Forum Clubic

Architecture VPN

Bonjour,

Je cherche actuellement une solution VPN fiable et sécurisé pour remplacer l’existant dans notre entreprise.

Quelques précisions sur ce que je souhaite :

  • Les utilisateurs du VPN seront des PC nomades
  • Une authentification de l’utilisateur et non de l’ordinateur
  • Eviter PPTP pour ses problèmes de sécurité
  • Utiliser le logiciel intégré à Windows (Les clients sont majoritairement sous XP)

Les solutions existantes sont : PPTP, L2TP/IPSEC, IPSEC, OPENVPN, SSTP

  • PPTP est faible niveau sécurité
  • IPSEC n’est pas géré en natif avec Windows
  • OpenVpn nécessite l’installation d’un client et authentifie la machine et non l’utilisateur
  • SSTP nécessite le client Vista ou Seven

Il ne reste plus que L2TP/IPSEC.

J’en arrive à mes questions car j’ai du mal à comprendre le fonctionnement de ce protocole :

La gestion d’une PKI est-elle obligatoire ?
N’y-a-t’il pas un moyen d’avoir uniquement un certificat pour le serveur que l’on déploie sur les clients ?
D’après ce que j’ai compris, les ordinateurs doivent être connus dans l’active directory et être connectés sur le LAN afin de récupérer leur certificat… C’est un peu lourd à gérer, d’autant que 50% des utilisateurs utiliseront leur ordinateur personnel (qui n’a rien à faire dans le domaine).

Est-ce que le choix de L2TP vous paraît judicieux en prenant en compte mes prérequis ?
Est-ce qu’une autre solution que celles citées précédemment pourrait répondre à mon problème ?

Merci pour votre aide

Bonjour,

Où as tu vu ça ? Ok pour l’obligation d’installer un client, mais ce n’est pas une authentification machine qui est effectué…
Pour moi c’est la solution la plus simple et la plus sécurisé OpenVPN ! Tout le tunnel est crypté SSL, en plus tu as des appliances toutes faites en .VHD ou VMAWRE. Seul hic, il faudra acheter des licences d’accés mais c’est négligeable vu le temps de gagner en installation configuration !

Si je ne me trompe pas, avec OpenVPN on est obligé de créer un certificat par client, je trouve ça très lourd à gérer. Après comme tu dis il doit y avoir des appliances qui font ça très bien mais OpenVPN est un logiciel libre et gratuit donc autant le gérer soi-même.

Je préfère un certificat unique, que l’on déploie sur les clients afin d’authentifier le bon serveur. J’aimerais que les utilisateurs s’authentifient par un login/mot de passe contenu dans une base RADIUS par exemple.
Edité le 23/07/2010 à 16:01

Non tu te trompes, tu n’as rien à faire (je parle dans mon cas avec l’appliance toute faite, mais ça doit être pareil avec une installe sur un linux, à voir…)

Avec OpenVPN, je crée un utilisateur, login/mot de passe qui sont enregistré dans une base interne, je vais sur une interface web et ça génère tout seul un profil du type nom_user.ovpn
Dans ce fichier tu as les certificats notés en brut, avec le certificat du serveur et un certificat client, donc pas besoin de s’embêter avec les histoire de certif, c’est top !

Tu devrais essayer, avec l’appliance .VHD ou VMWARE, tu as 2 licences gratuites, il s’agit de licence d’accés, donc tu peux créer 10 compte mais 2 connexions simultanés. Après comme j’ai dit, c’est 5$ la licence, vu le peu de temps passé en installation, c’est largement rentable !

et les certificats déployés par l’AD ne peuvent êtres ajouté a la main? (pour les postes hors AD)

mais qu’est ce qu’ils viennent foutre sur ton reseau tout court ! c’est la fete du slip chez vous ? :stuck_out_tongue:

@snorky59 : OK je vais jetter un oeil sur la version VmWare alors. Merci pour les conseils en tout cas.

@boss50 : En fait ils ne sont pas sur l’AD pour l’instant. Mais en me documentant sur L2TP sur un serveur Windows 2003, il me semble que les clients VPN doivent faire partie de l’AD. Et ça me dérange… normal.

snorky encore un petit détail :

Où as-tu placé ton serveur ? Ce que je pensais faire c’est le mettre entre la DMZ et le LAN, une carte réseau de chaque côté. Je vois pas trop comment faire autrement en fait.

A+

Bonsoir,

Je me suis pas emmerdé, je l’ai mis directement dans le réseau, de toute façon ce que tu veux faire revient à peu prés au même mais tu utilises 2 cartes ^^.
Le plus simple est de mettre le serveur dans ton domaine, de toute façon comme je l’ai dit c’est une boite noir, tu verras jamais l’OS… tout ou presque se fait par une interface web !
Edité le 26/07/2010 à 20:56