Liaison 10 sites distants avec controle du surf, acces WIFI - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 01-12-2008 à 13:48:41
lord fifo a écrit : bonjour, |
Désolé pour la réponse tardive,
Je pense que Orange à raison, la seule solution serait de faire du Hub&Spoke, c'est à dire, chaque client distant sera en VPN sur la maison mère et le Firewall principal fera le filtrage URL etc.
Une autre solution serait d'utiliser le logiciel d'administration globale pour gérer tous les sites indépendamment.
Marsh Posté le 20-04-2009 à 15:30:40
bonjour, je réactive mon projet après une longue absence, si vous avez des idées pour mon architecture, merci.
Marsh Posté le 30-04-2009 à 18:48:02
oublie garde la liaison vpn mais commande des connexion dsl pour chaque centre"sa va pire laguer autrement
Marsh Posté le 30-04-2009 à 19:02:52
Tu ne peux pas relier 10 sites à 1 seul par l'intermédiaire d'une liaison ADSL.
Ton siège ne dispose que de 800kbits en upload (LAN -> WAN).
Avec un tel débit il ne pourrait même pas satisfaire un seul site distant.
T'as du tomber sur le même commercial orange que celui qui a dit à un de mes clients y'a peu qu'avec 5€/mois de plus, il allait avoir 10mbits en upload et 18 en down. Maintenant je ne doute pas qu'ils soient plusieurs à être catastrophiquement mauvais.
Le mieux est de prendre une ADSL et un proxy filtrant pour chaque site. La sortie vers Internet se fera par cette ligne.
Tu pourras tjs monter un VPN vers le siège si besoin d'accès de la part des personnels à des fichiers ou autres mais dans ce cas, je te conseille de prendre une ligne SDLS sur le siège pour permettre un débit suffisant.
Marsh Posté le 30-04-2009 à 19:14:29
Hmm ca devrait pouvoir se faire imo
Tous les sites reliés à internet
Tunnel VPN de tous les sites vers le siège pour l'accès au SI
Split tunneling pour évacuer l'internet directement en local sur le site, mais en appliquant les politiques de sécurité centrales.
Je serais très étonné que cette solution technique sur le papier ne soit pas possible en pratique. Il n'y a rien qui l'empêche réellement
Par contre ca veut bien dire qu'il y a qlq chose a installer sur chaque site distant (matériel ou bien logiciel sur poste de travail)
Marsh Posté le 30-04-2009 à 21:57:48
des réponses des réponses..
Enfin de la vie sur HFR.
bon pour les courageux qui s'intéresse à ce sujet, mes options sont celles-ci, je précise que je suis en charge des NTIC ds ma boite et que mes compétences et connaisssances Réseaux ne sont pas au top coté ingénieurerie(et je me comprend)
Donc pour résumer :
- Sur mon siege, un accès Oleane 18 Mega / switchs HP et Aplliance Firewall NETASQ F50 (mode Bridge pour info) et je ne crois pas avoir d'IP fixe sur le site (à verifier)
- Sur mes sites : RIEN
LE PROJET validé ce mois-ci est d'avoir sur un Centre de vacances et peu importe les details technique mais le financier a son importance en ces temps de disette :
- une connection permanente qui utilise le Firewall du siege social pour gerer la navigation (Filtrage, AV, spam,...)
- une Zone Wifi (avec un point d'acces POE ou autre) pour connecter des portables avec l'adresse mac ou autres sécurités
- une installation sans maintenance à distance
- un copieur réseau qui permette d'imprimer a distance sur lequipement depuis le siege donc (on a deja des copieurs réseau sur le siege)
- une procédure de connection de PCS par des personnes non formées et inités au arcanes du monde merveilleux de l'IP,
sur les sites, peu importe a lheure actuelle les pcs
J'ai 2 options pour mes sites distants a ce jour après consultation d'OBS :
OPTION 1 : Le VPN - qui a ma preference toute relative
- Construction de ligne de mes sites distants jusqu'à la plateforme VPN d'Orange
(Appellation Orange "Accès SMall" 1 et 8 mo en fonction des sites)
- construction d'un Acces 1 Mo "Corporate Orange" de mon siège à leur VPN
- Remplacement sur le siege social de mon 18 Mo Oleane par un 2 Mo SDSL (Pouvez vous me confirmer au passage que niveau perf le 2 Mo SDSL bat a plate couture le 18 Mo Oleane)
A notre charge de brancher routeur et point d'acces sur site
OPTION 2 : La solution proxy (et la je galere un poil pour comprendre le process et les termes assoxciés Split Tunneling, Hub&Spoke, etc...)
Si vous pouviez mieux me decrire la methode de connection dans ce cas de figure parce que les proxies et moi ca fait 4,
si vous pensez qu'une ligne Orange ADSL classique peut nous permettre de faire ca, jai quelques questions.
- Quel matériel (si vous avez des ref de matériel testées et approuvées : Dlink, Lynksys, ...) faut il mettre derriere l'adsl a la place dune Livebox ?
- Comment configurer en toute simplicité un matériel proxy pour qu'il pointe sur le siege ?
- Comment le siege retourne les flux vers les 10 centres ?
- Comment intervenir sur l'installation à distance
- Mon Firewall Netasq F50 est-il ok pour ca ?
- Mon 18 Mo oleane doit-il etre remplacé par un SDSL 2 Mo ?
- etc...
Dans l'attente de retours je m'arrete là.
Marsh Posté le 01-05-2009 à 08:05:48
Dans le doute de me répéter : JAMAIS les gens sur les sites n'arriveront à surfer en passant par un VPN qui atterri sur ton siège, ligne ADSL ou SDSL 2Mbits.
Vouloir centraliser l'accès Internet sur ton siège est techniquement suicidaire. Les débits sont très loin du minimum nécessaire.
Si tu dois partir sur ce projet, ne joue que l'intermédiaire et demande à OBS de garantir le bon fonctionnement par écrit.
Marsh Posté le 01-05-2009 à 08:24:51
Fais un simple calcul et demande à ton contact OBS de le résoudre :
11 sites sur une ligne SDSL 2mbits pour sortir vers Internet.
2mbits ATM/sec = 1800Kbits IP/sec = 225Ko/sec
225 très grand maximum. Il faut mieux tabler sur 10/20% de moins en réel.
Tu vas donc avoir pour 11 sites un débit 4 fois moindre que mon propre débit ADSL perso.
5 personnes sur n'importe quel site qui matent une vidéo youtube et tout le monde est mort, siège compris.
A cela tu rajoutes les problèmes/pannes techniques potentielles sur les liens VPN qui tombent et qui privent chaque site touché d'accès à tout Internet.
Si c'est la ligne du siège qui tombe, y'a aussi 10 sites sans accès à Internet !
Un "18Mega Oléane" ne changera rien à l'affaire. "18Mega", c'est le débit max théorique de WAN -> LAN.
Or toi ce qui t'intéresse c'est le chiffre qu'ils ne donnent pas : le débit LAN - > WAN, soit 800kbits/sec pour de l'ADSL soit 70/80Ko/sec en débit réel.
Marsh Posté le 01-05-2009 à 10:00:16
ok donc, tu me déconseille la solution VPn Alors...
Je pensais que les VPN en Dur était monnaie courante dans le business et que OBS etait fiable ds le domaine avec leur offre, c'est peut etre juste que je m'y prend mal nivo débit et que je n'ai pas le reucl nécesssaire
Sinnon pour tes observations :
Trop de pb de débit et de dispo à prévoir...Pour ma part notre accès on ne fait pas une priorité absolu de la dispo 24/24 de la ligne puisqu'en 5 ans ans elle est jamais tombée.
Au bureau, j'ai un download a 1000ko ds les bon jours. (presk tout les jours)
Cela étant, si pour nous la solution par proxy avec des lignes ADSL sur chaque site serait plus fiable et garantirait plus d'autonomie sur les sites distants, tu peux me donner plus d'infos sur cette option la ?
Marsh Posté le 01-05-2009 à 11:20:29
Les lignes ADSL sur les sites tu les auras quelle que soit la solution choisie.
Ton download à 1000Ko/sec sur ton siège ne t'aidera pas bcp dans le cas d'Internet à travers les VPN car c'est ton débit en upload que tu dois considérer or il est + ou - de 80ko/sec.
En effet, un site distant qui ferait la demande d'une page WEB ou autre l'adresserait à ton proxy/passerelle au siège qui devra alors renvoyer la totalité des données vers le site distant. C'est bien la ton upload qui sera sollicité.
Même en installant une SDSL à 8mbits/sec sur ton siège, ca me parait trop peu ou alors il faut que les sites n'aient qu'un besoin très restreint d'accès à Internet.
Or sur chaque site, en + du personnel, vous allez avoir des clients en WIFI.
Ta connexion au siège ne peut pas non plus dépendre du débit non utilisé ou pas par les sites.
Voilà pourquoi je partirai pour chaque site sur :
- une liaison ADSL
- une passerelle apte à filtrer le WEB et gérer un lien VPN vers le siège.
