J'avais déjà exposé ici mon problème (y'a longtemps) : un ordinateur
portable, dont le firewall doit avoir une configuration beaucoup plus
souple quand il est dans notre LAN que quand il est branché ailleurs.
Il doit même servir de serveur de fichiers, pour que son
"propriétaire" puisse accéder à ses fichiers depuis un PC qui se
trouve à un autre étage.
À l'occasion d'un changement de matériel, j'ai décidé de m'y mettre
sérieusement.
Et je n'ai trouvé qu'une solution : un VPN (inaccessible depuis
l'extérieur) entre le serveur, le portable, et le deuxième PC. Ça
permet d'avoir, sur le portable, une interface réseau physique, sur
laquelle tous les ports sont fermés (sauf le port pour OpenVPN), et
une interface réseau virtuelle, active uniquement quand le portable
est branché sur notre LAN, et sur laquelle tous les ports sont
ouverts.
C'est certes une solution très formatrice (ça m'a permis d'apprendre à
utiliser OpenVPN, et m'a forcé à faire fonctionner WINS et CUPS), mais
ça me paraît un peu bourrin.
Qu'en pensez-vous ?
Est-ce une bombe atomique pour écraser une mouche ?
Y a-t-il un détail que j'ai oublié et qui fout tout en l'air ?
Perso, j'aurais pensé à un fichier bash avec des if($home = "maison") et autres gestion de variables.
Quand le PC démarre, on lance le bash (avec les bon arguments) et il configure tout seul le chmilblick.
Fabien LE LEZ
On 20 Mar 2006 17:14:26 GMT, Thibaut Henin :
Perso, j'aurais pensé à un fichier bash avec des if($home = "maison") et autres gestion de variables.
Je ne vois pas bien quelles variables tester pour être sûr de savoir où on se trouve.
De toutes façons, il y a forcément une tentative d'identification du serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les ports ou pas. Et qui dit identification du serveur dit (a priori) communication IP, donc couche IP déjà lancée. Il faudrait donc avoir le mécanisme : 1- Lancement d'IP et du firewall en mode très restrictif. 2- Tentative d'identification (forte) de l'endroit où on se trouve. 3- Le cas échéant, redémarrage du firewall avec des paramètres moins restrictifs (voire, arrêt du firewall).
D'autre part, le portable étant sous Windows, l'emploi des scripts est plus délicat, surtout pour configurer un firewall.
On 20 Mar 2006 17:14:26 GMT, Thibaut Henin <Thibaut.Henin@irisa.fr>:
Perso, j'aurais pensé à un fichier bash avec des if($home = "maison") et
autres gestion de variables.
Je ne vois pas bien quelles variables tester pour être sûr de savoir
où on se trouve.
De toutes façons, il y a forcément une tentative d'identification du
serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les
ports ou pas.
Et qui dit identification du serveur dit (a priori) communication IP,
donc couche IP déjà lancée. Il faudrait donc avoir le mécanisme :
1- Lancement d'IP et du firewall en mode très restrictif.
2- Tentative d'identification (forte) de l'endroit où on se
trouve.
3- Le cas échéant, redémarrage du firewall avec des paramètres
moins restrictifs (voire, arrêt du firewall).
D'autre part, le portable étant sous Windows, l'emploi des scripts est
plus délicat, surtout pour configurer un firewall.
Perso, j'aurais pensé à un fichier bash avec des if($home = "maison") et autres gestion de variables.
Je ne vois pas bien quelles variables tester pour être sûr de savoir où on se trouve.
De toutes façons, il y a forcément une tentative d'identification du serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les ports ou pas. Et qui dit identification du serveur dit (a priori) communication IP, donc couche IP déjà lancée. Il faudrait donc avoir le mécanisme : 1- Lancement d'IP et du firewall en mode très restrictif. 2- Tentative d'identification (forte) de l'endroit où on se trouve. 3- Le cas échéant, redémarrage du firewall avec des paramètres moins restrictifs (voire, arrêt du firewall).
D'autre part, le portable étant sous Windows, l'emploi des scripts est plus délicat, surtout pour configurer un firewall.
Samuel
Bonjour,
Bonjour, J'avais déjà exposé ici mon problème (y'a longtemps) : un ordinateur portable, dont le firewall doit avoir une configuration beaucoup plus souple quand il est dans notre LAN que quand il est branché ailleurs. Il doit même servir de serveur de fichiers, pour que son "propriétaire" puisse accéder à ses fichiers depuis un PC qui se trouve à un autre étage. À l'occasion d'un changement de matériel, j'ai décidé de m'y mettre sérieusement. Et je n'ai trouvé qu'une solution : un VPN (inaccessible depuis l'extérieur) entre le serveur, le portable, et le deuxième PC. Ça permet d'avoir, sur le portable, une interface réseau physique, sur laquelle tous les ports sont fermés (sauf le port pour OpenVPN), et une interface réseau virtuelle, active uniquement quand le portable est branché sur notre LAN, et sur laquelle tous les ports sont ouverts. C'est certes une solution très formatrice (ça m'a permis d'apprendre à utiliser OpenVPN, et m'a forcé à faire fonctionner WINS et CUPS), mais ça me paraît un peu bourrin. Qu'en pensez-vous ? Est-ce une bombe atomique pour écraser une mouche ? Y a-t-il un détail que j'ai oublié et qui fout tout en l'air ? Merci d'avance pour vos commentaires...
Est-ce qu'il y a un domaine AD dans le LAN ou est-ce un partage en groupe de travail ? S'il y a un domaine AD, déjà on peut configurer un script sur le serveur Windows qui ne se lance sur le portable que quand on est dans le domaine (donc le Lan). S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le portable et la passerelle avec les règles iptables adéquates. Le deuxième PC trouvera tout seul le chemin du VPN via la passerelle.
Un petit dessin de l'archi ?
Samuel.
Bonjour,
Bonjour,
J'avais déjà exposé ici mon problème (y'a longtemps) : un ordinateur
portable, dont le firewall doit avoir une configuration beaucoup plus
souple quand il est dans notre LAN que quand il est branché ailleurs.
Il doit même servir de serveur de fichiers, pour que son
"propriétaire" puisse accéder à ses fichiers depuis un PC qui se
trouve à un autre étage.
À l'occasion d'un changement de matériel, j'ai décidé de m'y mettre
sérieusement.
Et je n'ai trouvé qu'une solution : un VPN (inaccessible depuis
l'extérieur) entre le serveur, le portable, et le deuxième PC. Ça
permet d'avoir, sur le portable, une interface réseau physique, sur
laquelle tous les ports sont fermés (sauf le port pour OpenVPN), et
une interface réseau virtuelle, active uniquement quand le portable
est branché sur notre LAN, et sur laquelle tous les ports sont
ouverts.
C'est certes une solution très formatrice (ça m'a permis d'apprendre à
utiliser OpenVPN, et m'a forcé à faire fonctionner WINS et CUPS), mais
ça me paraît un peu bourrin.
Qu'en pensez-vous ?
Est-ce une bombe atomique pour écraser une mouche ?
Y a-t-il un détail que j'ai oublié et qui fout tout en l'air ?
Merci d'avance pour vos commentaires...
Est-ce qu'il y a un domaine AD dans le LAN ou est-ce un partage en
groupe de travail ?
S'il y a un domaine AD, déjà on peut configurer un script sur le serveur
Windows qui ne se lance sur le portable que quand on est dans le domaine
(donc le Lan).
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le
portable et la passerelle avec les règles iptables adéquates. Le
deuxième PC trouvera tout seul le chemin du VPN via la passerelle.
Bonjour, J'avais déjà exposé ici mon problème (y'a longtemps) : un ordinateur portable, dont le firewall doit avoir une configuration beaucoup plus souple quand il est dans notre LAN que quand il est branché ailleurs. Il doit même servir de serveur de fichiers, pour que son "propriétaire" puisse accéder à ses fichiers depuis un PC qui se trouve à un autre étage. À l'occasion d'un changement de matériel, j'ai décidé de m'y mettre sérieusement. Et je n'ai trouvé qu'une solution : un VPN (inaccessible depuis l'extérieur) entre le serveur, le portable, et le deuxième PC. Ça permet d'avoir, sur le portable, une interface réseau physique, sur laquelle tous les ports sont fermés (sauf le port pour OpenVPN), et une interface réseau virtuelle, active uniquement quand le portable est branché sur notre LAN, et sur laquelle tous les ports sont ouverts. C'est certes une solution très formatrice (ça m'a permis d'apprendre à utiliser OpenVPN, et m'a forcé à faire fonctionner WINS et CUPS), mais ça me paraît un peu bourrin. Qu'en pensez-vous ? Est-ce une bombe atomique pour écraser une mouche ? Y a-t-il un détail que j'ai oublié et qui fout tout en l'air ? Merci d'avance pour vos commentaires...
Est-ce qu'il y a un domaine AD dans le LAN ou est-ce un partage en groupe de travail ? S'il y a un domaine AD, déjà on peut configurer un script sur le serveur Windows qui ne se lance sur le portable que quand on est dans le domaine (donc le Lan). S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le portable et la passerelle avec les règles iptables adéquates. Le deuxième PC trouvera tout seul le chemin du VPN via la passerelle.
Un petit dessin de l'archi ?
Samuel.
Thibaut Henin
Je ne vois pas bien quelles variables tester pour être sûr de savoir où on se trouve.
Je pensais les passer en ligne de commande. Exemple :
#! /bin/sh
if ($1 = "-h") then $home=$2 fi ...
Et pour lancer :
$ sh monscript.sh -h maison
De toutes façons, il y a forcément une tentative d'identification du serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les ports ou pas.
Je ne vois pas trop de quelles "tentative d'identification" tu parles.
Et qui dit identification du serveur dit (a priori) communication IP, donc couche IP déjà lancée. Il faudrait donc avoir le mécanisme : 1- Lancement d'IP et du firewall en mode très restrictif. 2- Tentative d'identification (forte) de l'endroit où on se trouve. 3- Le cas échéant, redémarrage du firewall avec des paramètres moins restrictifs (voire, arrêt du firewall).
Pourquoi ne pas demander à ce que le réseaux ne se lance pas au démarrage... comme ça, plus de problème, il suffit de le lancer soit-même avec les paramètres qu'on veut et une configuration maitrisée...
D'autre part, le portable étant sous Windows, l'emploi des scripts est plus délicat, surtout pour configurer un firewall.
C'est vrai que les batch ne permettent pas autant de choses que les bash... Sinon, j'ai pensé à un truc : déclarer plusieurs utilisateurs avec chaqu'un une configuration perso. C'est peut-être pas possible de configurer le firewall différement suivant les utilisateurs mais si c'est possible, c'est peut-être une solution.
Sinon, Faut voire si le firewall (puisque c'est le principal problème) permet de le lancer avec des configurations différentes (voire des fichiers de configurations différentes). En interdisant à windows d'activer le raiseaux au démarrage, on peut le faire à la main ensuite (lancement du firewall, puis du raiseaux). Un p'tit script (voire deux - un par configuration - si on veut éviter les arguments en ligne de commande et "double-cliquer" sur les icones tranquillement) pour lancer le raiseau automatiquement.
Après, c'est surtout une histoire de priorité. Sécurité/facilité/liberté/...
Je ne vois pas bien quelles variables tester pour être sûr de savoir
où on se trouve.
Je pensais les passer en ligne de commande. Exemple :
#! /bin/sh
if ($1 = "-h")
then
$home=$2
fi
...
Et pour lancer :
$ sh monscript.sh -h maison
De toutes façons, il y a forcément une tentative d'identification du
serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les
ports ou pas.
Je ne vois pas trop de quelles "tentative d'identification" tu parles.
Et qui dit identification du serveur dit (a priori) communication IP,
donc couche IP déjà lancée. Il faudrait donc avoir le mécanisme :
1- Lancement d'IP et du firewall en mode très restrictif.
