podocarpus Posté(e) le 3 septembre 2010 Partager Posté(e) le 3 septembre 2010 Bonjour, J'ai un PC équipé en Windows Seven qui se connecte sur internet via une box en mode routeur ainsi qu'une connexion de type VPN PPTP. Je me suis penché sur le problème de réaliser un routage au niveau applicatif pour l'accès VPN et vous fait part de mon retour d'expérience. En pratique, quand mon PC n'est connecté au VPN, toutes les connections passent via ma box directement sur internet et mon adresse IP visible a l'extérieur est celle de l'IP publique de ma box. Quand mon PC est connecté au VPN alors toutes les connections passent par le VPN et la seule adresse visible depuis l'extérieure est celle du VPN. Le problème est que mon PC héberge également un serveur FTP et un serveur VPN qui deviennent inaccessible a partir de mon IP box publique lorsque je suis connecté au VPN (mais deviennent accessible depuis l'IP publique VPN). Puisque l'IP VPN est dynamique c'est vraie galère pour connaitre l'adresse a laquelle je peux accéder a mes serveurs VPN et FTP et me posent des problèmes de sécurité (les IP publiques VPN sont facilement identifiables donc potentiellement vecteurs d'attaque). Du coup je me suis penché sur le problème de réaliser un routage applicatif pour les VPN/box. L'idée étant de choisir les applications qui prendront le chemin direct PC->box->internet des applications qui prendront le chemin VPN Application->Box->VPN->Internet. Après pas mal de galères voici une approche qui marche même si elle n'est pas très élégante: La solution est de monter un serveur proxy en local sur le pc qui s'occupera exclusivement de la connexion VPN. Ainsi les applications sans proxy utilisent le chemin PC->box->internet et celles utilisant le proxy Application->Proxy->Box->VPN->Internet. Pour cela, j'utilise une virtualbox configurée en bridged, dans laquelle j'installe un windows XP et un serveur proxy (type ccproxy). Sous le XP virtuel j'installe la connexion VPN ainsi qu'un firewall et le configure pour bloquer toutes les connections internet dans le cas ou la connexion VPN tombe. Le mode bridged me permet d'avoir une nouvelle IP sur le reseau local correspondant a mon XP virtuel et j'ai donc: Seven: 192.168.0.1 XP virtuel: 192.168.0.2. Maintenant, il me suffit sous n'importe quelle application Seven d'utiliser le proxy a l'adresse 192.168.0.2 pour me connecter a travers le VPN ou de ne pas utiliser de proxy pour me connecter directement avec mon IP box publique. La connexion est stable et le debit reste acceptable. Mission accomplie ! Maintenant que le proof-of-concept est fait, cette solution ne me satisfait pas vraiment et me donne l'impression d'utiliser un tractopelle pour tuer une mouche !! Peut-être certain d'entre vous auraient des idées pour simplifier cette approche sans utilisation d'une virtualbox+second système d'exploitation+proxy+firewall ??? Merci pour vos avis ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 3 septembre 2010 Partager Posté(e) le 3 septembre 2010 Votre solution me paraît la plus simple Le seul défaut est que certains composants comme Flash, Java, ou encore les requêtes DNS ne passent pas forcément par le proxy... Lien vers le commentaire Partager sur d’autres sites More sharing options...
patos Posté(e) le 4 septembre 2010 Partager Posté(e) le 4 septembre 2010 Sans vouloir passer pour un emmerdeur, le VPN t'ajoute une IP et modifie la route par défaut.... mais ne désactive pas forcément le reste. As-tu essayé de voir si tu pouvais lier (bind) tes serveurs à l'interface LAN au lieu de l'interface VPN ? Autre solution: pourquoi ne pas utiliser un tunnel SSL ou SSH au lieu d'un VPN ? (je suis un grand fan des tunnels SSH). Ca ferait la même chose que ta solution, mais avec un seul programme. Le client idéal sous Windows pour cela est Bitvise Tunnelier (free for personnal use) Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 4 septembre 2010 Partager Posté(e) le 4 septembre 2010 Pour moi le souci est juste un problème de routage. Comment tu te connectes à ton VPN ? Il y a peut être une option dans ton logiciel pour faire que la machine puisse toujours communiquer avec le LAN. Lien vers le commentaire Partager sur d’autres sites More sharing options...
patos Posté(e) le 4 septembre 2010 Partager Posté(e) le 4 septembre 2010 Je ne fais du VPN que pour le boulot. Je ne crains pas leurs pseudos lois. Le client VPN de Windows par défaut permet de ne pas forcer le fait que rien ne va dans le lan. Je ne le connais que sous XP, donc je peux pas te dire sous 7, mais y'a l'option. Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 5 septembre 2010 Partager Posté(e) le 5 septembre 2010 Moi j'avais aussi expérimenté en télétravail un client VPN Cisco sous WIndows XP. C'était un portable (pas le top pour coder) et je préférais donc utiliser mon PC fixe et accéder au portable en RDesktop. Par défaut là aussi, le client VPN modifiait le routage et bloquait tout ce qui venait du LAN. En cherchant dans les options, on pouvait paramétrer le client pour que le portable puisse toujours communiquer avec le LAN. Mais je crois que j'avais quand même du changer les routes pour pouvoir accéder au portable, mais ça marchait très bien. Lien vers le commentaire Partager sur d’autres sites More sharing options...
