Bonjour,
Je vous présente tout d'abord mon archi :
SBS 2003
postes clients en XP pro
routeur VPN
La connection a distance fonctionne parfaitement en interne.
Quand je me connecte depuis l'exterieur via le VPN je ne peux me
connecter qu'au serveur SBS (que ce soit par son ip ou son nom). De
la par une cascade de conections à distance je peux atteindre chaque
poste client (par leur ip ou par leur nom).
Comment faire pour pouvoir attaquer les postes XP sans avoir à passer
par le serveur (ce qui représente quand meme un risque sécuritaire) ?
Quelqu'un aurait-il une idée ?
Mersi d'avance
Patrick
Bonjour,
Je vous présente tout d'abord mon archi :
SBS 2003
postes clients en XP pro
routeur VPN
La connection a distance fonctionne parfaitement en interne.
Quand je me connecte depuis l'exterieur via le VPN je ne peux me
connecter qu'au serveur SBS (que ce soit par son ip ou son nom). De
la par une cascade de conections à distance je peux atteindre chaque
poste client (par leur ip ou par leur nom).
Comment faire pour pouvoir attaquer les postes XP sans avoir à passer
par le serveur (ce qui représente quand meme un risque sécuritaire) ?
Quelqu'un aurait-il une idée ?
Mersi d'avance
Patrick
Bonjour,
Je vous présente tout d'abord mon archi :
SBS 2003
postes clients en XP pro
routeur VPN
La connection a distance fonctionne parfaitement en interne.
Quand je me connecte depuis l'exterieur via le VPN je ne peux me
connecter qu'au serveur SBS (que ce soit par son ip ou son nom). De
la par une cascade de conections à distance je peux atteindre chaque
poste client (par leur ip ou par leur nom).
Comment faire pour pouvoir attaquer les postes XP sans avoir à passer
par le serveur (ce qui représente quand meme un risque sécuritaire) ?
Quelqu'un aurait-il une idée ?
Mersi d'avance
Patrick
bonjour Patrick,
Dans le news Patrick tapote :Bonjour,
Je vous présente tout d'abord mon archi :
SBS 2003
postes clients en XP pro
routeur VPN
La connection a distance fonctionne parfaitement en interne.
Quand je me connecte depuis l'exterieur via le VPN je ne peux me
connecter qu'au serveur SBS (que ce soit par son ip ou son nom). De
la par une cascade de conections à distance je peux atteindre chaque
poste client (par leur ip ou par leur nom).
Comment faire pour pouvoir attaquer les postes XP sans avoir à passer
par le serveur (ce qui représente quand meme un risque sécuritaire) ?
Quelqu'un aurait-il une idée ?
Mersi d'avance
Patrick
oui est non si ton SBS est monté avec 2 cartes réseau 1 pour le réseau local
et une pour l'accès internet ou VPN ça fait plutôt une sécurité
supplémentaire pour le réseau local puisque le SBS fait alors un pare-feu
supplémentaire.
si tu ne veux pas passer par le serveur de mon avis ce serait alors de
mettre le VPN ou l'accès internet directement sur le réseau local. dans ce
cas les risques pour le serveur sont les mêmes (voir plus important) et les
station moins protégée
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
bonjour Patrick,
Dans le news Patrick tapote :
Bonjour,
Je vous présente tout d'abord mon archi :
SBS 2003
postes clients en XP pro
routeur VPN
La connection a distance fonctionne parfaitement en interne.
Quand je me connecte depuis l'exterieur via le VPN je ne peux me
connecter qu'au serveur SBS (que ce soit par son ip ou son nom). De
la par une cascade de conections à distance je peux atteindre chaque
poste client (par leur ip ou par leur nom).
Comment faire pour pouvoir attaquer les postes XP sans avoir à passer
par le serveur (ce qui représente quand meme un risque sécuritaire) ?
Quelqu'un aurait-il une idée ?
Mersi d'avance
Patrick
oui est non si ton SBS est monté avec 2 cartes réseau 1 pour le réseau local
et une pour l'accès internet ou VPN ça fait plutôt une sécurité
supplémentaire pour le réseau local puisque le SBS fait alors un pare-feu
supplémentaire.
si tu ne veux pas passer par le serveur de mon avis ce serait alors de
mettre le VPN ou l'accès internet directement sur le réseau local. dans ce
cas les risques pour le serveur sont les mêmes (voir plus important) et les
station moins protégée
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
bonjour Patrick,
Dans le news Patrick tapote :Bonjour,
Je vous présente tout d'abord mon archi :
SBS 2003
postes clients en XP pro
routeur VPN
La connection a distance fonctionne parfaitement en interne.
Quand je me connecte depuis l'exterieur via le VPN je ne peux me
connecter qu'au serveur SBS (que ce soit par son ip ou son nom). De
la par une cascade de conections à distance je peux atteindre chaque
poste client (par leur ip ou par leur nom).
Comment faire pour pouvoir attaquer les postes XP sans avoir à passer
par le serveur (ce qui représente quand meme un risque sécuritaire) ?
Quelqu'un aurait-il une idée ?
Mersi d'avance
Patrick
oui est non si ton SBS est monté avec 2 cartes réseau 1 pour le réseau local
et une pour l'accès internet ou VPN ça fait plutôt une sécurité
supplémentaire pour le réseau local puisque le SBS fait alors un pare-feu
supplémentaire.
si tu ne veux pas passer par le serveur de mon avis ce serait alors de
mettre le VPN ou l'accès internet directement sur le réseau local. dans ce
cas les risques pour le serveur sont les mêmes (voir plus important) et les
station moins protégée
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
Merci de ta réponse.
Effectivement je me suis mal exprimé.
Mon routeur VPN est entre le modem (normal) et le LAN. Je n'ai qu'une
carte réseau dans le serveur.
Mon routeur est configuré classiquement, rien en entrée, tout (ou
presque) en sortie. Il s'agit d'un linksys RV082. Pour l'instant
seule la patte lan est utilisée mais à terme je mettrais également
une DMZ dessus.
Ce que je ne m'explique pas c'est qu'après avoir monté le tunnel, je
peux attaquer le serveur mais pas les postes ....
Quand je parle de risque pour le serveur c'est que pour attaquer les
postes je suis obligé de faire une connexion BàD sur le serveur et
ensuite une connexion BàD depuis la console du serveur vers les
postes clients.
Ca m'embette un peu d'etre obligé de passer par le serveur.
ben sur le serveur tu as une console admin de type TS pas sur les XP Pro
Merci de ta réponse.
Effectivement je me suis mal exprimé.
Mon routeur VPN est entre le modem (normal) et le LAN. Je n'ai qu'une
carte réseau dans le serveur.
Mon routeur est configuré classiquement, rien en entrée, tout (ou
presque) en sortie. Il s'agit d'un linksys RV082. Pour l'instant
seule la patte lan est utilisée mais à terme je mettrais également
une DMZ dessus.
Ce que je ne m'explique pas c'est qu'après avoir monté le tunnel, je
peux attaquer le serveur mais pas les postes ....
Quand je parle de risque pour le serveur c'est que pour attaquer les
postes je suis obligé de faire une connexion BàD sur le serveur et
ensuite une connexion BàD depuis la console du serveur vers les
postes clients.
Ca m'embette un peu d'etre obligé de passer par le serveur.
ben sur le serveur tu as une console admin de type TS pas sur les XP Pro
Merci de ta réponse.
Effectivement je me suis mal exprimé.
Mon routeur VPN est entre le modem (normal) et le LAN. Je n'ai qu'une
carte réseau dans le serveur.
Mon routeur est configuré classiquement, rien en entrée, tout (ou
presque) en sortie. Il s'agit d'un linksys RV082. Pour l'instant
seule la patte lan est utilisée mais à terme je mettrais également
une DMZ dessus.
Ce que je ne m'explique pas c'est qu'après avoir monté le tunnel, je
peux attaquer le serveur mais pas les postes ....
Quand je parle de risque pour le serveur c'est que pour attaquer les
postes je suis obligé de faire une connexion BàD sur le serveur et
ensuite une connexion BàD depuis la console du serveur vers les
postes clients.
Ca m'embette un peu d'etre obligé de passer par le serveur.
ben sur le serveur tu as une console admin de type TS pas sur les XP Pro
bonjour Patrick,
Dans le news Patrick tapote :Merci de ta réponse.
Effectivement je me suis mal exprimé.
Mon routeur VPN est entre le modem (normal) et le LAN. Je n'ai qu'une
carte réseau dans le serveur.
Mon routeur est configuré classiquement, rien en entrée, tout (ou
presque) en sortie. Il s'agit d'un linksys RV082. Pour l'instant
seule la patte lan est utilisée mais à terme je mettrais également
une DMZ dessus.
Ce que je ne m'explique pas c'est qu'après avoir monté le tunnel, je
peux attaquer le serveur mais pas les postes ....
Quand je parle de risque pour le serveur c'est que pour attaquer les
postes je suis obligé de faire une connexion BàD sur le serveur et
ensuite une connexion BàD depuis la console du serveur vers les
postes clients.
Ca m'embette un peu d'etre obligé de passer par le serveur.
ben sur le serveur tu as une console admin de type TS pas sur les XP Pro
donoc tu y a accès comme un serveur TS pour 2 connexions simultanée en plus
de la console pas sur les postes XP : ton problème viens peut être de là
que veux tu faire exactement ? prendre la main à distance pour du SAV ou
travailler a distance ?
pour du SAV perso je te conseillerais plutôt UltraVNC ou sa déclinaison
PChelpware avec ça tu peut prendre la main même sans VPN directement par un
accès internet en faisant un NAT sur le routeur
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
bonjour Patrick,
Dans le news Patrick tapote :
Merci de ta réponse.
