Bonjour,
au risque de poser une question déjà posée...je ne l'ai pas trouvée dans le forum.
Le problème:
Interconnecter deux réseaux privés.
la configuration:
Green : 10.194.2.9
Red : 172.17.14.33
On désire que les machines du réseau 10.194.2.x puissent se connecter sur une machine bien precise du réseau 172.17.14.x, le tout avec de la sécurité.
Chaque réseau dispose déjà de son dhcp, sa passerelle, son accès internet etc...
Merci d'avance
Eric
lan to lan
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
par ccnet » 22 Déc 2008 21:40
En dépit des apparences le problème n'est pas posé clairement, ou du moins avec une ambiguïté importante. Avec le titre Lan to Lan et l'expression du problème :
Reprenons si vous le voulez bien le problème à la base. Oublions ipcop pour le moment. Avez vous besoin d'une liaison sécurisée (cryptée) entre deux sites distants, via internet ou non ?
Je suis désolé mais si je ne sais pas ce qui doit être protégé, je ne comprend pas cette phrase, ou du moins, comme je ne sais à quoi la sécurité s'applique je ne sais pas dire quels moyens pourraient convenir. Une fois cette question éclaircie, si vous dites ce que vous redoutez, nous pourrons vous dire ce que pourraient être des solutions.
Juste un exemple : si la liaison est effectuée entre deux bâtiments distants, un des problèmes de sécurité de cette liaison s'apparente à des problèmes de terrassements si votre principale menace est la disponibilité. Je sais que tout cela ce n'est pas très high tech mais la cryptographie ne peux pas grand' chose face à deux individus qui attaquent un dab à la voiture bélier. D'où l'utilité de dire ce qui est à protéger et de quoi.
on pense à première vue a un classique problème de vpn ipsec site à site. Mais la lecture de la suite montre que l'on a mis la charrue avant les boeufs. Non seulement il n'est pas certain qu'il s'agisse de sites distants qu'il faudrait inter-connecter par un pvn ipsec, mais on voit qu'une "solution" est déjà là avant même que le problème soit clair : ipcop et une connexion des deux réseau privés, l'un sur RED, l'autre sur GREEN. Evidement, si j'ose dire, ipcop n'est pas fait pour cela.Interconnecter deux réseaux privés
Reprenons si vous le voulez bien le problème à la base. Oublions ipcop pour le moment. Avez vous besoin d'une liaison sécurisée (cryptée) entre deux sites distants, via internet ou non ?
le tout avec de la sécurité.
Je suis désolé mais si je ne sais pas ce qui doit être protégé, je ne comprend pas cette phrase, ou du moins, comme je ne sais à quoi la sécurité s'applique je ne sais pas dire quels moyens pourraient convenir. Une fois cette question éclaircie, si vous dites ce que vous redoutez, nous pourrons vous dire ce que pourraient être des solutions.
Juste un exemple : si la liaison est effectuée entre deux bâtiments distants, un des problèmes de sécurité de cette liaison s'apparente à des problèmes de terrassements si votre principale menace est la disponibilité. Je sais que tout cela ce n'est pas très high tech mais la cryptographie ne peux pas grand' chose face à deux individus qui attaquent un dab à la voiture bélier. D'où l'utilité de dire ce qui est à protéger et de quoi.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par seric » 23 Déc 2008 03:04
Bonsoir,
merci pour cette réponse , je vais tenter de préciser mes besoins.
- Sécurité: pas d'intrusion dans le réseau 172.17.14.xx à partir du réseau 10.194.2. x
le réseau 10.194.2.x ,est plus vulnérable pour diverses raisons, dont la principale est qu'il est difficile de protéger les machines, ( salle de formation informatique, donc les users sont obligatoirement administrateurs locaux de leurs machines, pour des raisons pédagogiques).Les données de ce réseau sont sur le serveur ( novell 5.1), et donc les machines peuvent être "ouvertes" , avec les protections habituelles ( anti-virus, firewall XP),etc..
De plus, je suis admin de ce réseau, je peux donc surveiller assez facilement ce qui s'y passe, entre autres le trafic internet, et j'ai la possibilité d'isoler une machine physiquement, ou de restaurer la machine en cas de problème.
Par contre le réseau 172.17.14.x est plus sensible, et de plus je n'ai pas la main dessus.
Le problème d'interconnexion vient du fait que pour des raisons diverses, les machines en 10.194.2.x doivent pouvoir se connecter sur une machine précise du réseau 172.17.14.x, qui est un serveur de licence partagé entre les différents réseaux, en fonction des formations.sans pouvoir aller " se promener" ailleurs dans celui-ci.
J'ai opté pour Ipcop , pensant que cela pouvait fonctionner, mais je suis ouvert à toutes solutions logicielles.
Le réseau 10.194.2.x dispose par ailleurs d'une machine windows 2003 sans AD.
J'espère avoir été assez précis dans mes réponses, je ne dois pas être le seul confronté à ce genre de problème.
Merci d'avance
Eric
merci pour cette réponse , je vais tenter de préciser mes besoins.
