In article <1i3fr1o.feyhs9fwj1v2N%,
(Laurent Pertois) wrote:Thomas wrote:mais si on est admin de l'ordinateur, et qu'on spécifie qu'on veut
effectivement que ça soit différent, en ayant des msgs d'alertes,
pourquoi c'est pas possible ??
Euh, z'ont préféré ne pas s'embêter ?
bon ben ... la réponse à ma 1ere question c'est que c'est pas encore
possible
(j'espère que ça se fera un jour ...)
du coup, je suis obligé de continuer à avoir des scripts et à utiliser
visudo pour pas avoir à taper le mdp à chaque fois :-(
tant pis
(en étant admin on peut bien désactiver le pare-feu, par exemple,
et ça empêchera tjr un employé qui n'a pas le mdp admin de son ordi
fourni par l'entreprise ...)
Voui, mais ils n'ont pas du envisager le cas.
comment ça ?
Par exemple, passerelle anti-virale également, vérification de ce qui
transite par le réseau.
ah oui, y en a qui ont des trucs sophistiqués !
par contre y a encore un truc qui m'échappe, pour ces entreprises qui
veulent totalement contrôler leurs ordis à l'extérieur :
comment elles font pour les obliger à se connecter au vpn, et leur
interdire de se connecter à internet en direct si il y a une
déconnexion, par exemple ?
tu vois ?
je peux comprendre qu'on oblige totalement dans certains cas
(j'ai bien vu les restrictions possibles pour les comptes non admin),
mais entre les 2 comme ça, je ne vois pas à quoi ça sert ...
Toi, oui, d'autres non. On ne peut pas conditionner le changement à ça,
on ne sait pas ce que fait l'utilisateur.
bon, je m'embrouille un peu, je sais pas si je me répète,
mais c'est à l'admin de l'ordi de décider, pas à d'autres
et si on veut restreindre les possibilités d'un employé, on ne lui donne
pas de mdp admin
Ben, cf au-dessus. De plus, tu sais ce que tu fais avec la table de
routage, la plupart des utilisateurs ne le savent pas et donc ne pas
mettre le lien VPN en priorité pourrait les empêcher d'accéder à
certaines ressources du réseau.
ah ?
je vois pas de quelles ressources tu veux parler,
Vraiment ?
comment je le saurais ?
(il ne me semble pas que t'en ai deja parlé dans ce fil)
Déjà, rien ne dit que la classe réseau utilisée sur le réseau distant
n'est pas la même que le réseau local, dans ce cas tu passerais par la
route par défaut et donc pas par le VPN.
ca m'a fait penser que "activer vpn sur demande" servait peut etre à ca :
indiquer d'autres sous reseaux locaux que celui du serveur vpn,
mais non, je peux mettre ce que je veux, netstat ne change pas :-(
De plus, tu parles d'accéder à
un réseau en fonction de la classe réseau,
ah bon ? peut etre que j'ai pas compris tout ce que t'as dit, alors
mais avant de la connaître il
peut y avoir une résolution d'un nom avant et dans ce cas il faut
interroger le serveur DNS. Si ton tunnel VPN n'est pas prioritaire tu
vas interroger le DNS de ta connexion par défaut qui ne renverra pas
forcément la bonne adresse. Par exemple, au bureau suivant que je suis
dans le réseau ou à l'extérieur pour un même nom d'hôte (smtp.fqdn, par
exemple) je n'obtiens pas la même réponse car le serveur DNS interrogé
n'est pas le même.
le vpn a pas moyen de fournir ses dns sans forcer le routage ?
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
Et même si c'était le même il pourrait très bien y
avoir des vues DNS différentes suivant la classe d'adresse
l'interrogeant, un truc assez trivial à faire avec BIND.
oui mis là ça ne change plus rien, si tu changes la route ou pas, si ?
le serveur vpn est un routeur "LanBooster 2104 W"
j'ai pas trouvé comment le parametrer pour "libérer" les clients
est ce que qq sait ?
Mauvais serveur, changer de serveur...
grrr ...