Effectivement je me suis mal exprimé.
Mon routeur VPN est entre le modem (normal) et le LAN. Je n'ai qu'une
carte réseau dans le serveur.
Mon routeur est configuré classiquement, rien en entrée, tout (ou
presque) en sortie. Il s'agit d'un linksys RV082. Pour l'instant
seule la patte lan est utilisée mais à terme je mettrais également
une DMZ dessus.
Ce que je ne m'explique pas c'est qu'après avoir monté le tunnel, je
peux attaquer le serveur mais pas les postes ....
Quand je parle de risque pour le serveur c'est que pour attaquer les
postes je suis obligé de faire une connexion BàD sur le serveur et
ensuite une connexion BàD depuis la console du serveur vers les
postes clients.
Ca m'embette un peu d'etre obligé de passer par le serveur.
ben sur le serveur tu as une console admin de type TS pas sur les XP Pro
donoc tu y a accès comme un serveur TS pour 2 connexions simultanée en plus
de la console pas sur les postes XP : ton problème viens peut être de là
que veux tu faire exactement ? prendre la main à distance pour du SAV ou
travailler a distance ?
pour du SAV perso je te conseillerais plutôt UltraVNC ou sa déclinaison
PChelpware avec ça tu peut prendre la main même sans VPN directement par un
accès internet en faisant un NAT sur le routeur
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
bonjour Patrick,
Dans le news Patrick tapote :Merci de ta réponse.
Effectivement je me suis mal exprimé.
Mon routeur VPN est entre le modem (normal) et le LAN. Je n'ai qu'une
carte réseau dans le serveur.
Mon routeur est configuré classiquement, rien en entrée, tout (ou
presque) en sortie. Il s'agit d'un linksys RV082. Pour l'instant
seule la patte lan est utilisée mais à terme je mettrais également
une DMZ dessus.
Ce que je ne m'explique pas c'est qu'après avoir monté le tunnel, je
peux attaquer le serveur mais pas les postes ....
Quand je parle de risque pour le serveur c'est que pour attaquer les
postes je suis obligé de faire une connexion BàD sur le serveur et
ensuite une connexion BàD depuis la console du serveur vers les
postes clients.
Ca m'embette un peu d'etre obligé de passer par le serveur.
ben sur le serveur tu as une console admin de type TS pas sur les XP Pro
donoc tu y a accès comme un serveur TS pour 2 connexions simultanée en plus
de la console pas sur les postes XP : ton problème viens peut être de là
que veux tu faire exactement ? prendre la main à distance pour du SAV ou
travailler a distance ?
pour du SAV perso je te conseillerais plutôt UltraVNC ou sa déclinaison
PChelpware avec ça tu peut prendre la main même sans VPN directement par un
accès internet en faisant un NAT sur le routeur
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
Bonsoir Olivier et merci de t'interresser à mon problème.
Pour te répondre je souhaite faire ... les deux.
Je connais VNC et je l'utilise pour certains clients.
Neammoins pour cette installation là il y a non seulement un besoin de
maintenance (qui pourrait à la rigueur se faire en VNC) mais
également les dirigeants qui veulent se connecter à leur poste pour
bosser (pdt les grèves c'est bien pratique ...).
Si je suis forcé de passer par le serveur je crois que je vais tester
au moins en créant des comptes utilisateurs lambda.
Mais si tu as une autre soluce ......... welcome :)
Encore merci en tout cas
Bonsoir Olivier et merci de t'interresser à mon problème.
Pour te répondre je souhaite faire ... les deux.
Je connais VNC et je l'utilise pour certains clients.
Neammoins pour cette installation là il y a non seulement un besoin de
maintenance (qui pourrait à la rigueur se faire en VNC) mais
également les dirigeants qui veulent se connecter à leur poste pour
bosser (pdt les grèves c'est bien pratique ...).
Si je suis forcé de passer par le serveur je crois que je vais tester
au moins en créant des comptes utilisateurs lambda.
Mais si tu as une autre soluce ......... welcome :)
Encore merci en tout cas
Bonsoir Olivier et merci de t'interresser à mon problème.
Pour te répondre je souhaite faire ... les deux.
Je connais VNC et je l'utilise pour certains clients.
Neammoins pour cette installation là il y a non seulement un besoin de
maintenance (qui pourrait à la rigueur se faire en VNC) mais
également les dirigeants qui veulent se connecter à leur poste pour
bosser (pdt les grèves c'est bien pratique ...).
Si je suis forcé de passer par le serveur je crois que je vais tester
au moins en créant des comptes utilisateurs lambda.
Mais si tu as une autre soluce ......... welcome :)
Encore merci en tout cas