Tunnel VPN avec deux Routeur et SME7 au milieu en passerelle

[Titofe]

J’ai un p’tit souci, je vais bientôt passer mon serveur SME7 en serveur est passerelle pour plus d’une raison que je ne peux expliquer ici, avant ce serveur étais juste en mode serveur seul.
Le problème que je vais rencontrais des plus embêtant et la connexion que j’ai avec d’autre site distant de mon réseau en VPN plus exactement en IP sec qui ce fait par mes routeur, ma question comment faire pour que mon serveur ne bloque pas les connexions des stations distante avec mes serveur dans le réseau.

P’tit schema :

Actuellement :
STATION ---> ROUTEUR <----------connexion par tunnel VPN au site distant par le biais des routeurs----------> ROUTEUR <--- SERVEUR
La Station sur le site Bleu interroge le Serveur sur le site Vert, j’ai mi comme exemple un Serveur mais ça peut être aussi une Station par VNC.

Prochainement :
STATION ---> ROUTEUR <----------connexion par tunnel VPN au site distant par le biais des routeurs----------> ROUTEUR <--- SERVEUR sme7 serveur et passerelle <--- SERVEUR
La Station sur le site Bleu interroge le Serveur sur le site Vert, donc même chose qu’au paravent, mais comment faire pour que le Serveur SME7 en mode serveur et passerelle ici en Orange ne bloque pas la connexion ?

Merci d’avance pour toute l’aide qui pourra mettre apporter.


Titofe

[sagat]

dsl mais j'ai pas tout compris ta passerelle sme te bloque quoi exactement ? (le vpn ou internet)

[Titofe]

Donc le problème est les connexions VPN,

Ce que je voudrais savoir c’est comment faire pour que les connexions VPN extérieure qui vienne interroger notre réseau (donc les ordinateur qui sont de l’autre cote du serveur) fonctionne, je rappel que mon serveur sera en mode « Serveur et Passerelle » et que la connexion VPN est fait sur le PIX (Routeur) qui sera devant le Serveur « Serveur et Passerelle ».

En gros ma question est quels sont les démarches et certainement les problèmes que je vais rencontrer quand je vais interposer mon serveur entre le PIX qui est le serveur des connexion VPN et le réseau ou sont acheminer les demandes.

Exemple :

192.168.1.200 --> Routeur (Site 1) <------ Connexion VPN ------> Routeur (Site 2) ---> 192.168.3.200
Donc quand 192.168.1.200 (Site 1) veut parler à 192.168.3.200 (Site 2) actuellement c’est le PIX (Routeur) qui gère le VPN qui renvoi la demande directement à l’ordinateur, puisque qu’il y a personne entre lui et le réseau.

Maintenant :

192.168.1.200 --> Routeur (Site 1) <------ Connexion VPN ------> Routeur (Site 2) ---> Serveur 192.168.2.100 ---> 192.168.3.200
Quand 192.168.1.200 (Site1) veut parler à 192.168.3.200 (Site 2) il ne le voit plus comme avant le réseau, puisque maintenant mon Serveur s’interpose entre le Routeur et le réseau.

Merci pour votre aide.


Titofe

[jibe]

Salut,

Première remarque : pourquoi maintenir un routeur devant ta SME 7 orange ? Tu ne peux vraiment pas le mettre en bridge ou mettre un simple modem ? Il fait double emploi avec SME 7 et complique la configuration de l'ensemble sans avantage à mon avis.

Pour traverser ta SME, il n'y a pas de problèmes. La question a déjà été souvent débattue, en cherchant un peu tu trouveras les ports et protocoles concernés par le type de VPN que tu utilises (tu ne l'as pas précisé...). Entre autres, il y a quelques précisions dans ce topic... Mais cherche un peu, il y a sûrement beaucoup mieux

[Titofe]

Bonsoir ou bonjour jibe, tout dépend de quand tu lira le post.

Je crois que je ne me suis pas fait comprendre, le tunnel VPN ce fait directement sur le PIX (Routeur) et non sur un Serveur ou Ordinateur du réseau est donc une fois la connexion établie sur le PIX (Routeur) tu accède à tout le réseau.
Donc si je mes mon Serveur « Serveur et Passerelle » entre le PIX (Routeur) et le réseau je vais avoir très certainement un problème car mon PIX (Routeur) ne trouvera plus le réseau (Serveur ou Ordinateur), car ils seront derrière mon Serveur « Serveur et Passerelle ».

Ma question comment faire pour que les demande faite par le tunnel VPN du PIX (Routeur) puisse aboutir en sachant que mon serveur viendra ce mettre entre lui et le réseau ?

En espérant être assai claire, mais si il faut plus de détaille, je suis prés à les fournir.

Sinon pour ta question, pourquoi ne pas enlever le Routeur, il y en a plusieurs, donc celle ou j’utiliserais la partie entre le routeur et le serveur pour d’autre serveur qui partagerons la même bande passante, mais qui n’on aucun besoin de ce retrouver dans le réseau actuelle, pour des questions de sécurité et autre.

Sinon jibe je suis sur que tu va arriver à me faire mettre un jour un serveur SME ou Free-EOS en frontale, pourquoi pas l’année prochaine pour un réseau que je dois revoir de A à Z.

Merci.


Titofe

[sibsib]

Hello,

Tu pars en galère :

Le serveur SME n'est PAS un routeur : Il fait nativement de la translation d'adresses (NAT) car il suppose qu'il va gérer l'accès Internet.

Globalement, il faudrait exploser la conf iptables et configurer ton SME en simple routeur. Dans ce cas, le réseau frontal (derrière le PIX mais devant le SME pourrait voir le réseau arrière ( à condititon que le PIX connaisse l'ip externe de SME comme routeur pour le réseau interne).

Ceci dit, autant laisser SME en server only, puisque cette configuration ne t'apportera aucune sécurité.

De plus, passant dans une conf non supportée (car inédite ), il est plus que probable que peu de services supporteront le choc. Au hasard :
squid > je pense pas
http -> devrait être OK, mais sans sécu
ftp -> idem
SMTP -> ? Je réserve mon jugement

de plus, les services traditionnelement à usage interne (SMB, imprimantes...) seront à mon avis à usage général (en d'autres termes, cette conf à enquiquinement -j'avais mis un autre mot, mais je pense que le filtre Ixus ne l'aurait pas laissé passer- verra toute sa sécu basée sur le PIX = PIX + SME en server only, ce que tu as déjà !)

Sinon, l'autre possibilité serait de laisser SME tel quel, mais dans ce cas, il faudra jouer de la redirection de ports, et j'en déduis que seule une machine derrière SME pourra utiliser le tunnel (et mal, je le crains).

Bonne chance, j'aime bien les idées originales, çà permet de secouer les neurones (Ceci n'est pas une critique, je te le promets !)

A+,
Pascal

[Titofe]

Bonne chance, j'aime bien les idées originales, çà permet de secouer les neurones (Ceci n'est pas une critique, je te le promets !)

Je te crois , mais je viens de prendre un sacrer coup ……..

Ehhhhh, je digérer et je reviens ……

Ps: Y a un p’tit truc que je n’arrive pas encore à me dire, SME7 peut il réellement remplacer un PIX 501 Cisco, car si oui, chose qui m’étonne un peux, c’est clair que ça pourrais être une solution !?


Titofe

[jibe]

Salut,

Ps: Y a un p’tit truc que je n’arrive pas encore à me dire, SME7 peut il réellement remplacer un PIX 501 Cisco, car si oui, chose qui m’étonne un peux, c’est clair que ça pourrais être une solution !?

Sinon jibe je suis sur que tu va arriver à me faire mettre un jour un serveur SME ou Free-EOS en frontale

Je dirais que c'est le moment d'essayer !

Je ne vois pas bien de quoi tu as peur ? Ou quel est le besoin particulier qui te fait renoncer à cette solution ? (je pense que c'est toujours le cas d'une discussion qu'on avait eue, à propos de maintenance de réseaux se trouvant derrière des routeurs CISCO ? Faudrait que je la relise, mais là je suis un peu "à la bourre"...)

SME ou FreeEOS est tout à fait capable (c'est d'ailleurs leur vocation première) de faire office de serveur-passerelle en frontal sur le net. Il est possible de faire du VPN avec, IPSEC en natif sur FreeEOS et installable sur SME, ou Open VPN, voire même PPTP qui à mon avis est plus sécurisé qu'on ne le pense (la légende de son insécurité vient surtout des failles W$ et d'un codage sur 40 bits délaissé au profit d'un 128 bits sur SME/FreeEOS) et peut très bien faire l'affaire pour des connexions occasionnelles.

Donc, hormis ta peur de virer tes CISCO et une hypothétique raison que je n'ai pas encore réussi à bien comprendre, je crois que rien ne s'oppose à revenir à une config simple plutôt qu'une usine à gaz que j'ai maintes fois dénoncée et dont sibsib démontre les inconvénients

[sibsib]

Hello,

Même si je suis plutôt de l'avis de jiBé (faisons simple, et comprenons bien ce qu'on fait), je ne me permettrai pas de dire qu'une paire de PIX est une moins bonne solution qu'une paire de SME !

En fait, j'en rajoute une dernière couche, et je passe plus loin : une paire de PIX mal configurés est probablement pire qu'une paire de SME avec les sécurité standard. D'un autre coté, si chez toi, les PIX sont bien assimilés, pas de raison de changer.

Ceci dit, dans ton schéma, tu nous dis devoir mettre un SME entre PIX et ton LAN. C'est cette idée qui me parait assez complexe à mettre en oeuvre, et son utilisation parait peu évidente. Peux tu un peu nous expliquer les raisons (si elles sont d'ordre technique !) qui t'amènent vers ce chemin ?

A+,
Pascal

[jibe]

Salut,

je ne me permettrai pas de dire qu'une paire de PIX est une moins bonne solution qu'une paire de SME !

Ce n'est pas exactement ce que j'ai dit (ou voulu dire : c'est vrai qu'on peut le comprendre ainsi). En fait, je n'avais pas non plus réalisé qu'il s'agissait de PIX : nous avions bien eu déjà un débat sur la question sur le forum FreeEOS, mais je ne m'en souvenais pas lors de mon premier post dans ce topic. Je pensais qu'il s'agissait comme bien souvent de *box, et là je ne crois pas me tromper en disant qu'il n'y a pas photo !

Maintenant, si je n'affirmerai effectivement pas que SME est meilleur que PIX (sur la simple question sécurité, comparons ce qui peut l'être), je serai quand même curieux de savoir où SME se situerait... Pas sûr qu'il soit très loin derrière...

une paire de PIX mal configurés est probablement pire qu'une paire de SME avec les sécurité standard.

Là, je n'hésite pas à dire qu'il n'y a effectivement pas photo

D'un autre coté, si chez toi, les PIX sont bien assimilés, pas de raison de changer.

Ceci dit, dans ton schéma, tu nous dis devoir mettre un SME entre PIX et ton LAN. C'est cette idée qui me parait assez complexe à mettre en oeuvre, et son utilisation parait peu évidente.

Il est certain qu'il ne faut pas changer une équipe (de PIX ) qui gagne ! Mais dans le cas que nous avions débattu sur le forum FreeEOS comme dans celui-ci (différent, même s'il s'agit des mêmes réseaux), il semblait que les PIX posent certains problèmes. Problèmes qui peuvent certainement se résoudre, mais dont Titofe n'a si j'ai bien compris pas la totale maitrise. C'est un peu pour cette raison que je le poussais vers SME ou FreeEOS qui devraient à mon avis pouvoir faire la même chose que les PIX, avec une sécurité sinon égale, au moins suffisante, et que Titofe peut maitriser totalement.

Maintenant, c'est sûr qu'il faut bien peser le pour et le contre de chaque possibilité, et que cette SME plantée entre PIX et LAN est un peu curieuse. Elle n'est probablement pas à sa place : soit elle devrait remplacer le PIX - ce que j'ai affirmé puisque Titofe nous a dit qu'elle ne pouvait plus rester comme avant serveur seul dans le LAN, soit elle devrait rester où elle était...

Donc, Titofe, à toi de voir : si tu penses réellement que la SME ne doit plus être serveur seul, tu as je pense le choix entre virer ton PIX et le remplacer par ta SME, ou nous dire en détails ce que tu veux faire pour qu'on puisse tenter de te conseiller quelque chose qui tienne la route...

Et pour résumer mes propos, je dirais que si j'étais devant le cas, je préférerais une solution peut-être pas si parfaite, mais que je maitrise parfaitement et dont je connais l'efficacité et les limites, plutôt que "bricoler" un routeur que je connais mal et inhiber une partie de sa sécurité en forwardant des ports...

[Titofe]

Tout à bord je tiens à vous remercier tout les deux pour vos informations, mais surtout vos idées et le débat qui en découle.

Je vais essayer d’être le plus clair possible aussi pour le pourquoi que pour les explications :

1) Le réseau que je m’occupe est sur trois site distant, c’est trois site on des routeurs Cisco, le principale la ou je suis un PIX 501, les deux autres ne sont pas des PIX mais je ne sais plus exactement quelle sont les modèles, j’y suis que très rarement car je travaille la plus part tu temps avec c’est site par le biais du tunnel VPN que je rappel sont créer sur les routeurs.
Autre chose que jibe à rappeler et je vois qu'il n’a pas oublié c’est que les routeurs des trois sites je ne les gère pas, je m’explique j’ai repris le réseau de notre collectivité il n’y a qu’un an à temps complet, avant je ne fessais que de brève apparition, mon employeur ne voyais pas les choses comme aujourd’hui, donc quand j’ai repris je n'ai pas voulu aussi prendre en charge les routeurs Cisco car je n’ai aucune connaissance de ce produit et d’autre chat à fouetter vu le non suivi qu’il y avait avant …

2) Pourquoi vouloir mettre mon Serveur en passerelle ? Ben comme je l’ai dit j’ai aucune gestion des routeurs est surtout aucune information de ce qui si passe, je penser quand l’interposant entre le routeur et les ordinateurs du réseau je pourrais mieux gère ce qui si passe, sans pour autant créer des grands changements, car pour obtenir quelque chose de ceux qui s’occupe de nos routeurs faut pas être presser puis surtout être assez pour vouloir les comprendre, je pense surtout qu’on ne doit plus être un si bon contrat que ça pour eux surtout depuis qu’il sont de grande communes en gestion, ils on du oublier que c’est des petit collectivité comme nous qui les avons lancer dans leur début …

Donc âpres nombre fois ou j’ai relu et relu ce que vous m’avez dit, je suis prêt à essayez d’enlever mes routeurs du réseau, mais je vais encore avoir besoin de votre aide (Je n’ai pas dit que j’allais le faire mais je suis prés à étudier la question de très très prêt ).

Question :

1) Quelle sont les risques que je peux avoir de mettre SME7 en frontale, me dit pas Zéro, le risque Zéro n’existe pas …

2) Les tunnel VPN sont il bien prit en charge par SME7, car comme ce n’ai pas installé d’origine on est endroit de ce poser des questions.

Je n’ai pour ce soir que ses deux question, mais si vous penser à quelque chose que je n’ai pas remarqué mais qui a sont importance, faites en moi la remarque.

Encore Merci pour votre aide, en espérant que vous n’allez pas me lâcher en court de route …


Titofe

[jibe]

Salut,

en espérant que vous n’allez pas me lâcher en court de route …

Difficile de promettre (on peut toujours avoir des priorités qui nous empêchent de passer sur Ixus pendant quelque temps), mais normalement, ce n'est pas notre style ni à sibsib ni à moi : quand on peut donner un coup de main, on le fait. Et puis, il y a tous les autres membres d'Ixus et du forum FreeEOS qui peuvent aussi aider => Pas lieu de paniquer

1) Quelle sont les risques que je peux avoir de mettre SME7 en frontale, me dit pas Zéro, le risque Zéro n’existe pas …

Non, le risque zéro n'existe pas, et inviolé ne veut pas dire inviolable. Mais je n'ai jamais entendu parler d'une SME piratée sauf modifications de la version de base (entre autres, ceux qui ont changé la version de PHP ont eu des problèmes). Je ne sais pas si sibsib a d'autres infos de son coté ?

Donc, sur le fond, je pars assez confiant. Maintenant, comme le soulignait sibsib, il faut comparer la sécurité entre tes PIX ou autres et SME. Pour ma part, je ne sais qu'en dire... Les routeurs CISCO ne sont pas vraiment du bas de gamme et je pense donc qu'ils sont bien sécurisés, quant à dire s'ils le sont plus ou moins que SME, je ne sais pas. Je redis la seule chose que je puisse : moins bonne ou meilleure, la SME me parait apporter une sécurité "suffisante"...

Il faut malgré tout tenir compte du fait qu'un CISCO offre moins de possibilités d'interventions malveillantes, qui pourraient arriver sur SME via les différents services qui n'existent pas sur CISCO. D'un autre côté, en cas d'attaque, il sera plus facile d'en trouver l'origine et d'y remédier avec une SME qu'avec tes CISCO...

Bref, pour moi, les moins sont des failles potentielles mais n'ayant jamais été avérées, alors que les plus sont bien concrets et réels. Ceci dit, ça reste un avis personnel, basé sur ce que je sais et ce que je ferais personnellement avec ce que je sais, mais comme je ne connais même pas les conséquences d'une perte ou d'un détournement de données, c'est impossible de s'engager plus et ça reste à toi de prendre la décision finale.

2) Les tunnel VPN sont il bien prit en charge par SME7, car comme ce n’ai pas installé d’origine on est endroit de ce poser des questions.

Oui. IPSEC, comme tu le sais, est monté d'origine sur FreeEOS. Pour SME, il n'y a que PPTP de base, mais tu peux installer OpenVPN ou FreeSwan : tu trouveras de nombreux posts ici de gens qui l'ont fait avec succès.

A toi de voir maintenant. J'espère que sibsib (et pourquoi pas d'autres) réagira et complètera ce post ou te mettra en garde si je me suis un peu trop avancé. Perso, à ta place, je virerais les CISCO vu le peu de moyens d'intervenir dessus. Mais comme je te l'ai dit, je n'ai qu'une partie des données, et ne suis pas réellement à ta place...

[sibsib]

Hello,

Pour le coup, avec l'explication que tu donnes (routeurs/PIX mis en place par une société tierce qui n'est plus très motivée), j'ai tendance à penser qu'un triplet de serveurs SME feraient mieux ton affaire, à condition de tout de même prendre au sérieux les logs de ces différents SME/FreeOS.

Sur la partie VPN, je n'en ai jamais monté sur SME, mais cet usage est assez fréquent pour pouvoir penser que la sécurité est présente.

Je confirme que le risque 0 n'existe pas. En fait, quel est le risque acceptable ?

Dernier point (JiBé, ne cries pas ) : En mettant SME en frontal, tu ne prends pas je pense un risque démesuré. Cependant, si la machine est compromise, elle est en danger direct. Donc, si ton SME sert à stocker des données hyper confidentielle, elles sont un peu plus en danger potentiel que dans une architecture à deux machines - si les deux machines ont un pare feu. Sinon, si tout repose sur un routeur/pare feu central, a mon avis le niveau de sécu (all in a box versus a lot of box est très proche.

Un indice, pour tes PIX : en un an, combien de mises à jour d'IOS ontt été faites par ton prestataire ? Si c'est moins de deux, tu as un problème de sécurité potentiel (à valider selon ta config, toutes les alertes PIX ne concernent pas forcément toutes les conf.

Mais il y a un Mais :

Je pense qu'il y en a un qui se reconnaitra
Si tu fais ceci, tu passes d'une solution externalisée à une solution posée sur tes épaules. Je tiens à le rappeler, parce que ton patron verra probablement les économies à faire à $%#&! ton prestataire dehors, mais sera peut-être également le premier à raler si çà ne tourne pas rond. De plus, tu es peut-être seul sur ce dossier, et je te rappelles qu'en principe, les vacances, çà existe. Je suis peut-être un peu (énormément !!!) rabat-joie sur ce coup là, mais souvent les techniciens oublient ce petit paramètre, je me permet donc de le rappeler.

En dehors de ceci, dans le cas d'une collectivité, les risques d'intrusions orientées ne sont probablement pas trop élevées, et le risque inérent pas forcément monstrueux non plus.

En résumé : je pense que techniquement, çà peut être jouable. Politiquement, il me semble qu'il faut vendre clairement la solution (avec ses points faibles) à ta direction.

A+,
Pascal

[Titofe]

Merci pour votre aide, je sais, je me répète, mais vous ne pouvez pas savoir ce que ça peut faire de ce sentir moins seul.
« De plus, tu es peut-être seul sur ce dossier » Oui je suis seul.

- « la SME me parait apporter une sécurité "suffisante »
On est passé sur des routeurs Cisco il y a 4 ans pour des besoins de VPN, avant c’étais un Alcatel sur le site principale les 2 autres sites n’avais même pas internet, notre fournisseur nous a proposer cette marque car elle ne fessait plus l’autre …
Donc le choix Cisco :
1- c’est ce que vendez notre prestataire
2- on à changer non pas pour un besoin de sécurité, mais pour un besoin de VPN, bien sur je ne veux pas dire qu’on est contre d’être bien protéger, bien au contraire.

- « Maintenant, si je n'affirmerai effectivement pas que SME est meilleur que PIX (sur la simple question sécurité, comparons ce qui peut l'être), je serai quand même curieux de savoir où SME se situerait... »
Moi aussi, comme ça mon problème serai régler …

- « j'ai tendance à penser qu'un triplet de serveurs SME feraient mieux ton affaire », je commence à penser la même chose, comme à déjà dit jibe je préfère utiliser quelque chose que je connais que de partir à l’aventure, « à condition de tout de même prendre au sérieux les logs de ces différents SME/FreeOS » malheureusement je n’ai plus pour le moment sur mon réseau de Serveur Free-EOS, pour une seul raison, le noyau ne prend pas en charge l’équipements de mes serveur, à regret, car j’ai commencer chez moi avec Free-EOS qui ma fait connaître deux monde, Linux et Free-EOS/SME, mais je compte beaucoup sur la Version 2, pour retrouver mon 1er amour … Ps : je n’ai rien à redire sur SME.

- « En mettant SME en frontal, tu ne prends pas je pense un risque démesuré. » c’est ce que j’avais cru comprendre, « Cependant, si la machine est compromise, elle est en danger direct.» Comment ça compromise !, ou plutôt comment faire pour quelle soit compromise ? « Donc, si ton SME sert à stocker des données hyper confidentielle, elles sont un peu plus en danger potentiel que dans une architecture à deux machines » c’est un peut pour ça que je ne suis pas encore très motiver à le faire, comme je l’ai déjà dit, à aucun moment je ne veux risquer la sécurité du réseau et ça restera ma priorité.

- « Un indice, pour tes PIX : en un an, combien de mises à jour d'IOS ont été faites par ton prestataire ? » encore un des problèmes de mon architecture réseau, je n’ai ni aucune vu, ni information sur ce qui ce passe sur les routeurs et le peut de fois ou je leur demande quelque chose il leur faut un temps fous pour au moins m’entendre, ce qui me laisse douter sur la suivi de nos routeurs, la dernier fois ou je leur est demander de faire quelque chose sur le routeur ça à pris 5 semaine pour que je puisse avoir la personne, mais c’est parce que on à tapez sur la table.

- « De plus, tu es peut-être seul sur ce dossier, et je te rappelles qu'en principe, les vacances, çà existe. Je suis peut-être un peu (énormément !!!) rabat-joie sur ce coup là, mais souvent les techniciens oublient ce petit paramètre, je me permet donc de le rappeler. » Je confirme, mais moi je joue le jeu, il peuve me déranger dans la limite du raisonnable et du possible, tout à étais fait pour que je puisse leur venir en aide quand je ne suis pas là, comme tout travaille mérite salaire, jusqu’à maintenant il me le rende bien, comme je le dit je joue le jeu car ça m’apporte aussi, je ne connais pas beaucoup de collectivité ou on donne ça chance à quelqu’un, moi ça me permet de me perfectionner, eux d’avoir un réseau avec un très bon suivi, chose qui n’existé pas avant mon arriver. Ps : je ne ferais pas de débat la dessus, c’étais juste une parenthèse à ce que sibsib avait dit.

Bon ce que je retiens de tout ça :

- Vous m’avez déjà pas mal écuyer, à moi de trouver mon chemin, même pour vous dire j’ai déjà quelque truc en tête, mais il faut que j’approfondisse les choses …

- Pour moi, maintenant il est clair que la situation des routeurs n’est plus gérable, ou je fais une formation sur ce produit ou je fais en sorte que ce qui protège mon réseau soit aussi efficace, mais que je s’ache le gérer …, il y a d’autre solution que je connais beaucoup mieux, je pense à IPCop.

Je vous remercie pour votre aide et pour vos idées, je vais revoir la structure de mon réseau assez rapidement car je dois remettre mon budget pour 2007 très bientôt et le contrat avec le prestataire s’arrête cette année, donc voir si on le renouvelle, d’où mes questions.

Merci encore.


Titofe

[kluc]

Mon problème est plus simple que les vôtres. Mais je suis nouveau sur Free-Eos et je ne sais pas ou regarder. . Avant mon serveur/firewall/routeur fonctionnait sous Suse. Je pouvait me connecter avec le client cisco vpn a mon travail. J'ai changer mon serveur suse pour un Free-eos. Depuis, mon client cisco se connecte au réseau de mon entreprise mais je ne peut même pas faire un ping sur une machine a mon travail.


Donc mon réseau configurer comme ceci:

Pc sous XP avec Cisco VPN client --> Serveur Free-EOS --> internet --> Cisco PIX --> réseau d'entreprise.


Merci de votre aide