Firewall VPN

Le
Emile
Bonjour à tous,

J'ai reçu ce jour un Zywall 5 de chez ZYXEL (firewall VPN).

http://www.zyxel.fr/products/securite+parefeu/zyxel_zywall_5.html

j'ai la possibilité de le configurer soit en mode routeur , soit en mode
bridge.

Possédant déja chez moi derrière mon modem numéricable un routeur Cisco,
j'ai donc logiquement configuré le Zywall en mode bridge.

Par contre , la question que je me pose est de savoir où dans le réseau
positionner le Zywall , avant ou après le routeur ?
Je pensais mettre le zywall derrière le modem , je brancherais alors sur le
port Wan du Zywall une des sortie Lan du Modem et je brancherais une sortie
Lan du Zywall sur l'entrée Wan du routeur cisco ?
Dans ce cas le firewall servira de Wan to Lan et de Lan to Wan mais ne
pourra pas filtrer dans le Lan to Lan ? Pareil, les sorties du Zywall sont
en 100mbs et mon routeur cisco en 1000 je souhaite profiter en local du
débit le plus important c'est légitime

Merci pour vos lumières.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bruno Tréguier
Le #23475511
Le 17/06/2011 à 20:07, Emile a écrit :
Bonjour à tous,



Bonsoir,


J'ai reçu ce jour un Zywall 5 de chez ZYXEL (firewall VPN).

http://www.zyxel.fr/products/securite+parefeu/zyxel_zywall_5.html



M'a l'air d'être une bonne petite machine...


j'ai la possibilité de le configurer soit en mode routeur , soit en mode
bridge.

Possédant déja chez moi derrière mon modem numéricable un routeur Cisco,
j'ai donc logiquement configuré le Zywall en mode bridge.



Ca paraît effectivement assez logique si l'idée est de garder la même
topologie de réseau que ce que vous avez actuellement, mais l'engin est
capable de beaucoup plus: vous pourriez très bien le configurer en
routeur également (et utiliser les fonctions de DMZ, etc.). Cela
complexifierait un peu votre architecture, mais tout dépend ensuite de
vos besoins


Par contre , la question que je me pose est de savoir où dans le réseau
positionner le Zywall , avant ou après le routeur ?
Je pensais mettre le zywall derrière le modem , je brancherais alors sur
le port Wan du Zywall une des sortie Lan du Modem et je brancherais une
sortie Lan du Zywall sur l'entrée Wan du routeur cisco ?



Tout à fait, c'est la manière classique de mettre un firewall en place:
avant tout autre équipement. De cette manière il protège tout votre
réseau interne.


Dans ce cas le firewall servira de Wan to Lan et de Lan to Wan mais ne
pourra pas filtrer dans le Lan to Lan ? Pareil, les sorties du Zywall
sont en 100mbs et mon routeur cisco en 1000 je souhaite profiter en
local du débit le plus important c'est légitime ...



Raison de plus pour le mettre devant alors... Quant à filtrer en LAN to
LAN, si vous avez de tels besoins, c'est peut-être plus au niveau des
ACLs de votre Cisco qu'il faut regarder, je pense (ou alors acheter un
autre Firewall capable de faire du gigabit, mais c'est pas le même prix. ;-)

Cordialement,

--
Bruno Tréguier
Emile
Le #23475761
Re bonsoir et merci pour ces précisions.

Oui c'est un bel appareil surtout au prix auquel je l'ai payé ... ! Une
societé s'en debarassait pour moins de 50 euros l'appareil est neuf.

Je souhaite en fait faire plusieurs choses , sécuriser mon réseau local par
un pare feu sérieux plus que celui de mon routeur actuel qui es tres tres
léger et pourquoi pas mettre en place un VPN, afin de me connecter sur d'un
site distant sur le réseau local de la maison.
Je pense que cela est possible est que je ne suis pas forcément obliger
d'avoir un Zywall des 2 cotés ? Avec un simple client Windows ou autre cela
devrait marcher je pense ...? je n'ai jamais mis en place de VPN.
Si vous avez des informations sur le type de cryptage IPsec ou SSL et des
infos en général je suis preneur !

Bonne soirée et merci !

"Bruno Tréguier" le message de groupe de discussion : itgh5j$k5u$
Le 17/06/2011 à 20:07, Emile a écrit :
Bonjour à tous,



Bonsoir,


J'ai reçu ce jour un Zywall 5 de chez ZYXEL (firewall VPN).

http://www.zyxel.fr/products/securite+parefeu/zyxel_zywall_5.html



M'a l'air d'être une bonne petite machine...


j'ai la possibilité de le configurer soit en mode routeur , soit en mode
bridge.

