VPN avec limitations?
Résolu/Fermé
A voir également:
- VPN avec limitations?
- Vpn gratuit - Guide
- Vpn comment ça marche - Guide
- Bright vpn - Télécharger - Confidentialité
- Tuxler vpn - Télécharger - Confidentialité
- Hola vpn chrome - Guide
16 réponses
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
38
3 avril 2008 à 08:28
3 avril 2008 à 08:28
bein y suffi de faire un ftp
le coup des fichiers, c'etait un exemple...
Le cas que je dois traiter est connecter une grosse quantitée de clients sur un meme serveur via VPN, mais être sur qu il ne puissent pas communiquer entre eux, mais uniquement avec mon serveur.
Le cas que je dois traiter est connecter une grosse quantitée de clients sur un meme serveur via VPN, mais être sur qu il ne puissent pas communiquer entre eux, mais uniquement avec mon serveur.
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
38
3 avril 2008 à 08:40
3 avril 2008 à 08:40
mais ton serveur te sert a quoi???
exenge, http, ftp, virtualistion, sauvegarde,mysql..........
exenge, http, ftp, virtualistion, sauvegarde,mysql..........
A echanger des données, sous forme XML par exemple (communication directement en http, pas de possibilitée d'utiliser de protocoles comme ftp, samba).
ce que je veux pas, c'eest qu'une fois connecté au VPN, un "client" puisse se connecter a un autre "client" et lui envoie des données éronnées.
ce que je veux pas, c'eest qu'une fois connecté au VPN, un "client" puisse se connecter a un autre "client" et lui envoie des données éronnées.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
38
3 avril 2008 à 09:13
3 avril 2008 à 09:13
ok
y te suffi de mettre quelque chose comme apache (serveur html) et de creer des dossier avec limitation d'acces
y te suffi de mettre quelque chose comme apache (serveur html) et de creer des dossier avec limitation d'acces
Le serveur que je vais utiliser est un serveur specifique, que je vais devoir programmer...
Je ne veux pas faire ceci au niveau serveur, mais au niveau reseau.
Imagine le cas suivant:
une entreprise qui ouvre des cannaux VPN pour des clients. les gens se connectent avec leurs differents ordinateurs, le but étant quils aient acces a des ressources de l'entreprise, mais qu'ils puissent pas avoir acces aux ordinateurs des autres...
exemple: soit S le serveur, A B C les 3 clients (dans la realité c est plusieurs milliers, a prendre en compte pour la configuration du truc)
sur le VPN, S = 192,168,0,1
A = 192,168,0,11
B = 192,168,0,12
C = 192,168,0,13 (toutes refilées par le DHCP: pool = 192,168,0,11 å 192,168,0,250)
je voudrais que le serveur de VPN (qui pourrait etre a l adresse que tu veux) mette un genre de restriction faisant que si un paquet venant du pool dhcp n est pas en direction de 192,168,0,1, ou à ta guise si un ordinateur du pool dhcp veut etablir une communication avec un autre ordinateur de ce pool, les paquets de cette transmission son tout simplement rejetés, perdus.... (et meme si pour le bonus je peux avoir un log m'indiquant ca, ce serai bien)
immagines que chez toi, tu aies ton ordi avec tout tes partages de fichiers, ton ftp, ton serveur web, ton serveur streaming, etc..... tu te connectes au VPN de ta boite pour prendre des fichiers sur le serveur, tes collegues en font autant, mais tu n as pas envie qu'un de tes collegues accede a ton serveur web, ftp, streaming qui sont sur ton ordi perso
Je ne veux pas faire ceci au niveau serveur, mais au niveau reseau.
Imagine le cas suivant:
une entreprise qui ouvre des cannaux VPN pour des clients. les gens se connectent avec leurs differents ordinateurs, le but étant quils aient acces a des ressources de l'entreprise, mais qu'ils puissent pas avoir acces aux ordinateurs des autres...
