Sécurisation d'un VPN

Sécurisation d'un VPN - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 05-03-2007 à 17:41:08    

Bonjour,
Je suis actuellement en train de monter un projet VPN (stage de bts) avec OpenVPN, sous Windows pour l'instant (phase de test car  j'ai un peu de mal avec Linux) et donc sous Linux après.
 
Je souhaiterai savoir si lors d'une connexion d'un client sur le serveur VPN, il est possible de couper le client de son réseau local ou d'internet? Est-il possible que le client ne comunique que par l'adresse ip virtuelle du VPN?
 
Si oui OpenVPN permet-il cette configuration ou faut-il utiliser un autre utilitaire?
 
Merci de m'informer si mon problème n'en est pas vraiment un!
 
Merci d'avance

Reply

Marsh Posté le 05-03-2007 à 17:41:08   

Reply

Marsh Posté le 09-03-2007 à 19:02:43    

Ce n'est pas tres clair ton truc,
en gros quand ton client s'enregistre sur ton réseau vpn, tout ses réseaux perso sont donc coupés mis a part celui du vpn ?

Reply

Marsh Posté le 10-03-2007 à 00:52:26    

humm .... quand tu te connect a un VPN il me semble que la connexion du vpn passe par defaut et donc toutes les autres sautent ... donc heuuu a partir de la tu veux faire quoi en fait?

Reply

Marsh Posté le 10-03-2007 à 09:07:16    

non. Qd tu montes le vpn, tu ne perds pas les autres connexions.


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 10-03-2007 à 09:37:12    

Normalement, sur une connexion VPN, "tout" passe dans le tunnel.
 
Pour supprimer ce comportement, il faut faire du "split tunneling"


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 10-03-2007 à 11:12:48    

dreamer18 a écrit :

Normalement, sur une connexion VPN, "tout" passe dans le tunnel.


 
Pourquoi "Normalement" ? Un tunnel, c'est une connexion et tu peux choisir les réseaux à atteindre par cette connexion.
Alors si tu configures ton tunnel à l'arrache, oui, le tunnel devient route par défaut mais autrement tu as le choix.


Message édité par BMenez le 10-03-2007 à 11:13:41
Reply

Marsh Posté le 10-03-2007 à 12:22:58    

bien sur ton vpn ne se met que sur ta connection voulu au depart, et ne restera que sur une seul connection (celle que tu a configuré)
 
tu as un client qui passe par une connection internet
et le serveur qui a une connection ouverte à cela.
 
un vpn n' a rien a faire dans un réseau local sauf pour des spécificité. C'est normalement prevu pour relié 2 sites distant

Reply

Marsh Posté le 10-03-2007 à 12:45:50    

vrobaina a écrit :

non. Qd tu montes le vpn, tu ne perds pas les autres connexions.


 
 
heuuu   :heink:  ouai enfin quand j'avais mon vpn entre montreal et paris je passais par la connexion du routeur de paris pour avoir un acces au net .... et oui toutes mes connexions sautaient des que j'etais connecte au vpn ...  :??:  

Reply

Marsh Posté le 10-03-2007 à 12:49:10    

BMenez a écrit :

Pourquoi "Normalement" ? Un tunnel, c'est une connexion et tu peux choisir les réseaux à atteindre par cette connexion.
Alors si tu configures ton tunnel à l'arrache, oui, le tunnel devient route par défaut mais autrement tu as le choix.


Il dit normalement dans la config par defaut du client VPN cisco bien entendu, et dans la vision cisco.
Dreamer, ou l'art de connaitre plein de produits, mais pas le reseau ...

Reply

Marsh Posté le 10-03-2007 à 14:04:30    

digital-shadow a écrit :

heuuu   :heink:  ouai enfin quand j'avais mon vpn entre montreal et paris je passais par la connexion du routeur de paris pour avoir un acces au net .... et oui toutes mes connexions sautaient des que j'etais connecte au vpn ...  :??:


 
c'est un cas particulier.  UnVPN est un tunnel te permettant d'atteindre un autre reseau. Rien ne stipuledans cela que  le fait de monter le vpn et coupe du reseau sur lequel tu es connecté.
 
Pour ma part je "fais du VPN" entre mes ordi et ma boite (openvpn), mes ordi et mes clients (client cisco) et je n'ai toujours accès à mon réseau.


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 10-03-2007 à 14:04:30   

Reply

Marsh Posté le 12-03-2007 à 12:52:52    

Bonjour,
 
Je me permets de poser une question ici, puisque cela concerne la securisation du VPN. J'aimerais savoir s'il n'existe pas un script/logiciel (gratuit de preference) permettant de demander a une machine distante d'ouvrir la connexion VPN et meme un VNC ou Remote Control quelconque ?  
En gros, je cherche a installer un outil qui permette de dire a ma machine distante "j'ai besoin de prendre la main sur toi, lance openVPN et VNC". Le but etant de ne pas laisser la connexion VPN ouverte tout le temps pour plus de securite.
 
Voila,
Tange.

Reply

Marsh Posté le 12-03-2007 à 14:32:51    

je vois pas pourquoi tu ne laisserais pas tout le temps openvpn (ou un autre VPN) de démarré.  En effet au pire la connexion au VPN se fait par couple Login/Mot de passe,  mais elle peut se faire aussi par couple Clé Privé/Public + Couple Login/Mot de passe. Et dans ce dernier cas tu es tranquille, personne ne pourra se connecter chez toi meme si cette personne connait ton login et ton mot de passe.


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 12-03-2007 à 14:48:57    

C'est parce qu'à terme j'aurais peut être beaucoup de machines, plus de 255 !! Comme c'est juste pour faire de la maintenance à distance sans que personne n'ai à donner d'autorisation sur place, je pensais faire un script ou programme qui demande régulièrement "est-ce qu'il faut que je monte mes services VPN et VNC ?" et prendre la main une fois que les services sont remontés !! Mais avant de faire ça, je cherche si ça n'existe pas déjà...
 
Tange.

Reply

Marsh Posté le 12-03-2007 à 14:59:06    

Le service VNC tu le mets en démarrage automatique sur tous les postes que tu souhaites administrer. il n'y a aucun soucis et les utilisaterus n'auront pas besoin d'autorisé la prise de main (il faut juste paramétré correctement VNC).
 
Qt au VPN.  Je ne pense que tu ais besoin de faire un VPN par ordinateur (plus de 255) mais plutot par groupe d'ordinateurs.  Et Celui-ci, tu le laisse ouvert en permanence.  
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 12-03-2007 à 15:10:03    

vrobaina a écrit :

Le service VNC tu le mets en démarrage automatique sur tous les postes que tu souhaites administrer. il n'y a aucun soucis et les utilisaterus n'auront pas besoin d'autorisé la prise de main (il faut juste paramétré correctement VNC).


C'est vrai. Dans ma solution je les mettrais en démarrage manuel et je lancerais la commande "net start openVPN service" ...
 

vrobaina a écrit :


Qt au VPN.  Je ne pense que tu ais besoin de faire un VPN par ordinateur (plus de 255) mais plutot par groupe d'ordinateurs.  Et Celui-ci, tu le laisse ouvert en permanence.


Mais si j'ai plus de 255 machines sur mon réseau virtuel, elles ne pourront pas toutes avoir une adresse ip ? Donc je ne comprends pas ??  
 
Tange.
 

Reply

Marsh Posté le 12-03-2007 à 17:02:56    

si elles pourront avoir toutes une adresse IP. Il suffit de jouer avec le subnet de ton plan d'adressage.
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 12-03-2007 à 17:08:45    

vrobaina a écrit :

si elles pourront avoir toutes une adresse IP. Il suffit de jouer avec le subnet de ton plan d'adressage.


Tu commence à me parler chinois  :ouch:  
Tu pourrais développer stp ?
 
Tange.

Reply

Marsh Posté le 12-03-2007 à 18:04:00    

Grosso Merdo :
 
si tu fais un adressage du genre 192.168.0.x   avec un masque de 255.255.255.0
 
le dernier chiffre (noté x) peut avoir les valeurs comprises en 1 et 256 et en effet dans ce cas tu ne peux avoir sur ton réseau que 255 "machines".
 
Par contre si tu fais un plan d'adressage du genre 192.168.x.x avec un masque 255.255.0.0  alors tu peux adresser de l'ordre de 65000 machines .
 
PS: http://www.frameip.com/masques-de- [...] troduction
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 12-03-2007 à 18:07:28    

vrobaina a écrit :

Grosso Merdo :
 
si tu fais un adressage du genre 192.168.0.x   avec un masque de 255.255.255.0
 
le dernier chiffre (noté x) peut avoir les valeurs comprises en 1 et 256 et en effet dans ce cas tu ne peux avoir sur ton réseau que 255 "machines".
 
Par contre si tu fais un plan d'adressage du genre 192.168.x.x avec un masque 255.255.0.0  alors tu peux adresser de l'ordre de 65000 machines .
 
PS: http://www.frameip.com/masques-de- [...] troduction


 
Effectivement. Je me sens tout de suite très conne...  :sweat:  
 
Merci pour toutes tes réponses.
 
Tange.

Reply

Marsh Posté le 16-03-2007 à 10:40:42    

Excusez moi de répondre si longtemps après mais n'ayant pas de réponse, je désespérais.
 
Pour reformuler le problème :
Dans mon cas(openvpn) ==>un client nomade qui se connecte à un serveur vpn peut communiquer à la fois avec le réseau vpn et avec le réseau internet ou local.
 
Ce que je souhaite ==>mon client nomade ne doit pouvoir communiquer qu’avec le réseau vpn.
 
Certains veulent faire du split tunneling, moi je veux faire l'inverse...
 
Merci


Message édité par MathIsBack313 le 16-03-2007 à 16:48:29
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed