Hello, On a les mêmes problématiques chez nous parfois, et on a un HAProxy qui est servis au travers d'un VPN. Si jamais ca peut donner des idées :)
++ Le mer. 29 mars 2023 à 16:40, <[email protected]> a écrit : > Salut, > > Comme suggéré par d'autres, tu peux faire du split tunnel et ajuster les > routes du trafic des clients VPN. Ca se fait aussi bien dans les VPN > classiques (Ikev2, Wireguard et autre OpenVPN) qu'avec ceux des > fabricants de FW. > > Avec des appliances VPN avec une interface web de type IPDiva (si il > existe encore) ou Pulse Secure (mais un peu cher) ca se fait bien aussi. > > Une autre solution peut aussi être de proposer aux salariés ayant besoin > de cet accès un serveur de rebond (faire du RDP dans une session RDP > marche pas trop mal). Tout dépend des besoins et du contexte réseau. > > Cordialement > > Le 29/03/2023 à 14:41, DUVERGIER Claude a écrit : > > Bonjour la liste, > > > > Certains de nos clients limitent les accès a leur SI (site en > > préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4. > > > > On leur communique donc nos adresses IP publiques (celles pour l'accès à > > Internet), il les autorisent et voilà. > > > > Sauf qu'avec le télétravail, le staff qui travaille depuis leur > > connexion Internet personnelle n'utilisent pas l'une des adresse IP > > autorisée et sont donc bloqués. > > > > On a bien un service VPN qui permet aux collaborateurs en télétravail > > d’accéder au LAN et SI de la société, mais il est configuré pour ne pas > > recevoir le trafic réseau "autres" (celui qui irait sur Internet) : > > l'idée étant que l'employé qui veut se mater une vidéo musicale en fond > > ou se faire un film en streaming pendant sa pause n'utilise pas > > inutilement la bande passante du service VPN. > > > > Historiquement le problème ne concernait que l'accès HTTP : on a donc > > installé un proxy web (Squid) en interne (accessible en VPN) que > > l'employé peut utiliser. Le trafic passe donc de son ordinateur au > > serveur proxy via le tunnel VPN, et après ce serveur accède au SI du > > client via une adresse autorisée. > > > > Mais avec le temps, se pose la question de l'accès à un serveur FTP, > > puis en SSH, puis en RDP, etc. > > > > J'ai l'impression que pour chaque protocole je vais devoir installer un > > nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là, > > autant leur configurer une session utilisateur sur un Ubuntu (accessible > > en bureau à distance) qui utilise une des adresses IPs publiques > > autorisée et ça fonctionnera pour tout les protocoles. > > Mais bon, le RDP c'est peu pratique pour l'utilisateur. > > > > Vous avez une façon de faire pour ces cas là ? Une solution technique > > (tel qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de > > protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le > > trafic et puis c'est marre ? > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- -- Rostan KEZAL Network Engineer | [email protected] <[email protected]> | FSM Paris, 85 rue du Faubourg Saint-Martin, 75010 Paris | Découvrez leboncoin Groupe <https://leboncoingroupe.com/> ! --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