exemple: soit S le serveur, A B C les 3 clients (dans la realité c est plusieurs milliers, a prendre en compte pour la configuration du truc)
sur le VPN, S = 192,168,0,1
A = 192,168,0,11
B = 192,168,0,12
C = 192,168,0,13 (toutes refilées par le DHCP: pool = 192,168,0,11 å 192,168,0,250)
je voudrais que le serveur de VPN (qui pourrait etre a l adresse que tu veux) mette un genre de restriction faisant que si un paquet venant du pool dhcp n est pas en direction de 192,168,0,1, ou à ta guise si un ordinateur du pool dhcp veut etablir une communication avec un autre ordinateur de ce pool, les paquets de cette transmission son tout simplement rejetés, perdus.... (et meme si pour le bonus je peux avoir un log m'indiquant ca, ce serai bien)
immagines que chez toi, tu aies ton ordi avec tout tes partages de fichiers, ton ftp, ton serveur web, ton serveur streaming, etc..... tu te connectes au VPN de ta boite pour prendre des fichiers sur le serveur, tes collegues en font autant, mais tu n as pas envie qu'un de tes collegues accede a ton serveur web, ftp, streaming qui sont sur ton ordi perso
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
38
3 avril 2008 à 09:45
3 avril 2008 à 09:45
mais en faite ton vpn n'as rien a voir avec le partage des fichiers.
le genre de solutions que je cherche doit tourner autour du reseau, pas de l application serveur que je vais utiliser. ca peut etre un routeur, un serveur VPN special... je sais pas trop
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
38
3 avril 2008 à 10:11
3 avril 2008 à 10:11
Ha ok
il te faut un routeur adminstrable
il te faut un routeur adminstrable
Connais tu des références de produits qui peuvent permettre de telles restriction?
Es ce que tout les routeurs administrables permettent de le faire ? (bien sur, je parle pas du petit routeur linksys a 80 € du marchand informatique du coin ;) )
Es ce que tout les routeurs administrables permettent de le faire ? (bien sur, je parle pas du petit routeur linksys a 80 € du marchand informatique du coin ;) )
overflow76
Messages postés
466
Date d'inscription
mercredi 26 mars 2008
Statut
Membre
Dernière intervention
1 mai 2008
92
3 avril 2008 à 16:31
3 avril 2008 à 16:31
Sinon tu peux aussi creer un TSE car dans ton cas le VPN ne sert pas a grand chose.
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
38
3 avril 2008 à 19:02
3 avril 2008 à 19:02
c pas faux
PoPoMaster
Messages postés
67
Date d'inscription
lundi 17 mars 2008
Statut
Membre
Dernière intervention
7 avril 2008
7
>
biorn
Messages postés
229
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
27 juin 2008
3 avril 2008 à 21:11
3 avril 2008 à 21:11
Vous vous égarerez un peu non ?
Tu veux simplement obliger tes clients VPN à connecter un serveur et juste ce server soit :
Si par exemple tu aurais ISA Server ou un pare feu Netasq, Checkpoint .... :
Tu dois créer une règle dans un Firewall du style :
Client VPN ===> Serveur ===> PASS
Client VPN ===> Any ===> BLOCK
Respecte bien l'ordre de ces règles.
Si tu as besoin de conseil matériel n'hesite pas.
à bientôt
Tu veux simplement obliger tes clients VPN à connecter un serveur et juste ce server soit :
Si par exemple tu aurais ISA Server ou un pare feu Netasq, Checkpoint .... :
Tu dois créer une règle dans un Firewall du style :
Client VPN ===> Serveur ===> PASS
Client VPN ===> Any ===> BLOCK
Respecte bien l'ordre de ces règles.
Si tu as besoin de conseil matériel n'hesite pas.
à bientôt
overflow76
Messages postés
466
Date d'inscription
mercredi 26 mars 2008
Statut
Membre
Dernière intervention
1 mai 2008
92
3 avril 2008 à 21:15
3 avril 2008 à 21:15
Oui ca serait la solution la plus ismple mais je n'ai pas vu dans son post quelque chose qui relater de pres ou de loin l'utilisation d'un firewall specifique.
PoPoMaster
Messages postés
67
Date d'inscription
lundi 17 mars 2008
Statut
Membre
Dernière intervention
7 avril 2008
7
3 avril 2008 à 21:20
3 avril 2008 à 21:20
Re
Sa phrase perso sur le premier message :
Si une telle solution est possible, faut il utiliser des outils spécifiques ?
Il peut simplement utiliser une solution libre comme IPCop, avec une machine simple comme un PIII 750 et 512 Mo de RAM.