Ben tu dois pouvoir plutôt faire un :
netstat -rn | grep default | grep -c "192.168.1.1"
qui te renverra 1 si c'est bien la passerelle par défaut et 0 si ça ne
l'est pas.
merci :-)
j'ai pas trouvé dans man grep où ça décrit l'état de sortie (j'ai
compris que -c affiche le nb de lignes sur la sortie standard, non ?)
et à quoi servent les guillemets ?
Bah, ça va finir en gros mélange des deux.
je sais demander à une sorte de script d'appeler l'autre sorte :-)
mais je ne suis pas un expert ...
Je ne pense pas mais un script shell, il me semble que c'est faisable en
jouant avec je ne sais plus quel dossier ppp (flemme de chercher à 4h35
j'avoue)
j'aimerais avoir de l'aide, parce que je sais pas du tout par où
chercher, mais je vais faire un nouveau fil pour ça :-)
Ah ben il te faudra quand même des droits élevés vu que route ne peut
pas s'exécuter en utilisateur simple.
pas de pb, je suis admin,
je voulais dire : je ne serais pas devant cet ordi pour exécuter le
script manuellement après chaque connexion vpn :-)
In article <1i3fr1o.feyhs9fwj1v2N%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
mais si on est admin de l'ordinateur, et qu'on spécifie qu'on veut
effectivement que ça soit différent, en ayant des msgs d'alertes,
pourquoi c'est pas possible ??
Euh, z'ont préféré ne pas s'embêter ?
bon ben ... la réponse à ma 1ere question c'est que c'est pas encore
possible
(j'espère que ça se fera un jour ...)
du coup, je suis obligé de continuer à avoir des scripts et à utiliser
visudo pour pas avoir à taper le mdp à chaque fois :-(
tant pis
(en étant admin on peut bien désactiver le pare-feu, par exemple,
et ça empêchera tjr un employé qui n'a pas le mdp admin de son ordi
fourni par l'entreprise ...)
Voui, mais ils n'ont pas du envisager le cas.
comment ça ?
Par exemple, passerelle anti-virale également, vérification de ce qui
transite par le réseau.
ah oui, y en a qui ont des trucs sophistiqués !
par contre y a encore un truc qui m'échappe, pour ces entreprises qui
veulent totalement contrôler leurs ordis à l'extérieur :
comment elles font pour les obliger à se connecter au vpn, et leur
interdire de se connecter à internet en direct si il y a une
déconnexion, par exemple ?
tu vois ?
je peux comprendre qu'on oblige totalement dans certains cas
(j'ai bien vu les restrictions possibles pour les comptes non admin),
mais entre les 2 comme ça, je ne vois pas à quoi ça sert ...
Toi, oui, d'autres non. On ne peut pas conditionner le changement à ça,
on ne sait pas ce que fait l'utilisateur.
bon, je m'embrouille un peu, je sais pas si je me répète,
mais c'est à l'admin de l'ordi de décider, pas à d'autres
et si on veut restreindre les possibilités d'un employé, on ne lui donne
pas de mdp admin
Ben, cf au-dessus. De plus, tu sais ce que tu fais avec la table de
routage, la plupart des utilisateurs ne le savent pas et donc ne pas
mettre le lien VPN en priorité pourrait les empêcher d'accéder à
certaines ressources du réseau.
ah ?
je vois pas de quelles ressources tu veux parler,
Vraiment ?
comment je le saurais ?
