une petite entreprise. Je pense avoir pas trop mal cerné le projet mais je suis à la recherche de conseils pour optimiser mon travail (Vous pouvez aussi me dire si je fais de la merde ).
L'entreprise est répartie sur deux sites distants de plusieurs centaines de kilomètres. Le site le plus important est situé dans un bâtiment accueillant plusieurs entreprises ce qui implique que l'administration réseau et télécom est gérée par une entreprise extérieure. Il y a une vingtaine de PC, une imprimante et plusieurs téléphones. Les connexions sont assurées par diverses prises réseau murales et deux switchs, le cas échéant. Je ne connais pas pour l'heure quel FAI a été choisi mais est-ce vraiment utile ? .
Le deuxième site quant à lui est pourvu d'une dizaine de PC, de quelques téléphones et d'une imprimante. Les PC communiquent au travers de switchs et la connexion internet est assurée par un FAI bien connu de tout le monde
Rien n'est fait pour relier les deux sites. Voila en gros "l'architecture" actuelle de l'entreprise. Si besoin de plus d'info demandez moi !
Voila maintenant ce que je compte faire pour améliorer ca. Dans un premier temps je compte garder les switchs pour relier les PC (l'utilisation d'un routeur me semble inutile pour un si petit nombre de pc) cependant il m'a été demandé de mettre à disposition des PC ne servant qu'à aller sur Internet ou au contraire un PC n'ayant aucune connexion avec le réseau. Je pense mettre en place une sorte de DMZ mais la faut encore que je me documente ! Une seule question me vient pour le moment.... Est ce compatible avec un VPN que je désire mettre en place ????
Dans un second temps je vais probablement ouvrir davantage la plage DHCP disponible dans un souci de faciliter l'utilisation pour les prochains utilisateurs. Est-il judicieux de permettre aux employés de se connecter au réseau sans avoir à configurer au préalable ou au contraire de devoir paramétrer pour chaque nouvel utilisateur désirant s'y brancher ? En gros IP fixe : ou
Ensuite il m'a été demandé de mettre à disposition un serveur de fichiers. A ce sujet j'aurai plusieurs questions. Je compte prendre un NAS (probablement de chez Synology) et ainsi le relier au réseau et le rendre disponible à tous. Questions :
Comme expliqué plus haut j'ai décidé de mettre en place un VPN pour sécuriser les transferts d'information entre les deux sites distants. Il existe une multitude de possibilités permettant de faire ceci, pour ma part j'ai choisi (pour des raisons économiques) de prendre un PC et le mettre en serveur et ainsi se connecter dessus. Là encore, questions :
Voila en gros !! j'attends avec impatience vos réponses/conseils/avis/recommandations. Merci d'avoir lu en tout cas...
PS : j'aurai probablement de nouvelles questions que je poserai ultérieurement !