Pourquoi ne pas partir sur un bastion avec rupture protocolaire en passant par un vpn en split tunellîg ?
Le mer. 29 mars 2023 à 14:41, DUVERGIER Claude <frnog...@claude.duvergier.fr> a écrit : > Bonjour la liste, > > Certains de nos clients limitent les accès a leur SI (site en > préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4. > > On leur communique donc nos adresses IP publiques (celles pour l'accès à > Internet), il les autorisent et voilà. > > Sauf qu'avec le télétravail, le staff qui travaille depuis leur > connexion Internet personnelle n'utilisent pas l'une des adresse IP > autorisée et sont donc bloqués. > > On a bien un service VPN qui permet aux collaborateurs en télétravail > d’accéder au LAN et SI de la société, mais il est configuré pour ne pas > recevoir le trafic réseau "autres" (celui qui irait sur Internet) : > l'idée étant que l'employé qui veut se mater une vidéo musicale en fond > ou se faire un film en streaming pendant sa pause n'utilise pas > inutilement la bande passante du service VPN. > > Historiquement le problème ne concernait que l'accès HTTP : on a donc > installé un proxy web (Squid) en interne (accessible en VPN) que > l'employé peut utiliser. Le trafic passe donc de son ordinateur au > serveur proxy via le tunnel VPN, et après ce serveur accède au SI du > client via une adresse autorisée. > > Mais avec le temps, se pose la question de l'accès à un serveur FTP, > puis en SSH, puis en RDP, etc. > > J'ai l'impression que pour chaque protocole je vais devoir installer un > nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là, > autant leur configurer une session utilisateur sur un Ubuntu (accessible > en bureau à distance) qui utilise une des adresses IPs publiques > autorisée et ça fonctionnera pour tout les protocoles. > Mais bon, le RDP c'est peu pratique pour l'utilisateur. > > Vous avez une façon de faire pour ces cas là ? Une solution technique > (tel qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de > protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le > trafic et puis c'est marre ? > > -- > Duvergier Claude > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
