Le 29/03/2023 à 17:20, Raphael Mazelier a écrit :
J'ai peut être mal compris la problématique mais une solution simple
serait de fournir un vpn hébergé dans vos infras avec une IP fixe que
vous avez déjà fourni à vos clients.
+1
Chacun de tes collaborateur en remote se connecte donc via le vpn
fourni et default tout dedans. Soit ta 3eme solution. Cela me parait
beaucoup plus simple que d'essayer de mettre des proxy multi
protocolaire.
Cdt,
On 29/03/2023 16:43, DUVERGIER Claude wrote:
Au vu des réponses, je comprends que j'ai mélangé différents points
sans être totalement clair alors je reprends avec plus de contexte.
Dans le cadre de nos prestations des collègues sont amenés à
travailler (pendant quelques jours, semaines ou mois) sur les sites
des clients (production ou préproduction) et notamment se connecter
au backoffice web, ou serveur de stockage FTP.
A. Parfois c'est un accès direct sans filtrage d'adresse IP.
B. Parfois c'est un accès direct mais uniquement autorisé depuis des
adresses IP préalablement déclarées.
C. Parfois c'est via un serveur bastion du client (j'ai eu les cas
d'un accès SSH et d'autres via RDP) dont l'accès et uniquement
autorisé depuis des adresses IP préalablement déclarées.
Pour le cas A : aucun problème (sauf à la limite quand notre staff
télétravaille depuis des pays "exotiques" que le client aurait par
défaut bloqué de son côté : mais c'est rare).
Pour les cas B et C : on communique au client les adresses IP
publiques qu'utilisent nos agences pour accéder à Internet, le client
les autorise et tout fonctionne (généralement pas du premier coup il
est vrai :P).
Mais quand le collègue est en télétravail il surfe via sa connexion
Internet personnelle et donc via une IP que le client ne connaît pas.
Il pourrait communiquer son IP personnelle au client qui n'aurait
qu'à la rajouter : mais ça prends généralement du temps (le client
doit contacter son prestataire, etc.) et parfois le collègue n'a
carrément pas d'adresse IP fixe (certains FAI, ou les clients nomades
en connexion cellulaire).
Alors, ce qu'on a fait dans un premier temps c'est mettre en place un
serveur proxy HTTP (Squid) dont l'accès à Internet passe par une des
adresses IP communiquées au client (le serveur est hébergé en local
dans nos locaux). Ça fonctionne pour l'HTTP, pas pour le FTP, SSH,
RDP qui sont des protocoles d'accès que certains clients nous
demandent d'utiliser.
Pour éviter d'ouvrir à tout vent ce serveur proxy, il n'est pas
accessible sur Internet : pour le contacter alors qu'on est en
télétravail/nomade on doit passer par notre service de VPN.
Ce service VPN existait déjà avant ces problématique d'accès aux BO
des clients et réponds à un tout autre besoin : permettre aux
télétravailleurs/nomades d'accéder à certaines ressources locales
(auto hébergées) du SI de notre société. Et il est configuré pour que
seul le trafic destiné au LAN y arrive (avec l'exemple d'une vidéo
YouTube consultée pendant le télétravail qui ne passerait donc pas
via le VPN).
Mes solutions envisagées :
* Trouver un outil qui "sache" proxyfier de l'HTTP, FTP, SSH, RDP, etc.
Un proxy en SOCKS5 peut faire tout ça ?
* Mettre en place, en interne, un bastion sous la forme d'un bureau
virtuel où l'utilisateur aurait navigateur web, client FTP/SSH/RDP
* Capter tout le trafic réseau via le tunnel VPN : ainsi les
collaborateurs apparaissent comme étant tout le temps "au bureau".
Vu le nombre de prestation et la durée de celle-ci, je préfère avoir
une solution qui ne me demande pas de configuration dédiée à chaque
besoin.
Il existe évidemment plein de solutions techniques que le client
auraient pu mettre en place pour simplifier le tout (dans le style de
Boundary de HashiCorp, Envoy Proxy de Lyft, etc.) mais je dois
généralement composer avec ce qu'ils ont.
Je me dis que je ne dois pas être le seul à avoir ces problématiques
d'accès filtrés aux ressources des clients ? Si ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Daniel Huhardeaux
+33.368460...@tootai.net sip:8...@sip.tootai.net
+41.445532...@swiss-itech.ch tootaiNET
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
