VPN contre SSL?

[MikeLeeToris]

Bonjour,

J'aimerai établir une connexion sécurisée entre deux réseaux privés, situés sur des FAI différents.

Un de mes routeurs (FWG114P) autorise la création de connexions entrantes VPN, sous réserve d'utiliser en face leur client VPN pour Windows.

Mon souci est que je ne veux pas faire transiter TOUT le traffic réseau ou internet du réseau privé A vers le réseau privé B. Comme c'est le cas d'un seul ordinateur nomade qui se raccorde à son réseau d'entreprise.

Dans les réseaux privés A et B, il existe plusieurs ordinateurs qui doivent continuer de se voir les uns les autres, et surtout, continuer d'accéder chacun à Internet par leurs FAI respectifs.

Par contre, ponctuellement, principalement pour des besoins de réplication ou de transfert de documents, j'aurais besoin d'ouvrir un canal entre une machine du réseau A vers une machine du réseau B (toutes sous Windows 2K ou XP). J'ai la main sur les deux routeurs pour ouvrir des ports en NAT et ré-orienter ce traffic précis vers les machines qui m'intéressent.

Je me dis que SSL serait la bonne solution, mais sans vraiment savoir de quoi j'ai besoin! J'ai consulté le tutorial dans les pages cryptographie, cela m'explique les bases, mais pas vers quelle solution concrète et pratique me tourner.

L'idéal, pour l'utilisateur final (pas technicien[ne] du tout!) qui va utiliser cette fonction, serait que la solution mise en place soit la plus transparente possible. Il faudrait qu'au final de l'établissement du canal privé, il puisse utiliser une notation type unc \\machine_réseau_B\partage pour accéder aux documents soit dans l'explorateur, soit dans les applications. Cela signifie qu'il faudrait faire croire que l'ordinateur du réseau B fait partie du réseau A, mais uniquement sur la machine du réseau A concernée!

Pourriez-vous éclaire ma lanterne?! Thanx.

[vanvan]

juste pour idée pourquoi ne pas mettre entre ton réseau A et ton B, un parefeu filtrant les services et n'en autorisant que certains. ça éviterait que tout ton traffic du A parte sur le B. Puis de mettre un vpn avec ipsec entre ton réseau A et ton B qui encapsulerai les requêtes.
Pour faire simple pour la gestion de ton parc essayes aussi DFS qui te permettra de faire des partages du réseau A et du B et de faire croire à ton utilisateur qu'il ne s'agit que d'un seul et même répertore de partage.

en gros pour faire un schéma ça donnerait.

réseau A -- firewall -- Réseau B ( avec un vpn entre le réseau A et B, et sur ton firewall tu n'autorises que les services que tu souhaites avec en plus la possibilités de n'autoriser que tel ou tel adressage ip ou ip spécifique si les machines ( peu nombreuses sinon c galère ) ciblées.

Sinon s'il s'agit d'un réseau distant :

réseau A -- firewall -- routeurs permettant le vpn -- firewall -- réseau B.

Pour DFS c une idée comme ça mais j'ai pas testé à savoir si cela fonctionnait sur du réseau distant par contre en local c bien pratique.

Pour précision DFS est un produit fournit par défaut sur 2000 server.