Intégration IPCOP dans architecture avec VPN existants

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Intégration IPCOP dans architecture avec VPN existants

Messagepar SeiyaG » 08 Juin 2010 09:26

Bonjour à tous,

Je suis en alternance (donc excusez ma question peut être simple pour certains…^^) et mon boss me demande de faire du filtrage d'url sur les 2 sites de l'entreprise où je travaille.

Les 2 sites ont leur propres accès web qui passent par le routeur et sont reliés par un VPN configuré sur ces 2 routeurs (sur lesquels je n'ai pas la main, et notre prestataire ne veut pas me donner le fichier de config du routeur... :evil:)

Sur ces 2 sites (que j'appellerai A et B pour plus de clarté) il y a un serveur de fichiers et un serveur web avec une appli intranet. Donc les machines de A doivent avoir accès en permanence au serveurs de B et vice versa.

Je suis à l’heure actuelle en plan d’adressage 192.168.1.0/24 pour le site A et 192.168.2.0/24 pour le site B . La passerelle ayant pour adresse 192.168.1.2 pour le site A et 192.168.2.2 pour le site B.

J'ai configuré un ipcop avec les 3 interfaces RED+GREEN+YELLOW pour chaque site, donc ma question est de savoir comment je dois m’y prendre au niveau de mon plan d’adressage pour intégrer mon proxy juste derrière mon routeur ?

Pour être plus concret, j’envisage de faire la chose suivante :

Je change l’ip de ma passerelle et je mets 192.168.10.2 sur le site A, que je raccorde à l’interface RED de mon ipcop, j’injecte dans mon réseau LAN via l’interface GREEN avec pour IP pour cette interface 192.168.1.2. Même chose pour le site B, je mets 192.168.20.2 en passerelle qui pointe sur l’interface RED et je mets 192.168.2.2 sur la GREEN.

Du coup pour mes postes clients, il n’y a pas de changements c’est toujours la même IP pour la passerelle, mais comment cela va-t-il se passer pour la connexion au site distant via le vpn ? Est-ce que je dois configurer quelque chose pour que mes machines se voient toujours entre A et B ? Ou est ce que je n'ai rien à faire et c'est l'opérateur qui va modifier la configuration de chaque routeur pour qu'ils continuent à se voir ?

Merci d’avance pour vos conseils et éclaircissements ! :)
SeiyaG
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Juin 2010 09:17

Re: Intégration IPCOP dans architecture avec VPN existants

Messagepar ccnet » 08 Juin 2010 09:34

SeiyaG a écrit:mon boss me demande de faire du filtrage d'url sur les 2 sites de l'entreprise où je travaille.

Alors utilisez des outils prévu pour ce travail : http://forums.ixus.fr/viewtopic.php?t=43457
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar SeiyaG » 08 Juin 2010 10:36

Merci pour votre réponse mais je dois également mettre en place une DMZ pour accueillir un petit serveur ftp et dans le futur un site web.

Je pense donc que l'outil que j'ai choisi est le bon, non ?
SeiyaG
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Juin 2010 09:17

Messagepar ccnet » 08 Juin 2010 10:58

Metrre en place une dmz -> firewall
Mettre en place un proxy -> proxy et pas sur le firewall comme nous l'expliquons depuis ...

Vous ne dites pas quelle est la solution actuelle de firewalling.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar SeiyaG » 08 Juin 2010 11:13

Hé bien actuellement le firewall est géré par le prestataire qui nous fournit la liaison sdsl entre les 2 sites. (enfin quand je dis géré... c'est les règles qui sont créées sur le routeur, il n'y a pas de firewall à part)

C'est pour ça que je me dirige vers Ipcop, pour mettre en place une DMZ, en y greffant squid.

Je m'y prends mal ? Vous ne mettriez pas squid sur Ipcop ?
SeiyaG
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Juin 2010 09:17

Messagepar ccnet » 08 Juin 2010 11:47

Je m'y prends mal ? Vous ne mettriez pas squid sur Ipcop ?

Oui, non
Lisez vous ce que l'on vous dit dans les liens ? Faites vous des recherches sur le forum ?

Donc pas de firewall mais des routeurs filtrants ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar SeiyaG » 08 Juin 2010 12:15

Oui ! Je fais des recherches, je ne fais que ça ! :oops: (je ne suis pas de ceux qui disent : "je voudrai fère sa silvouplé comment kon fait, et qui engueulent les gens qui donnent de leur temps pour aider quand la réponse ne leur convient pas...")

J'ai lu avec attention le post vers lequel vous me renvoyiez précédemment et donc il n'y a pas de firewall, c'est les routeurs qui filtrent effectivement.

Si vous me dites que la solution que j'envisage est nulle, alors je vais m'orienter sur autre chose, mais dans mon cas, je dois prendre en compte l'existant (le vpn entre les 2 sites) et mettre en place également le ftp.

Vers quoi m'orienter ? Un Debian avec Squid en guise de proxy. Et à coté de ça un firewall sur une autre machine ?

Je pensais être bien parti et en fait je me rends compte qu'au final je vais devoir repartir de zéro... :?
SeiyaG
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Juin 2010 09:17

Messagepar jdh » 08 Juin 2010 14:17

Je peux imaginer que vous maquettez. Alors c'est super, vous pouvez essayer plusieurs schémas !

Un firewall doit d'abord être un firewall avant de réaliser les taches "annexes" :
Taches de firewall :
- gérer la liaison WAN,
- gérer les VPN,
- gérer le filtrage IP (en entrée et en sortie),
- générer des logs,
- ...
Taches annexes :
- tout ce qui est "firewall applicatif" : proxy http, https, ftp, proxy pop, smtp, proxy sip, ...

Nous recommandons de séparer le proxy http et le firewall. Parce qu'il y a du boulot à faire et que cela ne doit pas perturber le filtrage purement IP.

Pour créer un proxy, on peut partir d'une bonne Debian ou d'une solution dédiée (mais fourre-tout) comme Artica, ClearOs, ...


Montrer que l'on comprend les problématiques d'architecture, les flux, est important durant un stage, une éval, ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 08 Juin 2010 19:51

Il est toujours $%#&! d'inserer un routeur à la place d'un cable. On est tous d'accord. Alors la première chose à faire est d'essayer d'avoir un DHCP pour faciliter les ajustements qui seront nécessaires.

Rien n'empèche de monter IPCop de chaque coté avec son RED dans le plan d'adresage actuel. Un nouveau numéro de réseau pour les GREEN/ORANGE, une machine dans chaque GREEN pour tout tester.
Ensuite coup de fil à SFR/ORANGE pour basculer les routeurs en même temps que les réseaux GREEN/RED sont inversés sur les IPCops (et les stations rebranchées comme celle du test).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron