Avis sur architecture réseau - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 23-11-2012 à 11:38:44
Bonjour,
Comme décrit, ça semble léger côté sécurité.
Y a t-il un firewall derrière les box ADSL? Quelle solution de filtrage se trouve entre la box et le réseau interne?
Les utilisateurs d'agences sont-ils équipées d'ordinateurs portables?
N'est-il pas préférable de gonfler les liens VPN depuis les agences, installer un client vpn local sur les postes en cas de problème de lien.
Laisser tomber les accès ADSL et centraliser l'accès internet sur le site principal avec un Proxy et un firewall.
En cas de coupure, les utilisateurs peuvent ainsi se connecter depuis leur domicile ou tout autre accès WiFi.
Si la limitation se trouve sur le lien du FAI, il y a la solution satellite dont les prix sont relativement abordables à présent.
Sinon un simple accès SDSL avec un boîter VPN Cisco ou autre entre la box et le réseau des agences; le tout relié au H.Q.
Bonne continuation.
Marsh Posté le 23-11-2012 à 12:13:28
Pour le moment pas de firewall derrière les box, mais étant donné que le nouvel opérateur ne peut pas modifier les routes sur ses routeurs, je prévoyais la mise en place d'un routeur perso derrière le leur pour qu'il dirige les flux vers VPN ou la box, et en même temps fasse office de parefeu. Mais je n'ai encore rien défini comme matériel. Penses-tu qu'une solution de ce genre est viable ?
Sinon comme tu dis, il y a bien entendu la solution de gonfler les liens des agences, mais ça voudrait dire passer sur du SDSL qui est le triple de prix par rapport à l'ADSL. Economiquement parlant ça ne convient pas.
Dans les agences il y a principalement des ordis fixes (donc difficile de les déplacer pour trouver du wifi gratuit en cas de panne...), le but étant de pouvoir dépanner l'agence temporairement (quitte à ce qu'un seul PC puisse avoir accès au VPN) le temps de la rétablissement de la connexion.
Pour illustrer ce dont je te parlais en premier, un petit schéma :
En rouge le routeur qui n'existe pas encore mais que je comptais éventuellement rajouter si c'est correct niveau sécurité...
Marsh Posté le 26-11-2012 à 08:27:39
Si tu conserves cette architecture, je pense qu'il serait intéressant d'installer un firewall derrière chaque routeur sur chaque site.
A toi voir si tes liaisons sont suffisantes par la suite.
Marsh Posté le 26-11-2012 à 11:04:52
Un routeur qui a aussi des fonctions firewall, du commerce (entre 100 et 150eur), ça serait suffisant ?
Marsh Posté le 26-11-2012 à 11:29:26
Tout dépend de la gamme vu que ce n'est plus du réseau SOHO mais bien pro. Combien as-tu d'utilisateurs sur chaque site?
Il te faudrait un firewall stateful IPS où tu puisses faire tes redirections proprement, établir un filtrage digne de ce nom histoire que cela ne soit pas l'orgie, mettre en place de la QoS, etc.
Marsh Posté le 26-11-2012 à 17:38:11
Tu as des suggestions de matériel ou de gamme à me faire ?
Marsh Posté le 27-11-2012 à 10:07:42
Si t'as déjà des box et vu que ce n'est pas du gros réseau, peut-être que des firewall NetASQ/Zywall te conviendraient.
Marsh Posté le 23-11-2012 à 08:48:04
Bonjour,
Je travaille dans une entreprise qui dispose de 4 sites géographiques, et je voulais avoir votre avis pour leur interconnexion.
Nous avons actuellement un VPN fourni par Orange qui interconnecte les différents sites. En plus de ça, j'ai placé sur chacun des sites une box ADSL, et j'avais demandé à Orange de configurer leur routeur de telle manière que tous les flux Internet soient redirigés sur la box du site, et que seuls les flux "internes" transitent par le lien VPN. Ceci afin de désencombrer le VPN pour tout ce qui est téléchargements (un des sites n'a qu'un lien VPN de 512kb...), et cela permet également de jouer le rôle de secours si le lien VPN tombe (il suffit de lancer un client IPsec sur un des postes pour qu'il soit à nouveau connecté au VPN, via Internet).
Pensez-vous qu'une telle configuration peut poser des problèmes de sécurité ? (Livebox reliées au réseau)
Nous allons changer d'opérateur VPN et le nouveau me propose du secours RNIS ou 3G sur chacun des sites, avec un coût plus important que les box et surtout je perds l'intérêt du débit doublé grâce à la box et au secours avec un débit intéressant.
Merci pour vos avis