2- Tentative d'identification (forte) de l'endroit où on se
trouve.
3- Le cas échéant, redémarrage du firewall avec des paramètres
moins restrictifs (voire, arrêt du firewall).
Pourquoi ne pas demander à ce que le réseaux ne se lance pas au
démarrage... comme ça, plus de problème, il suffit de le lancer
soit-même avec les paramètres qu'on veut et une configuration maitrisée...
D'autre part, le portable étant sous Windows, l'emploi des scripts est
plus délicat, surtout pour configurer un firewall.
C'est vrai que les batch ne permettent pas autant de choses que les
bash... Sinon, j'ai pensé à un truc : déclarer plusieurs utilisateurs
avec chaqu'un une configuration perso. C'est peut-être pas possible de
configurer le firewall différement suivant les utilisateurs mais si
c'est possible, c'est peut-être une solution.
Sinon, Faut voire si le firewall (puisque c'est le principal problème)
permet de le lancer avec des configurations différentes (voire des
fichiers de configurations différentes). En interdisant à windows
d'activer le raiseaux au démarrage, on peut le faire à la main ensuite
(lancement du firewall, puis du raiseaux). Un p'tit script (voire deux -
un par configuration - si on veut éviter les arguments en ligne de
commande et "double-cliquer" sur les icones tranquillement) pour lancer
le raiseau automatiquement.
Après, c'est surtout une histoire de priorité.
Sécurité/facilité/liberté/...
Je ne vois pas bien quelles variables tester pour être sûr de savoir où on se trouve.
Je pensais les passer en ligne de commande. Exemple :
#! /bin/sh
if ($1 = "-h") then $home=$2 fi ...
Et pour lancer :
$ sh monscript.sh -h maison
De toutes façons, il y a forcément une tentative d'identification du serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les ports ou pas.
Je ne vois pas trop de quelles "tentative d'identification" tu parles.
Et qui dit identification du serveur dit (a priori) communication IP, donc couche IP déjà lancée. Il faudrait donc avoir le mécanisme : 1- Lancement d'IP et du firewall en mode très restrictif. 2- Tentative d'identification (forte) de l'endroit où on se trouve. 3- Le cas échéant, redémarrage du firewall avec des paramètres moins restrictifs (voire, arrêt du firewall).
Pourquoi ne pas demander à ce que le réseaux ne se lance pas au démarrage... comme ça, plus de problème, il suffit de le lancer soit-même avec les paramètres qu'on veut et une configuration maitrisée...
D'autre part, le portable étant sous Windows, l'emploi des scripts est plus délicat, surtout pour configurer un firewall.
C'est vrai que les batch ne permettent pas autant de choses que les bash... Sinon, j'ai pensé à un truc : déclarer plusieurs utilisateurs avec chaqu'un une configuration perso. C'est peut-être pas possible de configurer le firewall différement suivant les utilisateurs mais si c'est possible, c'est peut-être une solution.
Sinon, Faut voire si le firewall (puisque c'est le principal problème) permet de le lancer avec des configurations différentes (voire des fichiers de configurations différentes). En interdisant à windows d'activer le raiseaux au démarrage, on peut le faire à la main ensuite (lancement du firewall, puis du raiseaux). Un p'tit script (voire deux - un par configuration - si on veut éviter les arguments en ligne de commande et "double-cliquer" sur les icones tranquillement) pour lancer le raiseau automatiquement.
Après, c'est surtout une histoire de priorité. Sécurité/facilité/liberté/...
Fabien LE LEZ
On 21 Mar 2006 12:53:45 GMT, Thibaut Henin :
Et pour lancer :
$ sh monscript.sh -h maison
Pas bon. Si jamais on se goure, et qu'on tape la mauvaise commande alors qu'on est sur l'accès Wifi d'un aéroport, on a un PC ouvert à tous les vents...
De toutes façons, il y a forcément une tentative d'identification du serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les ports ou pas.
Je ne vois pas trop de quelles "tentative d'identification" tu parles.
La seule façon de savoir, pour le portable, s'il est sur le LAN ou pas, c'est d'essayer d'identifier le serveur. Par exemple, essayer de se connecter à 192.168.12.56 sur le port 545 ; si le serveur lui répond "Sésame, ouvre-toi", le portable sait que c'est le bon serveur, donc qu'on est sur le bon LAN, donc qu'on peut ouvrir le firewall.
Pourquoi ne pas demander à ce que le réseaux ne se lance pas au démarrage... comme ça, plus de problème, il suffit de le lancer soit-même avec les paramètres qu'on veut et une configuration maitrisée...
Je vois bien l'utilisateur du portable se tromper, voire prétendre qu'il est dans le LAN pour une raison ou pour une autre. Par exemple, lors d'une panne du serveur mail, l'utilisateur s'apercevra que le mail ne marche pas, croira que c'est à cause de lui, et essaiera tout en vrac pour tenter de "réparer".
Note que même sur mon propre portable (si j'en avais un), je n'oserais vraisemblablement pas mettre un truc manuel en place, car je sais qu'un jour ou l'autre je vais me tromper.
Après, c'est surtout une histoire de priorité. Sécurité/facilité/liberté/...
Justement, j'aime autant un truc 100 % automatique : rien à faire pour l'utilisateur, pas de risque d'erreur.
On 21 Mar 2006 12:53:45 GMT, Thibaut Henin <Thibaut.Henin@irisa.fr>:
Et pour lancer :
$ sh monscript.sh -h maison
Pas bon. Si jamais on se goure, et qu'on tape la mauvaise commande
alors qu'on est sur l'accès Wifi d'un aéroport, on a un PC ouvert à
tous les vents...
De toutes façons, il y a forcément une tentative d'identification du
serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les
ports ou pas.
Je ne vois pas trop de quelles "tentative d'identification" tu parles.
La seule façon de savoir, pour le portable, s'il est sur le LAN ou
pas, c'est d'essayer d'identifier le serveur.
Par exemple, essayer de se connecter à 192.168.12.56 sur le port 545 ;
si le serveur lui répond "Sésame, ouvre-toi", le portable sait que
c'est le bon serveur, donc qu'on est sur le bon LAN, donc qu'on peut
ouvrir le firewall.
Pourquoi ne pas demander à ce que le réseaux ne se lance pas au
démarrage... comme ça, plus de problème, il suffit de le lancer
soit-même avec les paramètres qu'on veut et une configuration maitrisée...
Je vois bien l'utilisateur du portable se tromper, voire prétendre
qu'il est dans le LAN pour une raison ou pour une autre. Par exemple,
lors d'une panne du serveur mail, l'utilisateur s'apercevra que le
mail ne marche pas, croira que c'est à cause de lui, et essaiera tout
en vrac pour tenter de "réparer".
Note que même sur mon propre portable (si j'en avais un), je n'oserais
vraisemblablement pas mettre un truc manuel en place, car je sais
qu'un jour ou l'autre je vais me tromper.
Après, c'est surtout une histoire de priorité.
Sécurité/facilité/liberté/...
Justement, j'aime autant un truc 100 % automatique : rien à faire pour
l'utilisateur, pas de risque d'erreur.
Pas bon. Si jamais on se goure, et qu'on tape la mauvaise commande alors qu'on est sur l'accès Wifi d'un aéroport, on a un PC ouvert à tous les vents...
De toutes façons, il y a forcément une tentative d'identification du serveur (ou autre machine du LAN) pour savoir si on peut ouvrir les ports ou pas.
Je ne vois pas trop de quelles "tentative d'identification" tu parles.
La seule façon de savoir, pour le portable, s'il est sur le LAN ou pas, c'est d'essayer d'identifier le serveur. Par exemple, essayer de se connecter à 192.168.12.56 sur le port 545 ; si le serveur lui répond "Sésame, ouvre-toi", le portable sait que c'est le bon serveur, donc qu'on est sur le bon LAN, donc qu'on peut ouvrir le firewall.
Pourquoi ne pas demander à ce que le réseaux ne se lance pas au démarrage... comme ça, plus de problème, il suffit de le lancer soit-même avec les paramètres qu'on veut et une configuration maitrisée...
Je vois bien l'utilisateur du portable se tromper, voire prétendre qu'il est dans le LAN pour une raison ou pour une autre. Par exemple, lors d'une panne du serveur mail, l'utilisateur s'apercevra que le mail ne marche pas, croira que c'est à cause de lui, et essaiera tout en vrac pour tenter de "réparer".
Note que même sur mon propre portable (si j'en avais un), je n'oserais vraisemblablement pas mettre un truc manuel en place, car je sais qu'un jour ou l'autre je vais me tromper.
Après, c'est surtout une histoire de priorité. Sécurité/facilité/liberté/...
Justement, j'aime autant un truc 100 % automatique : rien à faire pour l'utilisateur, pas de risque d'erreur.
Fabien LE LEZ
On 21 Mar 2006 12:53:45 GMT, Samuel :
Est-ce qu'il y a un domaine AD dans le LAN
Non.
ou est-ce un partage en groupe de travail ?
Oui. Le serveur central fait tourner Samba en mode "serveur isolé" (sans domaine). C'est la même machine qui héberge le serveur OpenVPN.
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le portable et la passerelle avec les règles iptables adéquates. Le deuxième PC trouvera tout seul le chemin du VPN via la passerelle. Un petit dessin de l'archi ?
A priori, ça ne m'intéresse pas spécialement (ce n'est pas vraiment plus simple que ce que j'ai mis en place), mais pour ma culture personnelle, j'aimerais effectivement quelques explications. Merci d'avance.
On 21 Mar 2006 12:53:45 GMT, Samuel <no-more-spam@invalid.invalid>:
Est-ce qu'il y a un domaine AD dans le LAN
Non.
ou est-ce un partage en groupe de travail ?
Oui.
Le serveur central fait tourner Samba en mode "serveur isolé" (sans
domaine). C'est la même machine qui héberge le serveur OpenVPN.
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le
portable et la passerelle avec les règles iptables adéquates. Le
deuxième PC trouvera tout seul le chemin du VPN via la passerelle.
Un petit dessin de l'archi ?
A priori, ça ne m'intéresse pas spécialement (ce n'est pas vraiment
plus simple que ce que j'ai mis en place), mais pour ma culture
personnelle, j'aimerais effectivement quelques explications.
Merci d'avance.
Oui. Le serveur central fait tourner Samba en mode "serveur isolé" (sans domaine). C'est la même machine qui héberge le serveur OpenVPN.
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le portable et la passerelle avec les règles iptables adéquates. Le deuxième PC trouvera tout seul le chemin du VPN via la passerelle. Un petit dessin de l'archi ?
A priori, ça ne m'intéresse pas spécialement (ce n'est pas vraiment plus simple que ce que j'ai mis en place), mais pour ma culture personnelle, j'aimerais effectivement quelques explications. Merci d'avance.
Samuel
On 21 Mar 2006 12:53:45 GMT, Samuel :
Est-ce qu'il y a un domaine AD dans le LAN Non.
Bon, faut trouver autre chose alors.
ou est-ce un partage en groupe de travail ? Oui.
Le serveur central fait tourner Samba en mode "serveur isolé" (sans domaine). C'est la même machine qui héberge le serveur OpenVPN.
Je n'ai jamais testé Samba ... n'est-il pas possible de définir un pseudo domaine avec des script dans un dossier partagé du Linux qui pourraient s'exécuter automatiquement sur le XP comme sur un vrai domaine AD ? J'avais cru comprendre que Samba pouvait s'intégrer dans un domaine AD, mais pour remplacer un domaine AD pour le lancement de scripts, je ne sais pas.
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le portable et la passerelle avec les règles iptables adéquates. Le deuxième PC trouvera tout seul le chemin du VPN via la passerelle. Un petit dessin de l'archi ?
A priori, ça ne m'intéresse pas spécialement (ce n'est pas vraiment plus simple que ce que j'ai mis en place), mais pour ma culture personnelle, j'aimerais effectivement quelques explications. Merci d'avance.
Je crois que j'ai parlé trop vite, les deux VPN sont obligatoires.
Samuel.
On 21 Mar 2006 12:53:45 GMT, Samuel <no-more-spam@invalid.invalid>:
Est-ce qu'il y a un domaine AD dans le LAN
Non.
Bon, faut trouver autre chose alors.
ou est-ce un partage en groupe de travail ?
Oui.
Le serveur central fait tourner Samba en mode "serveur isolé" (sans
domaine). C'est la même machine qui héberge le serveur OpenVPN.
Je n'ai jamais testé Samba ... n'est-il pas possible de définir un
pseudo domaine avec des script dans un dossier partagé du Linux qui
pourraient s'exécuter automatiquement sur le XP comme sur un vrai
domaine AD ?
J'avais cru comprendre que Samba pouvait s'intégrer dans un domaine AD,
mais pour remplacer un domaine AD pour le lancement de scripts, je ne
sais pas.
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le
portable et la passerelle avec les règles iptables adéquates. Le
deuxième PC trouvera tout seul le chemin du VPN via la passerelle.
Un petit dessin de l'archi ?
A priori, ça ne m'intéresse pas spécialement (ce n'est pas vraiment
plus simple que ce que j'ai mis en place), mais pour ma culture
personnelle, j'aimerais effectivement quelques explications.
Merci d'avance.
Je crois que j'ai parlé trop vite, les deux VPN sont obligatoires.
Le serveur central fait tourner Samba en mode "serveur isolé" (sans domaine). C'est la même machine qui héberge le serveur OpenVPN.
Je n'ai jamais testé Samba ... n'est-il pas possible de définir un pseudo domaine avec des script dans un dossier partagé du Linux qui pourraient s'exécuter automatiquement sur le XP comme sur un vrai domaine AD ? J'avais cru comprendre que Samba pouvait s'intégrer dans un domaine AD, mais pour remplacer un domaine AD pour le lancement de scripts, je ne sais pas.
S'il y a une passerelle sous Linux, j'aurais juste mis le VPN entre le portable et la passerelle avec les règles iptables adéquates. Le deuxième PC trouvera tout seul le chemin du VPN via la passerelle. Un petit dessin de l'archi ?
A priori, ça ne m'intéresse pas spécialement (ce n'est pas vraiment plus simple que ce que j'ai mis en place), mais pour ma culture personnelle, j'aimerais effectivement quelques explications. Merci d'avance.
Je crois que j'ai parlé trop vite, les deux VPN sont obligatoires.
Samuel.
Fabien LE LEZ
On 21 Mar 2006 17:12:03 GMT, Samuel :
Je n'ai jamais testé Samba ... n'est-il pas possible de définir un pseudo domaine avec des script dans un dossier partagé du Linux qui pourraient s'exécuter automatiquement sur le XP comme sur un vrai domaine AD ?
Si. Mais c'est nettement plus bourrin que de simplement créer un VPN.
Je crois que j'ai parlé trop vite, les deux VPN sont obligatoires.
En fait, on peut se démerder sans OpenVPN sur le deuxième PC -- par exemple, si on veut que le portable ait accès à tous les PC du LAN. Mais ce n'est pas mon cas.
On 21 Mar 2006 17:12:03 GMT, Samuel <no-more-spam@invalid.invalid>:
Je n'ai jamais testé Samba ... n'est-il pas possible de définir un
pseudo domaine avec des script dans un dossier partagé du Linux qui
pourraient s'exécuter automatiquement sur le XP comme sur un vrai
domaine AD ?
Si. Mais c'est nettement plus bourrin que de simplement créer un VPN.
Je crois que j'ai parlé trop vite, les deux VPN sont obligatoires.
En fait, on peut se démerder sans OpenVPN sur le deuxième PC -- par
exemple, si on veut que le portable ait accès à tous les PC du LAN.
Mais ce n'est pas mon cas.
Je n'ai jamais testé Samba ... n'est-il pas possible de définir un pseudo domaine avec des script dans un dossier partagé du Linux qui pourraient s'exécuter automatiquement sur le XP comme sur un vrai domaine AD ?