Les users sur les sites sortiraient sur Internet par la passerelle locale.
Le personnel sur les sites pourrait utiliser le lien VPN pour accéder à des ressources sur le siège (pourquoi pas un domaine windows commun, un intranet, un ERP, l'accès à des petits fichiers, ...).
Toi tu utiliserais le lien VPN pour gérer les passerelles, le support, etc.
Sur le siège, je mettrai en + de l'ADSL une SDSL dédiée au lien avec les sites. 4Mbits mini. 8 si possible.
Il existe d'autres sociétés que OBS, bien meilleures sur des petits clients comme vous. Demande à NERIM par exemple une proposition.
Marsh Posté le 01-05-2009 à 18:23:32
Je rejoins ShonGail dans son analyse.
Note que pour soulager le VPN et éviter d'avoir trop de maintenance sur les clients une solutions serait d'utiliser une solution de Terminal Server (MS, Citrix) sur un serveur d'application au siège. Ce sera plus réactif que de passer les fichiers par le tunnel et plus économe en bande passante.
Marsh Posté le 02-05-2009 à 09:11:07
ok, je comprend mieux, j'ai pas assez de débit ds le bidirectionnnel puisque lesup/down vont se croiser.
Donc je conserve ma ligne ADSL pour mon usage du siege et en plus je rajoute un SDSL uniquement dédié au flux des centre.
Je suis pas sur que mes délias pour le 1 juillet puisse etre respecté maintenant avec tout ce bazar mais je vais refaire mes schémas.
Dans le cadre d'une solution axée VPN et proxy, par contre, je suis pas sur de bien my connaitre comme indiqué en haut.
Quel est le type de passerelle a envisager sur ma ligne ADSL Orange par exemple :
Un Firewall Routeur VPN ?
Comment le parametrer pour y accéder à distance et surtout ne pas a avoir a me préoccuper de la nature des pcs qui vont sy connecter (DHCP ?!)
Marsh Posté le 02-05-2009 à 13:12:00
Salut,
Pour le VPN effectivement un pare-feu avec un telle fonctionnalité fera l'affaire.
Ton site siège principal possède une plage d'IP privée et chaque site distant en possède une différente. Le tunnel VPN est négocié entre ton siège principal et les sites distant. La méthode la plus simple consiste à posséder une clef secrète initiale (ou certificat) qui est partagée sur les deux sites qui va servir à négocier le paramètres de sécurité du tunnel. Une fois le tunnel établi le trafic passe normalement en étant encapsulé dans le tunnel (les clients ignorent la présence du tunnel, ils voient juste des routeurs). Pour faciliter la configuration, je te conseille de choisir la même marque (ce n'est pas indispensable, mais ça te facilitera la vie) car tu dois avoir les même capacités de cryptage de chaque côté (typiquement SHA-1 & AES-256 sont assez classiques de nos jours) et en ayant une interface similaire avec les même termes c'est bien plus aisé si c'est ta première fois.
Côté DHCP les pare-feux distant peuvent distribuer les paramètres (souvent ils possèdent un serveur DHCP intégré). Si tout le trafic doit passer par le siège le plus simple sera d'indiquer à ton pare-feu que la route par défaut est celle via le tunnel... Le schéma est le suivant :
Site distant (ADSL) <--VPN--> siège (SDSL) <--LAN--> siège (ADSL) <--Oleane--> Internet
Note que la vitesse de download de l'ensemble de tes sites distant est au maximum la vitesse d'upload de ta ligne SDSL dans ce cas.
Au niveau marques pour des appliances, j'ai eu plusieurs expériences avec du CISCO, 3COM, Linksys, SonicWall... celle que je apprécie le plus est SonicWall. La gestion à distance est un plaisir et si tu préfères l'interface de gestion web, bin elle est franchement bien foutue. De plus dans ton cas tu peux au cul des appliances facilement y foutre des points d'accès WiFi de la marque qui seront directement gérés depuis l'appliance. Côté fiabilité ils se laissent oublier dans un coin.
http://www.sonicwall.com/fr/12033.html
Puis si un jour tu décides que les sites distants peuvent sortir directement sur internet au lieu de systématiquement passer par le siège (ce qui est moins suicidaire en terme de bande passante) avec ce genre d'appliances ce sera facile de filtrer le contenu des sites distants tout en gardant une gestion centralisée depuis le siège.
Marsh Posté le 02-05-2009 à 13:56:10
ok ok, j'avance a grand pas.
Je résume a nouveau ce que je comprend.
