Firewall VPN
Le
Emile
Bonjour à tous,
J'ai reçu ce jour un Zywall 5 de chez ZYXEL (firewall VPN).
http://www.zyxel.fr/products/securi...all_5.html
j'ai la possibilité de le configurer soit en mode routeur , soit en mode
bridge.
Possédant déja chez moi derrière mon modem numéricable un routeur Cisco,
j'ai donc logiquement configuré le Zywall en mode bridge.
Par contre , la question que je me pose est de savoir où dans le réseau
positionner le Zywall , avant ou après le routeur ?
Je pensais mettre le zywall derrière le modem , je brancherais alors sur le
port Wan du Zywall une des sortie Lan du Modem et je brancherais une sortie
Lan du Zywall sur l'entrée Wan du routeur cisco ?
Dans ce cas le firewall servira de Wan to Lan et de Lan to Wan mais ne
pourra pas filtrer dans le Lan to Lan ? Pareil, les sorties du Zywall sont
en 100mbs et mon routeur cisco en 1000 je souhaite profiter en local du
débit le plus important c'est légitime
Merci pour vos lumières.
J'ai reçu ce jour un Zywall 5 de chez ZYXEL (firewall VPN).
http://www.zyxel.fr/products/securi...all_5.html
j'ai la possibilité de le configurer soit en mode routeur , soit en mode
bridge.
Possédant déja chez moi derrière mon modem numéricable un routeur Cisco,
j'ai donc logiquement configuré le Zywall en mode bridge.
Par contre , la question que je me pose est de savoir où dans le réseau
positionner le Zywall , avant ou après le routeur ?
Je pensais mettre le zywall derrière le modem , je brancherais alors sur le
port Wan du Zywall une des sortie Lan du Modem et je brancherais une sortie
Lan du Zywall sur l'entrée Wan du routeur cisco ?
Dans ce cas le firewall servira de Wan to Lan et de Lan to Wan mais ne
pourra pas filtrer dans le Lan to Lan ? Pareil, les sorties du Zywall sont
en 100mbs et mon routeur cisco en 1000 je souhaite profiter en local du
débit le plus important c'est légitime
Merci pour vos lumières.
Poser une question
Bonsoir,
M'a l'air d'être une bonne petite machine...
Ca paraît effectivement assez logique si l'idée est de garder la même
topologie de réseau que ce que vous avez actuellement, mais l'engin est
capable de beaucoup plus: vous pourriez très bien le configurer en
routeur également (et utiliser les fonctions de DMZ, etc.). Cela
complexifierait un peu votre architecture, mais tout dépend ensuite de
vos besoins
Tout à fait, c'est la manière classique de mettre un firewall en place:
avant tout autre équipement. De cette manière il protège tout votre
réseau interne.
Raison de plus pour le mettre devant alors... Quant à filtrer en LAN to
LAN, si vous avez de tels besoins, c'est peut-être plus au niveau des
ACLs de votre Cisco qu'il faut regarder, je pense (ou alors acheter un
autre Firewall capable de faire du gigabit, mais c'est pas le même prix. ;-)
Cordialement,
--
Bruno Tréguier
Oui c'est un bel appareil surtout au prix auquel je l'ai payé ... ! Une
societé s'en debarassait pour moins de 50 euros l'appareil est neuf.
Je souhaite en fait faire plusieurs choses , sécuriser mon réseau local par
un pare feu sérieux plus que celui de mon routeur actuel qui es tres tres
léger et pourquoi pas mettre en place un VPN, afin de me connecter sur d'un
site distant sur le réseau local de la maison.
Je pense que cela est possible est que je ne suis pas forcément obliger
d'avoir un Zywall des 2 cotés ? Avec un simple client Windows ou autre cela
devrait marcher je pense ...? je n'ai jamais mis en place de VPN.
Si vous avez des informations sur le type de cryptage IPsec ou SSL et des
infos en général je suis preneur !
Bonne soirée et merci !
"Bruno Tréguier" le message de groupe de discussion : itgh5j$k5u$
Bonjour, et de rien ! ;-)
Une affaire, effectivement ! Le prix moyen semble être aux alentours de
350 Euros...
Aucun souci en théorie, si vous voulez utiliser IPSec, c'est standard et
les implémentations sont désormais assez bien compatibles entre elles,
ce qui n'était pas le cas il y a quelques années (mais on n'est pas à
l'abri des surprises). En revanche, c'est assez lourd et, à ma
connaissance, il faut qu'au moins 1 des 2 côtés possède une IP fixe
(pour vous le côté "maison", donc - un nom de domaine "fixe" comme on
peut en obtenir via DynDNS ou autre n'est pas suffisant). Par ailleurs,
dans le cas de l'utilisation du Zywall en mode bridge, j'ai un peu de
mal à imaginer comment ça se passe, mais j'ai lu la doc en travers et
ils semblent dire que c'est possible...
Je n'ai en revanche pas vu de possibilité de faire un VPN sous SSL (type
OpenVPN par exemple) sur cet appareil, ce qui veut dire que si vous
souhaitiez mettre en place un tel dispositif, il faudrait que vous le
rajoutiez vous-même sur un serveur chez vous, et qu'il soit également
présent sur la machine depuis laquelle vous vous connectez, ce qui
complique un peu les choses, mais tout est possible...
Attention cependant, notamment si vous vous connectez via de la 3G:
certains opérateurs (Bouygues Télécom par exemple) bloquent les ports
UDP, rendant impossible l'établissement d'un tunnel IPSec avec un
abonnement "standard". Je suppose qu'ils ont des offre "pro" qui le
permettent.
Sur le chiffrement lui-même ou sur sa mise en oeuvre, plutôt ?
Bonne journée !
--
Bruno Tréguier
Je relisais ce matin ce fil de discussion et je me posais la question de
l'interet par exemple de mettre le routeur cisco en sortir du Zywall en DMZ
, j'ai lu cela sur un site , mais concrètement quest ce que cela changerait
par rapport à un branchement sur le lan en sortie du zywall de facon
classique ?
Merci :)
"Bruno Tréguier" le message de groupe de discussion : itgh5j$k5u$
Re-bonjour Emile,
Typiquement, une DMZ est utilisée pour mettre en place des serveurs
accessibles depuis l'extérieur (un serveur web, ftp, mail, ou autre).
Son intérêt principal (par rapport à la solution qui consisterait à
mettre ce serveur directement sur le LAN) réside dans le fait qu'elle
peut faire l'objet d'un filtrage à la fois depuis et vers Internet, mais
aussi depuis et vers le LAN.
Cela dit, en fait, la dénomination "DMZ" ou "LAN", sur un tel appareil,
n'a pas réellement de conséquence technique: les 2 sorties sont
strictement équivalentes (mis à part la présence d'un switch intégré sur
la sortie LAN), c'est simplement que vous pouvez utiliser des règles
différentes pour l'une et pour l'autre. Bien entendu, leur "étiquette"
les prédestine chacune à une utilisation particulière, mais c'est juste
une convention...
Donc, si vous avez un tel besoin (mise à disposition de services vis à
vis de l'extérieur), il vaut mieux effectivement utiliser la sortie DMZ,
mais cela ne vous dispense pas de mettre le reste de votre LAN derrière
la sortie LAN, mais c'est le seul intérêt. Si vous n'avez pas un tel
besoin, utiliser l'une ou l'autre des sorties est équivalent, donc
autant se conformer aux usages et utiliser le port étiqueté "LAN".
Je ne sais pas si j'ai été clair... ;-)
Cordialement,
--
Bruno Tréguier