Salut,
Comme suggéré par d'autres, tu peux faire du split tunnel et ajuster les
routes du trafic des clients VPN. Ca se fait aussi bien dans les VPN
classiques (Ikev2, Wireguard et autre OpenVPN) qu'avec ceux des
fabricants de FW.
Avec des appliances VPN avec une interface web de type IPDiva (si il
existe encore) ou Pulse Secure (mais un peu cher) ca se fait bien aussi.
Une autre solution peut aussi être de proposer aux salariés ayant besoin
de cet accès un serveur de rebond (faire du RDP dans une session RDP
marche pas trop mal). Tout dépend des besoins et du contexte réseau.
Cordialement
Le 29/03/2023 à 14:41, DUVERGIER Claude a écrit :
Bonjour la liste,
Certains de nos clients limitent les accès a leur SI (site en
préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4.
On leur communique donc nos adresses IP publiques (celles pour l'accès à
Internet), il les autorisent et voilà.
Sauf qu'avec le télétravail, le staff qui travaille depuis leur
connexion Internet personnelle n'utilisent pas l'une des adresse IP
autorisée et sont donc bloqués.
On a bien un service VPN qui permet aux collaborateurs en télétravail
d’accéder au LAN et SI de la société, mais il est configuré pour ne pas
recevoir le trafic réseau "autres" (celui qui irait sur Internet) :
l'idée étant que l'employé qui veut se mater une vidéo musicale en fond
ou se faire un film en streaming pendant sa pause n'utilise pas
inutilement la bande passante du service VPN.
Historiquement le problème ne concernait que l'accès HTTP : on a donc
installé un proxy web (Squid) en interne (accessible en VPN) que
l'employé peut utiliser. Le trafic passe donc de son ordinateur au
serveur proxy via le tunnel VPN, et après ce serveur accède au SI du
client via une adresse autorisée.
Mais avec le temps, se pose la question de l'accès à un serveur FTP,
puis en SSH, puis en RDP, etc.
J'ai l'impression que pour chaque protocole je vais devoir installer un
nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là,
autant leur configurer une session utilisateur sur un Ubuntu (accessible
en bureau à distance) qui utilise une des adresses IPs publiques
autorisée et ça fonctionnera pour tout les protocoles.
Mais bon, le RDP c'est peu pratique pour l'utilisateur.
Vous avez une façon de faire pour ces cas là ? Une solution technique
(tel qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de
protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le
trafic et puis c'est marre ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
