SME avec proxy avec une seule carte réseau.

[Vulmix]

Bonjour,

Tous les jours qui passent j'apprends de nouvelles choses et bien sur on m'en demande d'autres !
Ayant enfin la possibilité de faire installer un réseau vpn hardware. Ne revenons pas sur le fait que SME peut aussi faire du VPN. Les raisons qui me poussent à faire un VPN Hardware sont nombreuses et parfois même à la limite de la compréhension voir du résonnable

Donc je vais avoir mon réseau VPN hardware. Et la société qui va me l'installer me demande si l'on peut mettre notre bon SME sur la DMZ avec bien sur le reste du LAN sur une autre sortie du Juniper.

Ainsi le Juniper ferait office de firewall mais je garderais le SME pour mes log et le webcaching et le service Proxy.

Question ! Comment faire cela ? En mode serveur seul ? sans plus ? Ne pas oublier que bien sur de son coté notre bon SME doit voir tout le trafic vers internet puisque je dois faire le log.

Alors une autre question, que pensez vous de cette architecture ? Que pensez-vous de laisser le SME en frontal du Lan ? Je sais que dans ce cas c'est à moi de programmer le SME pour reprendre les pakage du Juniper pour les faire arriver sur la bonne machine...


Voici les deux types de shémas :

Internet !
!
modem
!
Juniper------ SME sur DMZ
!
Lan

Ou

Internet---- modem----- Juniper-----SME----Lan


Euh et bien sur je suis ultra pressé Si la réponse se trouve déjà dans le forum je suis désolé de ne pas avoir fait une recherche

Merci d'avance de vos comm !

[Franck78]

salut,

1)soit tu maitrises le juniper et tu considères que c'est la limite de ta zone inconnue (l'internet).

2)soit tu ne le maitrises pas et logiquement lui accorde une confiance limitée, voire nulle... et donc il fait partie d'internet!


Bien sur le cas numéro deux est plus génant à cause du vpn.

Donc répond à "qui contrôle le juniper" et tu sauras quel modèle réseau ne pas choisir

[Vulmix]

D'avance merci de répondre.

Il est évident que le juniper est de toute confiance. Sinon je ne le prendrais pas !

Mon problème est que je sais faire le cas 2 mais d'après ce que l'installateur de mon VPn me dit c'est que c'est pas la meilleure solution et qu'il me dit de faire la solution 1. Mais la moi je bloque car je ne sais pas comment faire cela

Donc est-ce que cela se fait "simplement" ou alors cela demande une modification profonde de la SME ?

Je ne vous cache pas que je préfère nettement "ma" solution. Mais si effectivement la solution 1 est facile à mettre en place, je me dirigerais vers celle-là !

Votre avis ?

[Franck78]

Et la société qui va me l'installer
Il est évident que le juniper est de toute confiance. Sinon je ne le prendrais pas !

Tu n'as pas compris le problème. Qui controle le Juniper. Il y une subtilité de taille entre 'vendre' 'installer' 'administrer' ...

[Gaston]

Bonsoir,
je suis d'accord avec Franck78, il faut surtout définir l'espace de compétence et d'intervention.
Mais avec les infos suivantes,

Ainsi le Juniper ferait office de firewall mais je garderais le SME pour mes log et le webcaching et le service Proxy.

Question ! Comment faire cela ? En mode serveur seul ? sans plus ? Ne pas oublier que bien sur de son coté notre bon SME doit voir tout le trafic vers internet puisque je dois faire le log.

Je me demande bien quel en serait l'intérêt de la solution 1 Déjà un proxy en DMZ ...

G.

[Vulmix]

Bon je vois que vous arrivez à la même conclusion que moi !

J'aurai accès et à la gestion du Juniper donc en gros pas de problème du coté "qui controle quoi".

Mais ce SME en DMZ pour (je simplifie) pouvoir savoir qui du LAN fait des requètes vers internet me 'soule' ! Je peux très bien gérer cela de ma SME

Bon vous allez me dire pourquoi avoir ajouter un Juniper alors.... J'ai "volontairement" caché une branche qui part des Junipers vers les Automates !

Pour refairte un peu l'histoire du projet. J'avais proposé aux automaticiens d'utiliser mon SME pour faire les tunnels pour les PC et les Automates.... mais les automaticiens n'étaient pas convaincu d'une solution software (normal ils ne croient qu'au bon hardware bien dur dans leur coffre anti explosion ) Alors ils m'ont proposer de "payer" le raiseau VPN SI ET SEULEMENT SI celui-ci était hardware... vous connaissez la suite !

Merci pour vos partages d'idées. J'ai fait mon choix