(il ne me semble pas que t'en ai deja parlé dans ce fil)
Déjà, rien ne dit que la classe réseau utilisée sur le réseau distant
n'est pas la même que le réseau local, dans ce cas tu passerais par la
route par défaut et donc pas par le VPN.
ca m'a fait penser que "activer vpn sur demande" servait peut etre à ca :
indiquer d'autres sous reseaux locaux que celui du serveur vpn,
mais non, je peux mettre ce que je veux, netstat ne change pas :-(
De plus, tu parles d'accéder à
un réseau en fonction de la classe réseau,
ah bon ? peut etre que j'ai pas compris tout ce que t'as dit, alors
mais avant de la connaître il
peut y avoir une résolution d'un nom avant et dans ce cas il faut
interroger le serveur DNS. Si ton tunnel VPN n'est pas prioritaire tu
vas interroger le DNS de ta connexion par défaut qui ne renverra pas
forcément la bonne adresse. Par exemple, au bureau suivant que je suis
dans le réseau ou à l'extérieur pour un même nom d'hôte (smtp.fqdn, par
exemple) je n'obtiens pas la même réponse car le serveur DNS interrogé
n'est pas le même.
le vpn a pas moyen de fournir ses dns sans forcer le routage ?
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
Et même si c'était le même il pourrait très bien y
avoir des vues DNS différentes suivant la classe d'adresse
l'interrogeant, un truc assez trivial à faire avec BIND.
oui mis là ça ne change plus rien, si tu changes la route ou pas, si ?
le serveur vpn est un routeur "LanBooster 2104 W"
j'ai pas trouvé comment le parametrer pour "libérer" les clients
est ce que qq sait ?
Mauvais serveur, changer de serveur...
grrr ...
Ben tu dois pouvoir plutôt faire un :
netstat -rn | grep default | grep -c "192.168.1.1"
qui te renverra 1 si c'est bien la passerelle par défaut et 0 si ça ne
l'est pas.
merci :-)
j'ai pas trouvé dans man grep où ça décrit l'état de sortie (j'ai
compris que -c affiche le nb de lignes sur la sortie standard, non ?)
et à quoi servent les guillemets ?
Bah, ça va finir en gros mélange des deux.
je sais demander à une sorte de script d'appeler l'autre sorte :-)
mais je ne suis pas un expert ...
Je ne pense pas mais un script shell, il me semble que c'est faisable en
jouant avec je ne sais plus quel dossier ppp (flemme de chercher à 4h35
j'avoue)
j'aimerais avoir de l'aide, parce que je sais pas du tout par où
chercher, mais je vais faire un nouveau fil pour ça :-)
Ah ben il te faudra quand même des droits élevés vu que route ne peut
pas s'exécuter en utilisateur simple.
pas de pb, je suis admin,
je voulais dire : je ne serais pas devant cet ordi pour exécuter le
script manuellement après chaque connexion vpn :-)
In article <1i3fr1o.feyhs9fwj1v2N%,
(Laurent Pertois) wrote:Thomas wrote:mais si on est admin de l'ordinateur, et qu'on spécifie qu'on veut
effectivement que ça soit différent, en ayant des msgs d'alertes,
pourquoi c'est pas possible ??
Euh, z'ont préféré ne pas s'embêter ?
bon ben ... la réponse à ma 1ere question c'est que c'est pas encore
possible
(j'espère que ça se fera un jour ...)
du coup, je suis obligé de continuer à avoir des scripts et à utiliser
visudo pour pas avoir à taper le mdp à chaque fois :-(
tant pis
(en étant admin on peut bien désactiver le pare-feu, par exemple,
et ça empêchera tjr un employé qui n'a pas le mdp admin de son ordi
fourni par l'entreprise ...)
Voui, mais ils n'ont pas du envisager le cas.
comment ça ?
Par exemple, passerelle anti-virale également, vérification de ce qui
transite par le réseau.
ah oui, y en a qui ont des trucs sophistiqués !
par contre y a encore un truc qui m'échappe, pour ces entreprises qui
veulent totalement contrôler leurs ordis à l'extérieur :
comment elles font pour les obliger à se connecter au vpn, et leur
interdire de se connecter à internet en direct si il y a une
déconnexion, par exemple ?
tu vois ?
je peux comprendre qu'on oblige totalement dans certains cas
(j'ai bien vu les restrictions possibles pour les comptes non admin),
mais entre les 2 comme ça, je ne vois pas à quoi ça sert ...