Si. Mais c'est nettement plus bourrin que de simplement créer un VPN.
Je crois que j'ai parlé trop vite, les deux VPN sont obligatoires.
En fait, on peut se démerder sans OpenVPN sur le deuxième PC -- par exemple, si on veut que le portable ait accès à tous les PC du LAN. Mais ce n'est pas mon cas.
Eric Razny
Le Tue, 21 Mar 2006 21:33:16 +0000, Fabien LE LEZ a écrit :
En fait, on peut se démerder sans OpenVPN sur le deuxième PC -- par exemple, si on veut que le portable ait accès à tous les PC du LAN. Mais ce n'est pas mon cas.
Par curiosité tu utilise openvpn avec des certifs ou des clefs partagées? Parce que si tu utilise la 2eme possibilité je te suggère de jetter un oeil à la première. En gé(ne)rant bien tes certifs tu garde une sacrée souplesse et une fois le pli pris ça s'installe en deux coup de cuillère à pot. C'est clair que c'est un peu le bazooka pour tuer une mouche mais quand tu pense que tu vas avoir quelques flux à faire passer c'est plus simple que de s'emmerder avec du ssh dans tous les sens (d'autant plus que tu ne gère que de la tuyauterie ; ce n'est pas la peine de te demander si tu n'as pas merdé sur le chroot de chaque utilisateur en cas de 'login malgré tout').
Eric
Le Tue, 21 Mar 2006 21:33:16 +0000, Fabien LE LEZ a écrit :
En fait, on peut se démerder sans OpenVPN sur le deuxième PC -- par
exemple, si on veut que le portable ait accès à tous les PC du LAN. Mais
ce n'est pas mon cas.
Par curiosité tu utilise openvpn avec des certifs ou des clefs partagées?
Parce que si tu utilise la 2eme possibilité je te suggère de jetter un
oeil à la première. En gé(ne)rant bien tes certifs tu garde une sacrée
souplesse et une fois le pli pris ça s'installe en deux coup de cuillère
à pot. C'est clair que c'est un peu le bazooka pour tuer une mouche mais
quand tu pense que tu vas avoir quelques flux à faire passer c'est plus
simple que de s'emmerder avec du ssh dans tous les sens (d'autant plus que
tu ne gère que de la tuyauterie ; ce n'est pas la peine de te demander
si tu n'as pas merdé sur le chroot de chaque utilisateur en cas de
'login malgré tout').
Le Tue, 21 Mar 2006 21:33:16 +0000, Fabien LE LEZ a écrit :
En fait, on peut se démerder sans OpenVPN sur le deuxième PC -- par exemple, si on veut que le portable ait accès à tous les PC du LAN. Mais ce n'est pas mon cas.
Par curiosité tu utilise openvpn avec des certifs ou des clefs partagées? Parce que si tu utilise la 2eme possibilité je te suggère de jetter un oeil à la première. En gé(ne)rant bien tes certifs tu garde une sacrée souplesse et une fois le pli pris ça s'installe en deux coup de cuillère à pot. C'est clair que c'est un peu le bazooka pour tuer une mouche mais quand tu pense que tu vas avoir quelques flux à faire passer c'est plus simple que de s'emmerder avec du ssh dans tous les sens (d'autant plus que tu ne gère que de la tuyauterie ; ce n'est pas la peine de te demander si tu n'as pas merdé sur le chroot de chaque utilisateur en cas de 'login malgré tout').
Eric
Fabien LE LEZ
On 21 Mar 2006 23:38:31 GMT, Eric Razny :
Par curiosité tu utilise openvpn avec des certifs ou des clefs partagées?
Avec des certifs. En fait, j'ai suivi le howto officiel, et ils ne parlent même pas de clés partagées.
On 21 Mar 2006 23:38:31 GMT, Eric Razny <news_01@razny.net>:
Par curiosité tu utilise openvpn avec des certifs ou des clefs partagées?
Avec des certifs.
En fait, j'ai suivi le howto officiel, et ils ne parlent même pas de
clés partagées.