podocarpus Posté(e) le 5 septembre 2010 Auteur Partager Posté(e) le 5 septembre 2010 Merci pour vos réponses, @Amour: Tu es sur de toi ? J'ai essayé de virer la route vers ma box (route delete) pour supprimer toute connexion directe sans VPN. Firefox configuré avec proxy et aucun souci pour flash ni java. Second test, j'ai remis la route vers ma box, configuré connexion Seven avec DNS free, connexion XP avec DNS openDNS, rentré une adresse bidon dans le navigateur et c'est bien la page d'erreur OpenDNS qui s'affiche quand le proxy est configuré et la page "adresse introuvable" sinon (DNS free). @Patos: Un exemple même si ce n'est pas mon besoin principal ici, a mon taf l'accès HTTP est bridé pour certains sites. Du coup, quand je suis connecté en VPN de chez moi, le surf internet devient limité. Pour ta solution ssh il faut que je me penche sur la solution mais plutôt pour faire une connexion extérieure-Seven. Ici je veux utiliser le VPN. Sinon, j'ai essayé de faire de l'IP binding avec le proxy sur l'interface VPN (IP publique) mais sans succès. Soit l'option "utiliser la passerelle par défaut pour le réseau distant" est cochée et tout passe par le VPN, soit elle n'est pas cochée et tout passe par le LAN. Tu connais d'autres solutions pour réaliser le bind ?? @Fabien: C'est une liaison PPTP implémentée dans Windows donc je me connecte au VPN avec une connexion réseaux VPN standard. avec En effet la métrique change après une connexion VPN. par contre je cherche a avoir le contrôle sur le routage des applications sur VPN ou LAN. Du coup agir sur la métrique ne va changer que la priorité des routes VPN/LAN mais pas le routage en tant que tel par application. Tu peux m'en dire plus sur la solution que tu avais utilisée ? Arnaud Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 6 septembre 2010 Partager Posté(e) le 6 septembre 2010 Ah oui peut-être qu'avec un proxy SOCKS les requêtes DNS passent dedans (mais je crois que ce n'est forcément le cas)... Lien vers le commentaire Partager sur d’autres sites More sharing options...
patos Posté(e) le 7 septembre 2010 Partager Posté(e) le 7 septembre 2010 Ah oui peut-être qu'avec un proxy SOCKS les requêtes DNS passent dedans (mais je crois que ce n'est forcément le cas)... En effet, c'est pas forcément le cas mais tu peux choisir de résoudre les requêtes par le biais du proxy socks. Par contre, une question: ton système est pour outrepasser les limitations du taff pendant que tu y es connecté en VPN, c'est ça? Lien vers le commentaire Partager sur d’autres sites More sharing options...
podocarpus Posté(e) le 7 septembre 2010 Auteur Partager Posté(e) le 7 septembre 2010 Par contre, une question: ton système est pour outrepasser les limitations du taff pendant que tu y es connecté en VPN, c'est ça? Non on s'est mal compris. C'était pour réagir a ta remarque: Je ne fais du VPN que pour le boulot. Je ne crains pas leurs pseudos lois. Je te faisait remarquer qu'il y a d'autres cas ou un routage par application est appréciable, y compris avec un VPN du boulot. A la maison, je veux utiliser le VPN du boulot pour l'accès aux ressources locales, pas pour le surf. Connecté au VPN je veux conserver l'accès a mon serveur FTP par mon IP box publique Connecté au VPN je veux éviter que mon serveur HTTP ne tombe a partir de mon nom de domaine etc, etc... C'est entre autre pour toutes ces raisons que je cherche a réaliser le routage par application. Lien vers le commentaire Partager sur d’autres sites More sharing options...
patos Posté(e) le 8 septembre 2010 Partager Posté(e) le 8 septembre 2010 Au contraire, c'est bien ce que je pensais ;-) Si tu accèdes au boulot par VPN, c'est pour interconnecter PC et Boulot, mais aussi pour protéger le boulot des manipulations faites en dehors, sinon, ça fait des passerelles entre les 2... une belle porte d'entrée pour moultes saletés. Les contraintes sont faites pour protéger (que ce soit le boulot ou toi). Donc non, dans le cas d'un VPN du boulot, rien n'excuserait un routage par application... sinon c'est qu'un VPN n'était pas la solution, mais plutôt un bureau à distance sécurisé par exemple ^^ Pour revenir à ton bouzou, n'est-il pas plus simple de virtualiser le serveur, plutôt que le VPN? Vu que l'interface de virtualisation est un bridge, le VPN de l'hôte n'influera pas sur la connexion de l'invité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.