- Sécurité: pas d'intrusion dans le réseau 172.17.14.xx à partir du réseau 10.194.2. x
le réseau 10.194.2.x ,est plus vulnérable pour diverses raisons, dont la principale est qu'il est difficile de protéger les machines, ( salle de formation informatique, donc les users sont obligatoirement administrateurs locaux de leurs machines, pour des raisons pédagogiques).Les données de ce réseau sont sur le serveur ( novell 5.1), et donc les machines peuvent être "ouvertes" , avec les protections habituelles ( anti-virus, firewall XP),etc..
De plus, je suis admin de ce réseau, je peux donc surveiller assez facilement ce qui s'y passe, entre autres le trafic internet, et j'ai la possibilité d'isoler une machine physiquement, ou de restaurer la machine en cas de problème.
Par contre le réseau 172.17.14.x est plus sensible, et de plus je n'ai pas la main dessus.
Le problème d'interconnexion vient du fait que pour des raisons diverses, les machines en 10.194.2.x doivent pouvoir se connecter sur une machine précise du réseau 172.17.14.x, qui est un serveur de licence partagé entre les différents réseaux, en fonction des formations.sans pouvoir aller " se promener" ailleurs dans celui-ci.
J'ai opté pour Ipcop , pensant que cela pouvait fonctionner, mais je suis ouvert à toutes solutions logicielles.
Le réseau 10.194.2.x dispose par ailleurs d'une machine windows 2003 sans AD.
J'espère avoir été assez précis dans mes réponses, je ne dois pas être le seul confronté à ce genre de problème.
Merci d'avance
Eric
- seric
- Matelot
- Messages: 3
- Inscrit le: 22 Déc 2008 19:08
par jdh » 23 Déc 2008 07:29
IPCOP + BOT (indispensable et ici obligatoire) + connaissance du protocole
La connaissance du protocole est indispensable. De plus, il n'est pas sur que le serveur de licences soit capable de délivrer 2 licences (puisque tous les clients auront la même adresse ip !).
NB : Le réseau 10.194.2.x a semble-t-il déjà une passerelle. Cela devrait impacter celle ci. Ah bon pourquoi ?
La connaissance du protocole est indispensable. De plus, il n'est pas sur que le serveur de licences soit capable de délivrer 2 licences (puisque tous les clients auront la même adresse ip !).
NB : Le réseau 10.194.2.x a semble-t-il déjà une passerelle. Cela devrait impacter celle ci. Ah bon pourquoi ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 23 Déc 2008 11:40
Je m'inquiète aussi du fonctionnement du serveur de licence voyany arriver des demandes multiples en provenance de la même ip. N'oubliez pas qu'ipcop implique la translation de vos adresses.
J'utiliserai plutôt un routeur filtrant pour ce genre de besoin.
Ou bien deux cartes réseaux sur le serveur de licences.
Ou encore Pfsense avec une configuration en pont entre les deux interfaces.
Certains commutateurs niveau 3 traiteraient aussi le problème.
Si ipcop était utilisé pour ce travail, c'est clairement mon dernier choix, je confirme que cela ne peux marcher qu'avec BOT. Et une petite info de routage quelque part si la l'interface verte d'ipcop n'est pas la passerelle par défaut du réseau 10.194.2.0. Quelque chose dans ce genre là sur la gateway du réseau 10.194.2.0.
Juste une question. Comment cela est il organisé au niveau connexion physique ? commutateurs séparés, vlan ?
J'utiliserai plutôt un routeur filtrant pour ce genre de besoin.
Ou bien deux cartes réseaux sur le serveur de licences.
Ou encore Pfsense avec une configuration en pont entre les deux interfaces.
Certains commutateurs niveau 3 traiteraient aussi le problème.
Si ipcop était utilisé pour ce travail, c'est clairement mon dernier choix, je confirme que cela ne peux marcher qu'avec BOT. Et une petite info de routage quelque part si la l'interface verte d'ipcop n'est pas la passerelle par défaut du réseau 10.194.2.0. Quelque chose dans ce genre là sur la gateway du réseau 10.194.2.0.
- Code: Tout sélectionner
route add -net 172.17.14.0 netmask 255.255.0.0 gw 10.194.2.x ethy (syntaxe linux)
Juste une question. Comment cela est il organisé au niveau connexion physique ? commutateurs séparés, vlan ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par seric » 05 Jan 2009 11:21
Bonjour,
merci pour vos reponses et desolé pour le delai dans la mienne.
je vais tester .
cote physique : deux reseaux independants dont un sur lequel je n'ai pas la main , a part le cable qui vient de celui-ci.
Sur l'autre des swtich simples,non gerables.sans vlan.
Merci et meilleurs voeux
Eric
merci pour vos reponses et desolé pour le delai dans la mienne.
je vais tester .
cote physique : deux reseaux independants dont un sur lequel je n'ai pas la main , a part le cable qui vient de celui-ci.
Sur l'autre des swtich simples,non gerables.sans vlan.
Merci et meilleurs voeux
Eric
- seric
- Matelot
- Messages: 3
- Inscrit le: 22 Déc 2008 19:08
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité