Bonjour à tous,
J'utilise IPCOP depuis un an maintenant et je suis conquis par cette distribution.
Mon entreprise a plusieurs sites distincts:
1) Direction (base opérationnelle)
2) Garage
3) Magasin
4) Entrepôt
Ces sites ne sont pas reliés entre eux et ont chacun une connexion Internet. Nous sommes au Congo et nous avons des connexions sur boucle locale radio (type Wimax, précision importante vous verrez).
J'ai en projet de mettre en place un VPN nous permettant de tous communiquer, faire les backups distants et accéder aux applications communes.
J'ai lu plusieurs tutoriels dont le très bon HOWTO net2net VPN (http://www.openvpn.eu/zerina/?q=documen ... to-net2net)
Je pense donc utiliser le site 1 comme serveur VPN et avoir 3 clients.
1) GREEN: 192.168.0.1/24 => serveur
2) GREEN: 192.168.1.1/24
3) GREEN: 192.168.2.1/24
4) GREEN: 192.168.3.1/24
Mes IP RED étant attribuées par nos FAIs (ce ne sont pas les mêmes)
J'ai plusieurs questions par rapport à la mise en place:
Accès à Internet lorsque le VPN est actif
C'est une question bête mais je dois la poser: lorsque la connexion VPN est établie, est il toujours possible d'accéder à Internet? Et si oui, quelle connexion est sollicitée pour sortir (celle du client directement ou cela passe par le serveur VPN)?
Problème de bande passante
Nous avons une bande passante très réduite vers Internet (512/128kbps sur le site 1 et seulement 256/64kbps sur les autres sites)
Nous utilisons principalement des applications de type Web, la bande passante nécessaire au fonctionnement des applications n'est pas très importante. Quelle portion de la bande passante va être "mangée" par le VPN pour l'établissement de la connexion?
Stabilité de la connexion
Comme je le précisait plus haut, nous sommes connectés sur des boucles locales radio différentes (type Wimax), ce qui implique une instabilité du réseau. J'ai pu observer des micro coupures voir des coupures de plusieurs secondes. Si celles si sont transparentes pour les utilisateurs, est-ce que ce sera le cas aussi pour la connexion VPN?
Si non, et je me doute que cela va poser problème, quelle serait la solution pour arriver à rendre ces instabilités le plus transparent possible?
Quelle configuration pour le serveur VPN?
Actuellement je fais tourner IPCOP sur des P3 1GHz avec 512Mo de ram. Je me doute que cela ne sera pas suffisant pour le serveur VPN. J'ai un vieux serveur HP ML350 G2 P3 1.4GHz avec 1.5Go de ram et 3 disques en Ultra320, est ce que cela sera suffisant?
Mes clients peuvent ils rester sur leur config actuelle?
Problème de sécurité
Mes patrons redoutent pardessus tout que quelqu'un puisse s'introduire dans ce type de réseau et nous "piquer" nos données. D'une part j'ai mis en place les protections nécessaires sur l'accès aux données, mais comment puis-je les rassurer sur la sécurité d'un tel réseau VPN?
Merci à tous pour vos réponses, en espérant que cela en aide d'autres.
Conseil sur la mise en place d'un VPN
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Conseil sur la mise en place d'un VPN
par Kerin444 » 27 Nov 2008 16:17
- Kerin444
- Matelot
- Messages: 8
- Inscrit le: 27 Nov 2008 15:46
- Localisation: Pointe-Noire (CONGO)
par ccnet » 27 Nov 2008 16:42
Je pense donc utiliser le site 1 comme serveur VPN et avoir 3 clients.
1) GREEN: 192.168.0.1/24 => serveur
2) GREEN: 192.168.1.1/24
3) GREEN: 192.168.2.1/24
4) GREEN: 192.168.3.1/24
Petite précision, je ne suis pas certain de comprendre, c'est du site-site ou du nomade -site qu'il vous faut ?
Accès à Internet lorsque le VPN est actif
C'est une question bête mais je dois la poser: lorsque la connexion VPN est établie, est il toujours possible d'accéder à Internet? Et si oui, quelle connexion est sollicitée pour sortir (celle du client directement ou cela passe par le serveur VPN)?
Avec une commande PUSH ROUTE (je ne sais plus où) ce sera le second cas, beaucoup plus sûr évidement sinon gare ... Le client utilisera la passerelle par défait distante et non locale.
Bande passante : de toute façon vous n'avez pas trop le choix ? Ca ne va pas être le grand confort.
Le ML 350 devrait convenir si vous n'exécutez pas 10 addons gourmands sur ipcop.
Sécurité : pensez à utiliser des mots de passe forts, à sensibiliser les utilisateurs sur les bonnes pratiques. Utilisez BOT pour contrôler étroitement le trafic sortant, le danger vient au moins pour moitié du trafic sortant et de l'intérieur du réseau. Cloisonnez les trafics, mettez vos serveurs en DMZ si ce n'est pas déjà fait et ne laissez pas les utilisateurs vpn entrer dans Green.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par Kerin444 » 27 Nov 2008 16:56
Bonjour Ccnet,
C'est du site à site, tout est fixe et permanent (enfin autant que possible).
Donc ma première question n'était pas si bête que cela...
Je préfèrerait que l'accès à Internet ne passe pas systématiquement par le serveur VPN. Est-ce possible?
Concernant le serveur, j'utilise advanced proxy, BOT et extra graphs c'est tout.
Au niveau sécurité, mes serveurs ne sont pas en DMZ actuellement puisqu'il n'y a aucun accès externe configuré, si j'ai bien compris, je les mettrais sur mon interface BLUE (que je n'ai pas pour l'instant) et en DMZ une fois l'installation en place?
C'est du site à site, tout est fixe et permanent (enfin autant que possible).
Donc ma première question n'était pas si bête que cela...
Je préfèrerait que l'accès à Internet ne passe pas systématiquement par le serveur VPN. Est-ce possible?
Concernant le serveur, j'utilise advanced proxy, BOT et extra graphs c'est tout.
Au niveau sécurité, mes serveurs ne sont pas en DMZ actuellement puisqu'il n'y a aucun accès externe configuré, si j'ai bien compris, je les mettrais sur mon interface BLUE (que je n'ai pas pour l'instant) et en DMZ une fois l'installation en place?
- Kerin444
- Matelot
- Messages: 8
- Inscrit le: 27 Nov 2008 15:46
- Localisation: Pointe-Noire (CONGO)
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité