Bebel31 Posté(e) le 27 décembre 2013 Partager Posté(e) le 27 décembre 2013 bonjour, je vous contacte après avoir lu pas mal de choses sur le site ... mais j'ai encore des "trous" : - mon contexte : - Je dispose de deux nas : un principal et un secondaire pour les sauvegardes - L'idée est de positionner les sauvegardes rx entre les deux (fait) et ensuite de mettre le secondaire sur un autre site - Scénario : j'établis un vpn center sur l'un et une connexion client sur l'autre : fait - Mes questions concernent la sécurité - vpn center et firewall : si j'ai bien compris, le firewall joue à l'arrivée de la demande de connexion du client qu'il soit interne (rx local) ou externe (adresse public) Par contre une fois connecté au vpn, j'ai l'impression que le firewall n’est plus utilisé --> la personne peut se promener partout exemple : je me connecte via au vpn center via mon ipad et je peux essayer d’accéder aux ihm DSM des deux nas alors que normalement dans les firewalls, j'ai réservé l'accès aux seules ip locales de type 192.168. Là on voit la connexion en 10.2. Cela parait surprenant surtout pour le deuxième nas (celui où il n'y pas le vpn center) Est ce bien le cas et si oui comment peut on empêcher quelqu'un ayant réussi à se connecter au vpn de se "promener" partout ? les règles du firewall ne servent elles quasiment plus que pour les gens sur le rx local - les gens se connectant depuis l'extérieur, passent souvent par des dhcp donc avec des ip variables : peut on bloquer/autoriser à un endroit à un endroit les adresses Mac des personnes ? - dans les différents post, on parle de voir les accès non autorisés mais comment : dans les journaux, on ne voit que les connexions/déconnexions mais pas les refus ? Merci d'avance 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bebel31 Posté(e) le 28 décembre 2013 Auteur Partager Posté(e) le 28 décembre 2013 (modifié) Bonjour, Continuant mes recherches pour comprendre la situation et le fonctionnement, il me semble avoir compris que lorsque l'on se connecte au vpn via un terminal distant on a bien une adresse type vpn sur le dsm sur lequel nous nous connectons : - Laquelle adresse n'est pas filtrée par le firewall du dsm --> la connexion étant déjà "passée" par le firewall pour établir le vpn, elle n'y repasse pas - Si je me connecte à une autre ressource du réseau local ma connexion est vue comme étant faite depuis le dsm sur lequel se trouve le vpn et non depuis mon terminal --> une fois connecté au vpn donc au dsm, si je cherche à aller sur le réseau local alors je le fais depuis le dsm comme si c'était lui donc avec son adresse et là effectivement le deuxième dsm ne peut plus me filtrer Mes interprétations vous semblent telles correctes ? Merci d'avance Cordialement Modifié le 28 décembre 2013 par Bebel31 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pews Posté(e) le 28 décembre 2013 Partager Posté(e) le 28 décembre 2013 Je n'arrive pas à tout comprendre tes interpretations mais voici les miennes En faite, quand tu te connectes en tant que client sur ton serveur VPN du NAS, tu traverses une fois le firewall de ton nas (c'est pour cela qu'il faut ouvrir le bon port) et ensuite, tu te retrouves sur ton réseau local comme si tu étais chez toi connecté directement sur ton switch. Au niveau des adresses IP sur ton client, tu récupères une adresse que tu configures dans le serveur VPN (par défaut en 10.xxx.xxx.xxx il me semble) et ensuite ces adresses la sont routés par le nas pour discuter avec tes adresses IP de chez toi (par défaut en 192.xxx.xxx.xxx). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bebel31 Posté(e) le 29 décembre 2013 Auteur Partager Posté(e) le 29 décembre 2013 Bonjour, Merci beaucoup pour cette réponse. Effectivement cela confirme ma première hypothèse : une fois le vpn ouvert, la personne est vue comme un utilisateur du réseau local. Cela implique que pour sécuriser le reste du réseau, il faut en tenir compte par exemple en essayant de déterminer une plage d'adresses locales sur lesquelles seraient prises les adresses affectées aux utilisateurs provenant du vpn. Cela permettrait alors de positionner des règles sur les autres éléments du réseau local interdisant l'accès aux personnes du vpn Sait on définir ce type de plage ? Cordialement 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pews Posté(e) le 29 décembre 2013 Partager Posté(e) le 29 décembre 2013 Oui dans VPN Server, tu définis la plage. Mais pour réaliser du filtrage sur tes clients VPN, il faudrait mettre le concentrateur VPN sur une patte DMZ d'un firewall (architecture qu'on retrouve en entreprise). Ce qui te permettrait de filtrer tes clients. Dans ton cas, tes clients arrivent sur le serveur VPN de ton NAS qui est dans le réseau local donc ca me parait plus compliqué pour faire du filtrage. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bebel31 Posté(e) le 4 janvier 2014 Auteur Partager Posté(e) le 4 janvier 2014 bonjour, bonne année synologique :-) Merci pour cette réponse qui confirme bien la direction prise. bon week end cordialement 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.