Bonjour la liste,
Certains de nos clients limitent les accès a leur SI (site en
préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4.
On leur communique donc nos adresses IP publiques (celles pour l'accès à
Internet), il les autorisent et voilà.
Sauf qu'avec le télétravail, le
J’avoue que je cerne mal le problème.
Un VPN en split-horizon c’est:
-trafic vers un des préfixes privés connu -> VPN
-reste du trafic -> Internet perso du salarié
Tu t’occupes pas du type trafic, et pas besoin de proxy.
Wireguard fait ça très bien.
Le seul problème que j’ai avec Wireguard, c’es
Pourquoi ne pas partir sur un bastion avec rupture protocolaire en passant
par un vpn en split tunellîg ?
Le mer. 29 mars 2023 à 14:41, DUVERGIER Claude
a écrit :
> Bonjour la liste,
>
> Certains de nos clients limitent les accès a leur SI (site en
> préproduction, backoffice web, serveur FTP,
Hello,
On Wed, 29 Mar 2023 14:41:11 +0200
DUVERGIER Claude wrote:
> Certains de nos clients limitent les accès a leur SI (site en
> préproduction, backoffice web, serveur FTP, etc.) par adresse IPv4.
>
> On leur communique donc nos adresses IP publiques (celles pour l'accès à
> Internet), il
Ok maintenant je vois ce que j’avais lu trop vite dans le message de départ.
C’est un VPN unique pour accéder aux ressources chez les clients.
Ce que je pige mal, c’est que ces ressources chez les client semblent plutôt
être du domaine interne donc pas exposées, mais supposons pour le moment
qu’
Salut,
Comme suggéré par d'autres, tu peux faire du split tunnel et ajuster les
routes du trafic des clients VPN. Ca se fait aussi bien dans les VPN
classiques (Ikev2, Wireguard et autre OpenVPN) qu'avec ceux des
fabricants de FW.
Avec des appliances VPN avec une interface web de type IPDiva
Au vu des réponses, je comprends que j'ai mélangé différents points sans
être totalement clair alors je reprends avec plus de contexte.
Dans le cadre de nos prestations des collègues sont amenés à travailler
(pendant quelques jours, semaines ou mois) sur les sites des clients
(production ou pr
Hello,
On a les mêmes problématiques chez nous parfois, et on a un HAProxy qui est
servis au travers d'un VPN.
Si jamais ca peut donner des idées :)
++
Le mer. 29 mars 2023 à 16:40, a écrit :
> Salut,
>
> Comme suggéré par d'autres, tu peux faire du split tunnel et ajuster les
> routes du tr
Tu as plusieurs choix qui s’offrent à toi mais l’idée de faire du Split
tunneling et de fournir lip wan des users en délégation chez tes clients et
pas une bonne pratique
La meilleure serait de faire de lip sec en mode gateway avec un premier
filtrage de la remediation du dns sec du proxy web et u
Je dis cela d’avance car si vous avez une PSSI lideal est de faire de la
rétention de logs chez vous avant même d’aller sur les serveurs de vos
clients.
Ce qui vous permets de faire un premier niveau de cloisonnement etc …
Tu peux utiliser un ipsec plus du proxy ssl avec double authentification
p
Bonjour,
Regarde coté SOFTETHER en mettant des Bridges chez vos clients vous pouvez
rebondir de façon sécurise via VPN IPSEC L2TP.
Je t'invite a lire la DOC de Softether pour mieux comprendre, l'avantage c'est
simple a mettre en place et tu as une gestion d’accès via utilisateur.
De plus c'est g
J'ai peut être mal compris la problématique mais une solution simple
serait de fournir un vpn hébergé dans vos infras avec une IP fixe que
vous avez déjà fourni à vos clients.
Chacun de tes collaborateur en remote se connecte donc via le vpn fourni
et default tout dedans. Soit ta 3eme solution
Le 29/03/2023 à 17:20, Raphael Mazelier a écrit :
J'ai peut être mal compris la problématique mais une solution simple
serait de fournir un vpn hébergé dans vos infras avec une IP fixe que
vous avez déjà fourni à vos clients.
+1
Chacun de tes collaborateur en remote se connecte donc via le
Hello
> J'ai peut être mal compris la problématique mais une solution simple
> serait de fournir un vpn hébergé dans vos infras avec une IP fixe que
> vous avez déjà fourni à vos clients.
>
> Chacun de tes collaborateur en remote se connecte donc via le vpn fourni
> et default tout dedans. Soit t
Re Hello,
bastion SSH avec tunnel SSH suffit. De mon point de vue NOP NOP NOP!
Alors en ce moment penser que ceci est plus sécurisé qu'un VPN vous faite une
grosse erreur stratégique.
Dans nos métier la sécurité est importante.
Le tunnel SSH est plus du dépannage de mon point de vue qu'un remot
Bonjour,
On Wed, 29 Mar 2023 16:43:06 +0200
DUVERGIER Claude wrote:
> A. Parfois c'est un accès direct sans filtrage d'adresse IP.
> B. Parfois c'est un accès direct mais uniquement autorisé depuis des
> adresses IP préalablement déclarées.
> C. Parfois c'est via un serveur bastion du client (j
Est-ce que j’ai dis que c’était juste suffisant ?
Vous pouvez très bien ajouter une couche VPN.
Après si les clef ssh c’est compliqué à déployer sous Windows… y a peut-être
autre chose qui fait changer ?
Envoyé de mon iPhone
> Le 29 mars 2023 à 18:02, Hosman Beyrouti
> a écrit :
>
> Re Hell
Bonjour,
comme tout le monde, je +1 sur le split tunneling.
cependant cette solution ne fonctionne plus quand la destination est
derrière un CDN: ça devient compliqué de split tunneler les milliers d'IPs
de Cloudfront.
Si t'as un smart cloud-based VPN ChatGPT-powered et bien intrusif surtout,
il
Merci, je vais prendre contact
Michel
De : David Ponzone
Envoyé : lundi 27 mars 2023 23:52
À : Michel KOENIG
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Recherche modèle antenne WiFi
Jamais fait en WIFI mais ce genre là:
https://www.ssb.de/en/wifi-products/wifi-antennas/wifi-sectoria
19 matches
Mail list logo