Possédant déja chez moi derrière mon modem numéricable un routeur Cisco,
j'ai donc logiquement configuré le Zywall en mode bridge.



Ca paraît effectivement assez logique si l'idée est de garder la même
topologie de réseau que ce que vous avez actuellement, mais l'engin est
capable de beaucoup plus: vous pourriez très bien le configurer en routeur
également (et utiliser les fonctions de DMZ, etc.). Cela complexifierait
un peu votre architecture, mais tout dépend ensuite de vos besoins


Par contre , la question que je me pose est de savoir où dans le réseau
positionner le Zywall , avant ou après le routeur ?
Je pensais mettre le zywall derrière le modem , je brancherais alors sur
le port Wan du Zywall une des sortie Lan du Modem et je brancherais une
sortie Lan du Zywall sur l'entrée Wan du routeur cisco ?



Tout à fait, c'est la manière classique de mettre un firewall en place:
avant tout autre équipement. De cette manière il protège tout votre réseau
interne.


Dans ce cas le firewall servira de Wan to Lan et de Lan to Wan mais ne
pourra pas filtrer dans le Lan to Lan ? Pareil, les sorties du Zywall
sont en 100mbs et mon routeur cisco en 1000 je souhaite profiter en
local du débit le plus important c'est légitime ...



Raison de plus pour le mettre devant alors... Quant à filtrer en LAN to
LAN, si vous avez de tels besoins, c'est peut-être plus au niveau des ACLs
de votre Cisco qu'il faut regarder, je pense (ou alors acheter un autre
Firewall capable de faire du gigabit, mais c'est pas le même prix. ;-)

Cordialement,

--
Bruno Tréguier
Bruno Tréguier
Le #23476411
Le 18/06/2011 à 0:49, Emile a écrit :
Re bonsoir et merci pour ces précisions.



Bonjour, et de rien ! ;-)


Oui c'est un bel appareil surtout au prix auquel je l'ai payé ... ! Une
societé s'en debarassait pour moins de 50 euros l'appareil est neuf.



Une affaire, effectivement ! Le prix moyen semble être aux alentours de
350 Euros...


Je souhaite en fait faire plusieurs choses , sécuriser mon réseau local
par un pare feu sérieux plus que celui de mon routeur actuel qui es tres
tres léger et pourquoi pas mettre en place un VPN, afin de me connecter
sur d'un site distant sur le réseau local de la maison.
Je pense que cela est possible est que je ne suis pas forcément obliger
d'avoir un Zywall des 2 cotés ? Avec un simple client Windows ou autre
cela devrait marcher je pense ...? je n'ai jamais mis en place de VPN.



Aucun souci en théorie, si vous voulez utiliser IPSec, c'est standard et
les implémentations sont désormais assez bien compatibles entre elles,
ce qui n'était pas le cas il y a quelques années (mais on n'est pas à
l'abri des surprises). En revanche, c'est assez lourd et, à ma
connaissance, il faut qu'au moins 1 des 2 côtés possède une IP fixe
(pour vous le côté "maison", donc - un nom de domaine "fixe" comme on
peut en obtenir via DynDNS ou autre n'est pas suffisant). Par ailleurs,
dans le cas de l'utilisation du Zywall en mode bridge, j'ai un peu de
mal à imaginer comment ça se passe, mais j'ai lu la doc en travers et
ils semblent dire que c'est possible...

Je n'ai en revanche pas vu de possibilité de faire un VPN sous SSL (type
OpenVPN par exemple) sur cet appareil, ce qui veut dire que si vous
souhaitiez mettre en place un tel dispositif, il faudrait que vous le
rajoutiez vous-même sur un serveur chez vous, et qu'il soit également
présent sur la machine depuis laquelle vous vous connectez, ce qui
complique un peu les choses, mais tout est possible...
Attention cependant, notamment si vous vous connectez via de la 3G:
certains opérateurs (Bouygues Télécom par exemple) bloquent les ports
UDP, rendant impossible l'établissement d'un tunnel IPSec avec un
abonnement "standard". Je suppose qu'ils ont des offre "pro" qui le
permettent.


Si vous avez des informations sur le type de cryptage IPsec ou SSL et
des infos en général je suis preneur !



Sur le chiffrement lui-même ou sur sa mise en oeuvre, plutôt ?


Bonne soirée et merci !



Bonne journée !

--
Bruno Tréguier
Emile
Le #23477021
Bonjour Bruno,

Je relisais ce matin ce fil de discussion et je me posais la question de
l'interet par exemple de mettre le routeur cisco en sortir du Zywall en DMZ
, j'ai lu cela sur un site , mais concrètement quest ce que cela changerait
par rapport à un branchement sur le lan en sortie du zywall de facon
classique ?

Merci :)

"Bruno Tréguier" le message de groupe de discussion : itgh5j$k5u$
Le 17/06/2011 à 20:07, Emile a écrit :
Bonjour à tous,



Bonsoir,


J'ai reçu ce jour un Zywall 5 de chez ZYXEL (firewall VPN).

http://www.zyxel.fr/products/securite+parefeu/zyxel_zywall_5.html



M'a l'air d'être une bonne petite machine...


j'ai la possibilité de le configurer soit en mode routeur , soit en mode
bridge.

Possédant déja chez moi derrière mon modem numéricable un routeur Cisco,
j'ai donc logiquement configuré le Zywall en mode bridge.



Ca paraît effectivement assez logique si l'idée est de garder la même
topologie de réseau que ce que vous avez actuellement, mais l'engin est
capable de beaucoup plus: vous pourriez très bien le configurer en routeur
également (et utiliser les fonctions de DMZ, etc.). Cela complexifierait
un peu votre architecture, mais tout dépend ensuite de vos besoins


Par contre , la question que je me pose est de savoir où dans le réseau
positionner le Zywall , avant ou après le routeur ?
Je pensais mettre le zywall derrière le modem , je brancherais alors sur
le port Wan du Zywall une des sortie Lan du Modem et je brancherais une
sortie Lan du Zywall sur l'entrée Wan du routeur cisco ?



Tout à fait, c'est la manière classique de mettre un firewall en place:
avant tout autre équipement. De cette manière il protège tout votre réseau
interne.


Dans ce cas le firewall servira de Wan to Lan et de Lan to Wan mais ne
pourra pas filtrer dans le Lan to Lan ? Pareil, les sorties du Zywall
sont en 100mbs et mon routeur cisco en 1000 je souhaite profiter en
local du débit le plus important c'est légitime ...



Raison de plus pour le mettre devant alors... Quant à filtrer en LAN to
LAN, si vous avez de tels besoins, c'est peut-être plus au niveau des ACLs
de votre Cisco qu'il faut regarder, je pense (ou alors acheter un autre
Firewall capable de faire du gigabit, mais c'est pas le même prix. ;-)

Cordialement,

--
Bruno Tréguier
Bruno Tréguier
Le #23477541
Le 18/06/2011 à 13:25, Emile a écrit :
Bonjour Bruno,

Je relisais ce matin ce fil de discussion et je me posais la question de
l'interet par exemple de mettre le routeur cisco en sortir du Zywall en
DMZ , j'ai lu cela sur un site , mais concrètement quest ce que cela
changerait par rapport à un branchement sur le lan en sortie du zywall
de facon classique ?



Re-bonjour Emile,

Typiquement, une DMZ est utilisée pour mettre en place des serveurs
accessibles depuis l'extérieur (un serveur web, ftp, mail, ou autre).
Son intérêt principal (par rapport à la solution qui consisterait à
mettre ce serveur directement sur le LAN) réside dans le fait qu'elle
peut faire l'objet d'un filtrage à la fois depuis et vers Internet, mais
aussi depuis et vers le LAN.

Cela dit, en fait, la dénomination "DMZ" ou "LAN", sur un tel appareil,
n'a pas réellement de conséquence technique: les 2 sorties sont
strictement équivalentes (mis à part la présence d'un switch intégré sur
la sortie LAN), c'est simplement que vous pouvez utiliser des règles
différentes pour l'une et pour l'autre. Bien entendu, leur "étiquette"
les prédestine chacune à une utilisation particulière, mais c'est juste
une convention...

Donc, si vous avez un tel besoin (mise à disposition de services vis à
vis de l'extérieur), il vaut mieux effectivement utiliser la sortie DMZ,
mais cela ne vous dispense pas de mettre le reste de votre LAN derrière
la sortie LAN, mais c'est le seul intérêt. Si vous n'avez pas un tel
besoin, utiliser l'une ou l'autre des sorties est équivalent, donc
autant se conformer aux usages et utiliser le port étiqueté "LAN".

Je ne sais pas si j'ai été clair... ;-)

Cordialement,

--
Bruno Tréguier
Emile
Le #23477681
Merci Bruno ! Oui ton explication est parfaitement claire :)

J'ai trouvé une doc en anglais sur le cd d'installation qui détaille assez
bien les fonctions de l'appareil ; y'a plus de 300 pages j'ai du boulot.
En fait on peut gérer énormément de choses sur ce boitier et c'est très bien
, maintenant faut que j'apprenne à m'en servir.

Pour le moment j'ai configuré le Zywall en bridge et je l'ai mis en sortie
de routeur et connecté sur son port WAN , sur le Zywall en lan est branché
un portable en filaire c'est lui qui va jouer le rôle de l'ordi test pour
commencer à paramétrer les règles :)

A terme il est probable que je configure le zywall en routeur , ce qui
m'ennuie c'est la perte de la fonction Gigabit du cisco ...

A voir !

"Bruno Tréguier" le message de groupe de discussion : iti6ke$7m8$
Le 18/06/2011 à 13:25, Emile a écrit :
Bonjour Bruno,

Je relisais ce matin ce fil de discussion et je me posais la question de
l'interet par exemple de mettre le routeur cisco en sortir du Zywall en
DMZ , j'ai lu cela sur un site , mais concrètement quest ce que cela
changerait par rapport à un branchement sur le lan en sortie du zywall
de facon classique ?



Re-bonjour Emile,

Typiquement, une DMZ est utilisée pour mettre en place des serveurs
accessibles depuis l'extérieur (un serveur web, ftp, mail, ou autre). Son
intérêt principal (par rapport à la solution qui consisterait à mettre ce
serveur directement sur le LAN) réside dans le fait qu'elle peut faire
l'objet d'un filtrage à la fois depuis et vers Internet, mais aussi depuis
et vers le LAN.

Cela dit, en fait, la dénomination "DMZ" ou "LAN", sur un tel appareil,
n'a pas réellement de conséquence technique: les 2 sorties sont
strictement équivalentes (mis à part la présence d'un switch intégré sur
la sortie LAN), c'est simplement que vous pouvez utiliser des règles
différentes pour l'une et pour l'autre. Bien entendu, leur "étiquette" les
prédestine chacune à une utilisation particulière, mais c'est juste une
convention...

Donc, si vous avez un tel besoin (mise à disposition de services vis à vis
de l'extérieur), il vaut mieux effectivement utiliser la sortie DMZ, mais
cela ne vous dispense pas de mettre le reste de votre LAN derrière la
sortie LAN, mais c'est le seul intérêt. Si vous n'avez pas un tel besoin,
utiliser l'une ou l'autre des sorties est équivalent, donc autant se
conformer aux usages et utiliser le port étiqueté "LAN".

Je ne sais pas si j'ai été clair... ;-)

Cordialement,

--
Bruno Tréguier
Bruno Tréguier
Le #23478711
Le 18/06/2011 à 15:36, Emile a écrit :
Merci Bruno ! Oui ton explication est parfaitement claire :)



Ouf. ;-)


J'ai trouvé une doc en anglais sur le cd d'installation qui détaille
assez bien les fonctions de l'appareil ; y'a plus de 300 pages j'ai du
boulot.



Sur le site de Zyxel, la doc fait plus de 800 pages ! :-) Elle se trouve
(classique) dans la section "support" du site:

http://www.zyxel.fr/files/manuals/ZyWALL5-35-70_UG_V4-02_Ed1_2007-3-15.pdf


En fait on peut gérer énormément de choses sur ce boitier et c'est très
bien , maintenant faut que j'apprenne à m'en servir.



Ah oui, plus je regarde, plus ça m'a l'air d'une belle bête. Dans la
section "firewall", la présentation en tableau des différentes
interfaces me semble pertinente.

Certaines fonctionnalités comme l'IDPS et l'anti-virus nécessitent une
licence - payante - pour la mise à jour, mais ne sont pas nécessaires
pour le fonctionnement "de base" du machin.


Pour le moment j'ai configuré le Zywall en bridge et je l'ai mis en
sortie de routeur et connecté sur son port WAN , sur le Zywall en lan
est branché un portable en filaire c'est lui qui va jouer le rôle de
l'ordi test pour commencer à paramétrer les règles :)

A terme il est probable que je configure le zywall en routeur , ce qui
m'ennuie c'est la perte de la fonction Gigabit du cisco ...



Là je ne comprends pas bien: vous voulez vous débarrasser du Cisco ? Si
ce n'est pas le cas, il vous est tout à fait possible d'avoir à la fois
le Zywall en routeur et le Cisco derrière en routeur également... En
définissant des routes statiques sur le Zywall pour lui dire par où
passer pour atteindre les réseaux situés derrière le Cisco, ça le fait
(à vrai dire, ma config à la maison est un peu comme ça, j'ai 2 routeurs
l'un derrière l'autre).

Bon courage pour la config en attendant. ;-)

Cordialement,

--
Bruno Tréguier
Publicité
Poster une réponse
Anonyme