Ok maintenant je vois ce que j’avais lu trop vite dans le message de départ.
C’est un VPN unique pour accéder aux ressources chez les clients. Ce que je pige mal, c’est que ces ressources chez les client semblent plutôt être du domaine interne donc pas exposées, mais supposons pour le moment qu’elles sont exposées à vos IP seulement. Donc je dis alors comme Paul (Paul a toujours raison de toute façon): chacun des clients VPN (WG, Forti ou autre) doit avoir les routes vers les IP publiques des clients également routées dans le tunnel. Encore plus secure mais complexe et coûteux. -mettre un Fortigate chez chaque client, et un chez vous -monter un tunnel IPsec entre le Forti du client et un VDOM de votre Fortinet -le salarié se connecte dans un VPN spécifique à chaque client (dans le bon VDOM) et peut accéder aux IP privées chez le client. S’il doit bosser sur un autre client il se déco/reco sur l’autre VDOM (ip publique ou port différent, à valider) Le problème de ce modèle, c’est que si vous avez plus de 9 clients, faut un Fortigate qui supporte plus de 10 VDOM, et ça commence à taper. Vaut mieux mettre plusieurs petits Forti. > Le 29 mars 2023 à 15:14, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a écrit > : > > Hello, > > On Wed, 29 Mar 2023 14:41:11 +0200 > DUVERGIER Claude <frnog...@claude.duvergier.fr> wrote: > >> Certains de nos clients limitent les accès a leur SI (site en >> préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4. >> >> On leur communique donc nos adresses IP publiques (celles pour l'accès à >> Internet), il les autorisent et voilà. > > Fais la meme chose : tu leur demandes leurs IP, tu les annonces dans ton > VPN pour tes users, et tu mets a jour les regles de ton FW pour accepter le > traffic vers ces IP en plus de tes IP internes, et le laisser ressortir sur > Internet. > > Paul > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