Comme je le disais l'utilisation d'un boitier comme une Netasq serait des plus simple car :
- elle est serveur VPN
- elle s'occupe de ce type de filtrage
- elle gère un nombre impressionant de connexions simultannées
- il disposerait d'une sécurité optimale en frontal
Il ne faut pas se voiler la face pour opérer sur une config pareil il faut mettre les moyens surtout s'il compte gérer plusieurs connexions. Il faudra même revoir le débit du FAI.
A bientôt
Sa phrase perso sur le premier message :
Si une telle solution est possible, faut il utiliser des outils spécifiques ?
Il peut simplement utiliser une solution libre comme IPCop, avec une machine simple comme un PIII 750 et 512 Mo de RAM.
Comme je le disais l'utilisation d'un boitier comme une Netasq serait des plus simple car :
- elle est serveur VPN
- elle s'occupe de ce type de filtrage
- elle gère un nombre impressionant de connexions simultannées
- il disposerait d'une sécurité optimale en frontal
Il ne faut pas se voiler la face pour opérer sur une config pareil il faut mettre les moyens surtout s'il compte gérer plusieurs connexions. Il faudra même revoir le débit du FAI.
A bientôt
overflow76
Messages postés
466
Date d'inscription
mercredi 26 mars 2008
Statut
Membre
Dernière intervention
1 mai 2008
92
4 avril 2008 à 03:33
4 avril 2008 à 03:33
En meme temps si comme tu le suppose il gere un reseau aussi important c'est un peu inquietant qu'il pose ce genre de question non?
PoPoMaster
Messages postés
67
Date d'inscription
lundi 17 mars 2008
Statut
Membre
Dernière intervention
7 avril 2008
7
4 avril 2008 à 08:02
4 avril 2008 à 08:02
Salut,
disons qu'il est vrai que ce genre d'installation demande quand même un tant soit peu de réflexion et d'expérience.
Il faut avant tout poser sur papier, étudier et après commencer à décider de la stratégie à adopter.
De nombreux facteurs entrent en jeux, le débit (évaluation du nombre maximal de connexions simultanées), la sécurité, la stratégie de partage et de mise à jour des documents, le matériel, le coup, les autres solutions, la critique de l'existant .... .
S'il maitrise la partie de l'échange des fichiers, et du serveur le reste, disons, est accessible à condition de se donner les moyens.
L'essentiel est de suivre les 2 règles de filtrage citées sur mon premier message (2 lignes), à ce niveau là ça lui boucle la stratégie d'accès des clients VPN (à condition qu'il ait créé un groupe fixe, une plage d'adressage, pour les clients VPN).
Mais je le répète il faut se donner quelques moyens.
J'ai à peu prêt la même stratégie chez un ami sauf que la Netasq traite des accès à des partages par de l'IPSec. En PPTP ça reste plus simple à mettre en place et assez sécurisé.
Le vrai problème qu'il va avoir sera au niveau de son débit et cela suivant la taille des documents à transmettre et le nombre de clients simultanés.
à bientôt.
disons qu'il est vrai que ce genre d'installation demande quand même un tant soit peu de réflexion et d'expérience.
Il faut avant tout poser sur papier, étudier et après commencer à décider de la stratégie à adopter.
De nombreux facteurs entrent en jeux, le débit (évaluation du nombre maximal de connexions simultanées), la sécurité, la stratégie de partage et de mise à jour des documents, le matériel, le coup, les autres solutions, la critique de l'existant .... .
S'il maitrise la partie de l'échange des fichiers, et du serveur le reste, disons, est accessible à condition de se donner les moyens.
L'essentiel est de suivre les 2 règles de filtrage citées sur mon premier message (2 lignes), à ce niveau là ça lui boucle la stratégie d'accès des clients VPN (à condition qu'il ait créé un groupe fixe, une plage d'adressage, pour les clients VPN).
Mais je le répète il faut se donner quelques moyens.
J'ai à peu prêt la même stratégie chez un ami sauf que la Netasq traite des accès à des partages par de l'IPSec. En PPTP ça reste plus simple à mettre en place et assez sécurisé.
Le vrai problème qu'il va avoir sera au niveau de son débit et cela suivant la taille des documents à transmettre et le nombre de clients simultanés.
à bientôt.
Merci a tous pour ces réponses.
pour repondre a overflow, Je ne gère pas ce réseau, je suis en stage et je suis chargé de mener une étude sur la faisabilité d'un projet. Mais ayant choisi "softwares" plutot que "réseau" dans ma formation, mes connaissances sur les VPN et les config spécifiques aux firewall sont plutot basiques.
Pour la bande passante utilisée, l application n'est pas gournande pour chaque client, j ai pas les chiffres mais ca doit etre qq ko/minute !!!
Vous me parlez du prix élevé, je pense que meme un prix elevé de depart est acceptable si l'investissement decroit avec le nombre de clients....
il faudrai que le cout par client (une fois le prix de base payé) soit le plus bas possible.
quel est le prix d un bon boitier netasq? (sachant que les connections a gere sont potentielement plusieurs dizaines de millers, donc potentiolement le NETASQ F5500 )
pour repondre a overflow, Je ne gère pas ce réseau, je suis en stage et je suis chargé de mener une étude sur la faisabilité d'un projet. Mais ayant choisi "softwares" plutot que "réseau" dans ma formation, mes connaissances sur les VPN et les config spécifiques aux firewall sont plutot basiques.
Pour la bande passante utilisée, l application n'est pas gournande pour chaque client, j ai pas les chiffres mais ca doit etre qq ko/minute !!!
Vous me parlez du prix élevé, je pense que meme un prix elevé de depart est acceptable si l'investissement decroit avec le nombre de clients....
il faudrai que le cout par client (une fois le prix de base payé) soit le plus bas possible.
quel est le prix d un bon boitier netasq? (sachant que les connections a gere sont potentielement plusieurs dizaines de millers, donc potentiolement le NETASQ F5500 )
PoPoMaster
Messages postés
67
Date d'inscription
lundi 17 mars 2008
Statut
Membre
Dernière intervention
7 avril 2008
7
4 avril 2008 à 09:06
4 avril 2008 à 09:06
salut à toi
Au niveau Netasq j'ai bien peur de t'effrayer avec le F5500 car sonr prix d'achat, si tu te fixe au prix publique est de 39990 euros HT (oui je ne me suis pas trompé) avec 3 mois de MàJ, si tu rajoutes les mise à jour pour 1 an en Privilège je ne te dis pas (contact moi en privé si tu veux les tarifs exact). Sans compter la programmation du boitier qui pour toi sera obligatoirement faite par un "expert Netasq" (certifié).
Mais je ne pense pas qu'il te soit necessaire de te tourner vers un F5500, un boitier infèrieur ferait l'affaire, à toi d'evaluer réellement ton débit.
Comme tu l'as dis, c'est un coup de départ à entrer en amortissement.
Mais tu sais que dors et déja tu imputera de nombreux rôles au réseau car la Netasq prend en compte beaucoup de services simultanéments (antispam, antivirus, vpn, proxy, dhcp, dns, portail d'authentification IN OUT, DMZ ...).
Un F5500 n'est pas nécessaire.
Le coup par client si tu utilise les VPN PPTP est de 0€ (compris dans le prix de base de programmation de la Netasq) car tu aurais simplement à faire un tuto pour les clients (sauf dans le cas ou tu dois intervenir à distance sur les réseau du client pour modifier le filtrage d'un firewall ou proxy). Si tu utilise l'IPSec tu aurais un coup d'environ 26 € HT sur un volume licence de 1000 mais cela impliquerai une pré programmation pour le client et un envoi de fichier de config + tuto, soit environ 20-30 mn de MO par client pour un prestataire.
Comme tu vois l'étude va trés loin, c'est du temps donc de l'argent. Les lignes du dessus sont un court exemple du dossier que te ferait un préstataire mais vraiment un très bref aperçu.
à bientôt.
Au niveau Netasq j'ai bien peur de t'effrayer avec le F5500 car sonr prix d'achat, si tu te fixe au prix publique est de 39990 euros HT (oui je ne me suis pas trompé) avec 3 mois de MàJ, si tu rajoutes les mise à jour pour 1 an en Privilège je ne te dis pas (contact moi en privé si tu veux les tarifs exact). Sans compter la programmation du boitier qui pour toi sera obligatoirement faite par un "expert Netasq" (certifié).
Mais je ne pense pas qu'il te soit necessaire de te tourner vers un F5500, un boitier infèrieur ferait l'affaire, à toi d'evaluer réellement ton débit.
Comme tu l'as dis, c'est un coup de départ à entrer en amortissement.
Mais tu sais que dors et déja tu imputera de nombreux rôles au réseau car la Netasq prend en compte beaucoup de services simultanéments (antispam, antivirus, vpn, proxy, dhcp, dns, portail d'authentification IN OUT, DMZ ...).
Un F5500 n'est pas nécessaire.
Le coup par client si tu utilise les VPN PPTP est de 0€ (compris dans le prix de base de programmation de la Netasq) car tu aurais simplement à faire un tuto pour les clients (sauf dans le cas ou tu dois intervenir à distance sur les réseau du client pour modifier le filtrage d'un firewall ou proxy). Si tu utilise l'IPSec tu aurais un coup d'environ 26 € HT sur un volume licence de 1000 mais cela impliquerai une pré programmation pour le client et un envoi de fichier de config + tuto, soit environ 20-30 mn de MO par client pour un prestataire.
Comme tu vois l'étude va trés loin, c'est du temps donc de l'argent. Les lignes du dessus sont un court exemple du dossier que te ferait un préstataire mais vraiment un très bref aperçu.
à bientôt.
oula! ouim en effet, ca peut faire mal aux fesses... surtout que TOUS les clients seront connectés en premanance ... et vu le noæbres de clients, ca risque de faire tres tres mal ;)
la doc du F2500 dit:
Nb. max. de connexions : 800 000
Nb. max. de tunnels VPN IPSec Gateway-Gateway : 3 750
Nb. max. de clients VPN SSL : 512
Nb. max. de règles de filtrage : 16 384
ca limite les connections a combien en PPTP ? 800 000 ? (je préfererai que ce soit ca plutot que 3750 !!!)
J essaye que meme de regarder d autres solutions quand a la communication des donnés sans passer par VPN, car lensemble semble un tant soit peu couteux!
la doc du F2500 dit:
Nb. max. de connexions : 800 000
Nb. max. de tunnels VPN IPSec Gateway-Gateway : 3 750
Nb. max. de clients VPN SSL : 512
Nb. max. de règles de filtrage : 16 384
ca limite les connections a combien en PPTP ? 800 000 ? (je préfererai que ce soit ca plutot que 3750 !!!)
J essaye que meme de regarder d autres solutions quand a la communication des donnés sans passer par VPN, car lensemble semble un tant soit peu couteux!
PoPoMaster
Messages postés
67
Date d'inscription
lundi 17 mars 2008
Statut
Membre
Dernière intervention
7 avril 2008
7
4 avril 2008 à 11:48
4 avril 2008 à 11:48
salut,
Effectivement il s'agit de 800 000 connexions au total (LAN + WAN), pour les 3750 c'est les connexions par exemple en direct pour les succursalles (par exemple 1 F2500 et 3750 F50 reliées entre elles par des tunnels continus)
Mais attention si ces derniers sont constamment reliés, je deconne pas même s'il utilise chacuns 15 Ko/sec regarde ton débit et la fiabilité de l'accès internet, tu vas être obligé de faire de la redondance, de mettre en place la QOS et tout puis ton débit va être au minimum du symétrique (je pense même plusieurs accés avec répartition de charge).
A bientôt
Effectivement il s'agit de 800 000 connexions au total (LAN + WAN), pour les 3750 c'est les connexions par exemple en direct pour les succursalles (par exemple 1 F2500 et 3750 F50 reliées entre elles par des tunnels continus)
Mais attention si ces derniers sont constamment reliés, je deconne pas même s'il utilise chacuns 15 Ko/sec regarde ton débit et la fiabilité de l'accès internet, tu vas être obligé de faire de la redondance, de mettre en place la QOS et tout puis ton débit va être au minimum du symétrique (je pense même plusieurs accés avec répartition de charge).
A bientôt
en effet, le nombre de connections est vraiment limité, surtout au niveau du prix
Je suis entrain de me pencher sur une solution de tranfert de mes donnees via une solution LAMP / XML en SSL qui est une approche totalement differente, mais qui a le merite d'être beaucoup moins cher !!! (du moins je pense)
Je suis entrain de me pencher sur une solution de tranfert de mes donnees via une solution LAMP / XML en SSL qui est une approche totalement differente, mais qui a le merite d'être beaucoup moins cher !!! (du moins je pense)