Pour mon SIEGE (plage 192.168.1.*)
- Je garde mon équipement Firewall sur ma ligne ADSL.(ou je passe plutot sur un SonicWall pour faire pareil que sur mes sites)
- Je crée une seconde ligne SDSL avec un Firewall SonicWall
Pour mes sites (plage 192.168.2.0)
Je prend par exemple des ADSL Orange Grand public et un équipement (par exemple) SonicWall SSL-VPN 2000(200) connecté sur cette ligne ADsL
je connecte ces équipements sur ma ligne SDSL via ces fameux tunnels VPN direct sur le SonicWall du SIEGE
Par contre, ma seule préoccupation est de disposer de filtres d'accès à Internet, (P2P, streaming, antivirus) sur les sites distants et si je peux le faire juste avec ces équipements sans passer par une ligne SDSL supplémentaire, je suis preneur. J'ai vu sur le site de SonicWall un CSM 3200 à brancher sur le Routeur.(des abonnements supplémentaire jimagine alors que le filtrage via notre netasq pourrait suffire si ce n'est le problème du débit)
Sinon, comment relier le SDSL a l'ADSL du siège et créer un lien VPN sur des équipements de ce genre, IP fixe pour le siege ?
Marsh Posté le 02-05-2009 à 21:03:10
Salut,
Plutôt qqch du genre :
siège : 192.168.1.0/24
site 1 : 192.168.10.0/24
site 2 : 192.168.20.0/24
site 3 : 192.168.30.0/24
site 4 : 192.168.40.0/24
site 5 : 192.168.50.0/24
site 6 : 192.168.60.0/24
site 7 : 192.168.70.0/24
site 8 : 192.168.80.0/24
site 9 : 192.168.90.0/24
site 10 : 192.168.100.0/24
Ce qui te limite à 254 IPs par site, moins celle de la gateway. Si besoin de plus envisage en 172.X.X.X/16 (historiquement classe B) ou un sur-réseau.
Pour "relier" la ligne SDSL et ADSL rien de plus simple. Tu définis un route statique par défaut sur le SonicWALL du siège avec comme passerelle ton netasq (je pense que c'est la passerelle par défaut pour les clients de ton réseau du siège, non ?). Ainsi le trafic qui arrive sera redirigé vers cette dernière (si l'hôte n'est pas sur le réseau du siège ou un autre site distant et pour autant que les règles de pare-feu le permettent).
Pour le filtrage de contenu, en effet il s'agit la plus part du temps de services payants avec un abonnement annuel.
Vu ce que coûte la bande passante en upload il serait peut-être plus intéressant (en terme de performances et financièrement sur le long terme) :
- de prendre des lignes ADSL classiques pour tes sites distants
- d'opter pour une IP fixe pour ton siège (ca te facilitera la configuration des tunnels VPN)
- de monter des tunnels VPN pour te faciliter la gestion des équipements distants de manière centralisée (ou l'accès à des serveurs internes au siège)
- de gérer le filtrage de tes sites distants directement via une appliance placée sur chaque site
- de ne pas prendre de ligne SDSL dédiée à la communication avec les sites distant, tant que le trafic siège <---> sites distants reste faible
Note : J'ai évoqué SonicWALL, mais tu peux tout à fait continuer avec du Netasq si tu en es content, ils ont le même genre de produits et mon conseil d'opter pour une même marque afin de te faciliter la configuration et la gestion est tout à fait valable dans le sens où tu as déjà une appliance de chez eux pourquoi pas envisager des F25 pour les sites distants.
Marsh Posté le 03-05-2009 à 13:22:01
ok ok.
Pour mes lignes aDSl et les tunnels VPn, il m'y faut bien une IP fixe comprise avec ?
Comme fournisseur, Nerim (par exemple) peut me fournir les lignes ou juste le matériel ?
Marsh Posté le 03-05-2009 à 19:11:08
Perso je trouve plus simples avec des IP fixes et ça permet de bloquer la création des tunnels à des IPs clairement identifiées. Néanmoins une seule côté siège sera amplement suffisante.
Je ne connais Nerim que de nom (n'habitant pas en France), donc aucune idée.
Marsh Posté le 03-05-2009 à 20:06:19
Sur les sites distants, sans IP fixe, je dois passer par un dyndns tout d ememe ?
Et pour ces connections VPN comment ca fonctionne les clefs a installer (certificats) ?
En marque si je regarde chez Netasq, j'ai cette ref : LE U30 et 70
http://www.netasq.com/fr/firewall/firewall-u30.php
chez soniCwall : le SonicWall SSL-VPN 200(2000)
http://www.sonicwall.com/fr/12033.html
Ces matériels UTM VPN ne font pas office de routeur donc, quel matériel je met en routage. Sur des lignes Orange, j'aurais ss doute des livebox (pro) fournies.
Marsh Posté le 03-05-2009 à 20:51:11
Non, pas besoin de DynDNS. Le site distant peut créer le tunnel vers le site principal.
Ces boîtiers font obligatoirement routeurs... ce qui peut te manquer c'est la partie modem DSL vers ethernet.
Marsh Posté le 03-05-2009 à 20:55:32
ok, il me suffit de mettre en place par exemple un modem Livbox (pro ou pas) et derriere un SonicWall SSL-VPN 200.
D'apres le tableau de cette page :
http://www.sonicwall.com/fr/12033.html
Me faut-il dans mon cas de figure le VPN 200 ou le 2000 (au nivo tarif, j'ai trouvé ca ...
le VPN 2000
http://www.neox.fr/passerelles-et- [...] ml#_099877
le VPN 200
http://www.neox.fr/passerelles-et-routeurs-123702.html
PAR CONTRE, cest app ne font pas parefeu et gestion de contenu et je penserai plutot a la serie TZ avec ces abonnements GAV/CFS :
http://www.sonicwall.com/fr/TZ_Series.html
J'aimerais la version adequat et financierement plus economique. si je me lance sur ce type de materiel.
Et si on peut y brancher et gérer un point acces Wifi en natif, ca m'intéresse cette marque.
Marsh Posté le 04-05-2009 à 17:04:57
Hello,
Si tes utilisateurs des sites distants ne sont pas nomades, je pense que le VPN SSL n'est pas vraiment utile.
Si tu veux gérer le traffic des sites distants, effectivement un Sonicwall TZ190 avec les abonnements pour le filtrage de contenu me parait bien : tes users pourront accèder au siège pour récupérer des fichiers via le VPN Ipsec, mais seront toutefois bridés lors de leur surf sur le net par le filtrage de contenu ; tu peux aussi faire (facilement) un Vlan avec le Tz190 et ainsi avoir une partie "business", ayant accès au VPN et à Internet non filtré (ou pas) et aussi une partie "clients" sans accès au VPN, mais toujours avec le filtrage de contenu actif.
Le dernier point, brancher et gérer un pt d'accès en Natif, qu'entends tu par là? S'il s'agit de piloter des bornes wifi en plus du reste, ça n'existe me semble t il qu'en Standalone, à savoir un "wireless controler" à part (chez Cisco, HP/Colubris, Zyxel, Aruba etc...)
Marsh Posté le 30-05-2009 à 15:14:10
lord fifo a écrit : ok, il me suffit de mettre en place par exemple un modem Livbox (pro ou pas) et derriere un SonicWall SSL-VPN 200. |
LEs Tz sont des bouzes avec les abos GAV/CFS. Le debit est lamentables. La bp est bridé à 2MB... La gestion du VPN via WLAN est vraiment basique... et va falloire les licences pour chaque users vpn over wlan.
J'ai eu pas mal de discutions houleuses avec sonicwall à cause des brides de la bp pour un PRO1260 Enhanced. Depuis SOnicwall france à modifié ses datasheets sur les debits avec les différents services activés.
Marsh Posté le 20-10-2008 à 17:07:07
bonjour,
Je fais une étude pour mon association pour relier 10 centres de vacances à notre siege en BP ou je suis admin, et ce pour l'année prochaine..
Je suis à la recherche d'une solution technique permettant de proposer un accès, et réseau et Wifi pour les directeurs et personnels des centres de vacances.
techniquement sur le siege, nous avons un FW Netasq F50 et un acces ADSL 18Mo Oleane.
Et je voudrais pouvoir mettre en place un acces permanent sur les sites a la montagne et mer avec des bornes reseau + wifi qui filtrerait le Surf avec nos regles locales et empecher ainsi les abus de type P2P et PEDO/PORn (pour illustrer)... comme le veux tout admin.
Pour résumer, je voudrais que chaque personnel qui arrive sur un centre de vacances, se voit limiter par les regles du siege quelque soit les pc portables utilisés des personnels et que l surf soit possible sur un périmetre défini.
Quel matériel dois-je déployer sur les sites distant et avec quel type de connection pour garder la main pour la maintenance ?
Orange mon prestataire me propose de mettre en place des liaisons avec VPN et routeur/FW Netasq assez honéreux sur chacun des sites.
Cdt.
---------------
fixxxer.