DFL-210 - Problème de passerelle en VPN - Filtrage URL

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Publier une réponse

DFL-210 - Problème de passerelle en VPN - Filtrage URL

Messagepar yzak » 19 Nov 2009 12:51

Hello,


J'ai créé des rêgles de filtrage HTTP sur un Dlink DFL-210. Les règles fonctionnent très bien pour les clients du lan.
Par contre quand j'accède en VPN (PPTP) sur le DLink DFL-210, les règles ne fonctionnent pas.
Si je regarde la config IP du client (XP), j'ai comme passerelle 0.0.0.0 (Case utiliser la passerelle par défaut pour le réseau distant cochée).
Si je laisse la case cochée j'ai lui même en passerelle mais là pas d'internet...
Comme puis-je forcer le filtrage url pour mes clients distants ?

Merci

Yzak
yzak
Matelot
Matelot
 
Messages: 5
Inscrit le: 15 Nov 2009 23:27
Haut

Messagepar jdh » 19 Nov 2009 13:04

Je pense qu'il y a juste un peu de logique :

- un client VPN, et donc distant, doit disposer de son propre accès Internet,
- si on veut filtrer sa navigation, il va falloir transporter le flux aussi dans le VPN,
- d'où augmentation du flux vpn, d'où perte de perf

Moi, les users VPN utilisent leur internet pour naviguer et DONC, ils ne passent pas par le proxy de l'entreprise.
Et puis de toute façon, je leur ai dit qu'avec le vpn ils peuvent copier des fichiers du/des serveurs mais pas naviguer en même temps, à cause de la perf de la SDSL qui limite la vitesse ...
Dernière édition par jdh le 19 Nov 2009 15:38, édité 1 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar yzak » 19 Nov 2009 15:34

Ok j'ai pris note. Le filtrage doit être fait en amont sur le site distant donc !
Merci JDH ! :wink:
yzak
Matelot
Matelot
 
Messages: 5
Inscrit le: 15 Nov 2009 23:27
Haut

Messagepar Stirner » 20 Nov 2009 07:11

Et puis de toute façon, je leur ai dit qu'avec le vpn ils peuvent copier des fichiers du/des serveurs mais pas naviguer en même temps, à cause de la perf de la SDSL qui limite la vitesse ...



Oh c'est poa bo de mentir...

En revanche je ne partage pas complètement ton point de vu sur la séparation des services, à condition de posséder une ligne SDSL ou une agrégation adsl suffisamment costaude, je trouve au contraire intéressant de forcer la connexion des PC portable distant via le vpn et d'assurer un minimum de filtrage via le proxy de la boite. Cela limite un peu les risques de navigation sur des sites de $%#&!
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...
Haut

Messagepar jdh » 20 Nov 2009 07:34

Sur le site central, j'ai un fw avec une sdsl 2M et un proxy avec une adsl 8M.

Sur le fw, j'ai un vpn de type openvpn.
Le proxy est détecté automatiquement par wpad.

Donc l'utilisateur vpn distant passe par le proxy (même sans redirect-gateway).

Et bien, la perf n'est pas bonne. Enfin c'est ma constatation !

Donc je dis à mes utilisateurs : ne faites pas ni navigation ni réception de mails quand vous êtes en vpn.

(Ce n'est pas que cela ne fonctionne pas, c'est que c'est plus lent via le vpn)

Par ailleurs, j'ai choisi une suite complète avec antivirus et firewall, analyse web et analyse mail. Je reçois ainsi régulièrement des mails d'alertes pour la navigation sur sites dangereux (quelques trojan downloader en javascript, ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz