J’avoue que je cerne mal le problème. Un VPN en split-horizon c’est: -trafic vers un des préfixes privés connu -> VPN -reste du trafic -> Internet perso du salarié
Tu t’occupes pas du type trafic, et pas besoin de proxy. Wireguard fait ça très bien. Le seul problème que j’ai avec Wireguard, c’est que pour le moment, il ne sait pas faire de push des routes vers le client, donc c’est le client qui décide en dur dans sa conf des règles du split. Donc un petit malin peut décider de tout passer par le VPN, par exemple pour faire du torrent sans se faire griller. Après, si au niveau du siège, on ne lui permet pas d’accéder à Internet en venant d’une IP VPN, ça règle le problème. Si on veut plus de contrôle sur la config du client, il vaut mieux aller vers du tunnel propriétaire type Forticlient/SSL (et donc Fortigate au bout). Mais j’ai peut-être mal compris pourquoi la solution VPN que vous aviez actuellement ne convenait pas… > Le 29 mars 2023 à 14:41, DUVERGIER Claude <[email protected]> a > écrit : > > Bonjour la liste, > > Certains de nos clients limitent les accès a leur SI (site en préproduction, > backoffice web, serveur FTP, etc.) par adresse IPv4. > > On leur communique donc nos adresses IP publiques (celles pour l'accès à > Internet), il les autorisent et voilà. > > Sauf qu'avec le télétravail, le staff qui travaille depuis leur connexion > Internet personnelle n'utilisent pas l'une des adresse IP autorisée et sont > donc bloqués. > > On a bien un service VPN qui permet aux collaborateurs en télétravail > d’accéder au LAN et SI de la société, mais il est configuré pour ne pas > recevoir le trafic réseau "autres" (celui qui irait sur Internet) : l'idée > étant que l'employé qui veut se mater une vidéo musicale en fond ou se faire > un film en streaming pendant sa pause n'utilise pas inutilement la bande > passante du service VPN. > > Historiquement le problème ne concernait que l'accès HTTP : on a donc > installé un proxy web (Squid) en interne (accessible en VPN) que l'employé > peut utiliser. Le trafic passe donc de son ordinateur au serveur proxy via le > tunnel VPN, et après ce serveur accède au SI du client via une adresse > autorisée. > > Mais avec le temps, se pose la question de l'accès à un serveur FTP, puis en > SSH, puis en RDP, etc. > > J'ai l'impression que pour chaque protocole je vais devoir installer un > nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là, autant > leur configurer une session utilisateur sur un Ubuntu (accessible en bureau à > distance) qui utilise une des adresses IPs publiques autorisée et ça > fonctionnera pour tout les protocoles. > Mais bon, le RDP c'est peu pratique pour l'utilisateur. > > Vous avez une façon de faire pour ces cas là ? Une solution technique (tel > qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de protocole) > ? Ou alors reconfigurer le VPN pour qu'il accepte tout le trafic et puis > c'est marre ? > > -- > Duvergier Claude > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