Toi, oui, d'autres non. On ne peut pas conditionner le changement à ça,
on ne sait pas ce que fait l'utilisateur.
bon, je m'embrouille un peu, je sais pas si je me répète,
mais c'est à l'admin de l'ordi de décider, pas à d'autres
et si on veut restreindre les possibilités d'un employé, on ne lui donne
pas de mdp admin
Ben, cf au-dessus. De plus, tu sais ce que tu fais avec la table de
routage, la plupart des utilisateurs ne le savent pas et donc ne pas
mettre le lien VPN en priorité pourrait les empêcher d'accéder à
certaines ressources du réseau.
ah ?
je vois pas de quelles ressources tu veux parler,
Vraiment ?
comment je le saurais ?
(il ne me semble pas que t'en ai deja parlé dans ce fil)
Déjà, rien ne dit que la classe réseau utilisée sur le réseau distant
n'est pas la même que le réseau local, dans ce cas tu passerais par la
route par défaut et donc pas par le VPN.
ca m'a fait penser que "activer vpn sur demande" servait peut etre à ca :
indiquer d'autres sous reseaux locaux que celui du serveur vpn,
mais non, je peux mettre ce que je veux, netstat ne change pas :-(
De plus, tu parles d'accéder à
un réseau en fonction de la classe réseau,
ah bon ? peut etre que j'ai pas compris tout ce que t'as dit, alors
mais avant de la connaître il
peut y avoir une résolution d'un nom avant et dans ce cas il faut
interroger le serveur DNS. Si ton tunnel VPN n'est pas prioritaire tu
vas interroger le DNS de ta connexion par défaut qui ne renverra pas
forcément la bonne adresse. Par exemple, au bureau suivant que je suis
dans le réseau ou à l'extérieur pour un même nom d'hôte (smtp.fqdn, par
exemple) je n'obtiens pas la même réponse car le serveur DNS interrogé
n'est pas le même.
le vpn a pas moyen de fournir ses dns sans forcer le routage ?
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
Et même si c'était le même il pourrait très bien y
avoir des vues DNS différentes suivant la classe d'adresse
l'interrogeant, un truc assez trivial à faire avec BIND.
oui mis là ça ne change plus rien, si tu changes la route ou pas, si ?
le serveur vpn est un routeur "LanBooster 2104 W"
j'ai pas trouvé comment le parametrer pour "libérer" les clients
est ce que qq sait ?
Mauvais serveur, changer de serveur...
grrr ...
Ben tu dois pouvoir plutôt faire un :
netstat -rn | grep default | grep -c "192.168.1.1"
qui te renverra 1 si c'est bien la passerelle par défaut et 0 si ça ne
l'est pas.
merci :-)
j'ai pas trouvé dans man grep où ça décrit l'état de sortie (j'ai
compris que -c affiche le nb de lignes sur la sortie standard, non ?)
et à quoi servent les guillemets ?
Bah, ça va finir en gros mélange des deux.
je sais demander à une sorte de script d'appeler l'autre sorte :-)
mais je ne suis pas un expert ...
Je ne pense pas mais un script shell, il me semble que c'est faisable en
jouant avec je ne sais plus quel dossier ppp (flemme de chercher à 4h35
j'avoue)
j'aimerais avoir de l'aide, parce que je sais pas du tout par où
chercher, mais je vais faire un nouveau fil pour ça :-)
Ah ben il te faudra quand même des droits élevés vu que route ne peut
pas s'exécuter en utilisateur simple.
pas de pb, je suis admin,
je voulais dire : je ne serais pas devant cet ordi pour exécuter le
script manuellement après chaque connexion vpn :-)
Bonjour,
1 - tu lances connexion à internet
2 - tu sélectionnes ta connexion PPTP
3 - tu choisis l'article de menu "Options" dans le menu "Connexion"
4 - tu décoches "Envoyer tout le trafic sur la connexion VPN"
Bonjour,
1 - tu lances connexion à internet
2 - tu sélectionnes ta connexion PPTP
3 - tu choisis l'article de menu "Options" dans le menu "Connexion"
4 - tu décoches "Envoyer tout le trafic sur la connexion VPN"
Bonjour,
1 - tu lances connexion à internet
2 - tu sélectionnes ta connexion PPTP
3 - tu choisis l'article de menu "Options" dans le menu "Connexion"
4 - tu décoches "Envoyer tout le trafic sur la connexion VPN"
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
dans la config vpn dans les prefs reseau, il y a un champ "domaines de
recherche"
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
dans la config vpn dans les prefs reseau, il y a un champ "domaines de
recherche"
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
dans la config vpn dans les prefs reseau, il y a un champ "domaines de
recherche"
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Thomas wrote:de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
dans la config vpn dans les prefs reseau, il y a un champ "domaines de
recherche"
Oui, partout, si tu regardes bien.peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
dans la config vpn dans les prefs reseau, il y a un champ "domaines de
recherche"
Oui, partout, si tu regardes bien.
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
Thomas wrote:de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
dans la config vpn dans les prefs reseau, il y a un champ "domaines de
recherche"
Oui, partout, si tu regardes bien.peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
bon, puisque t'as l'air de bien connaître le fonctionnement de ce genre
de truc, pourrais tu m'indiquer à quoi sert ce champ "domaines de
recherche", stp ? :-)
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
bon, puisque t'as l'air de bien connaître le fonctionnement de ce genre
de truc, pourrais tu m'indiquer à quoi sert ce champ "domaines de
recherche", stp ? :-)
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
bon, puisque t'as l'air de bien connaître le fonctionnement de ce genre
de truc, pourrais tu m'indiquer à quoi sert ce champ "domaines de
recherche", stp ? :-)
Thomas wrote:par contre y a encore un truc qui m'échappe, pour ces entreprises qui
veulent totalement contrôler leurs ordis à l'extérieur :
comment elles font pour les obliger à se connecter au vpn, et leur
interdire de se connecter à internet en direct si il y a une
déconnexion, par exemple ?
Euh, quand tu n'es pas connecté au VPN tu ne peux pas ramener un truc
sur le réseau de l'entreprise en même temps. Tu n'es que sur ton réseau.
Toi, oui, d'autres non. On ne peut pas conditionner le changement à ça,
on ne sait pas ce que fait l'utilisateur.
bon, je m'embrouille un peu, je sais pas si je me répète,
mais c'est à l'admin de l'ordi de décider, pas à d'autres
et si on veut restreindre les possibilités d'un employé, on ne lui donne
pas de mdp admin
Mais pourquoi tu me parles de donner l'admin de la machine à un employé
? c'est toi qui n'arrête pas de me dire que tu arrives à tout faire
parce que tu es admin, je ne t'ai jamais dit que d'autres étaient tous
admins sur leur machine.
Déjà, rien ne dit que la classe réseau utilisée sur le réseau distant
n'est pas la même que le réseau local, dans ce cas tu passerais par la
route par défaut et donc pas par le VPN.
ca m'a fait penser que "activer vpn sur demande" servait peut etre à ca :
indiquer d'autres sous reseaux locaux que celui du serveur vpn,
mais non, je peux mettre ce que je veux, netstat ne change pas :-(
Non, rien à voir du tout, ça permet de lancer la connexion VPN à la
demande d'une application souhaitant accéder à une ressource qui serait
sur le VPN,
mais il n'y a quasiment que Safari qui sait le faire, sjmsb.
De plus, tu parles d'accéder à
un réseau en fonction de la classe réseau,
ah bon ? peut etre que j'ai pas compris tout ce que t'as dit, alors
J'ai l'impression oui.
C'est bien toi qui me dit que vu que tu connais les adresses IP ça
suffit, non ?
mais avant de la connaître il
peut y avoir une résolution d'un nom avant et dans ce cas il faut
interroger le serveur DNS. Si ton tunnel VPN n'est pas prioritaire tu
vas interroger le DNS de ta connexion par défaut qui ne renverra pas
forcément la bonne adresse. Par exemple, au bureau suivant que je suis
dans le réseau ou à l'extérieur pour un même nom d'hôte (smtp.fqdn, par
exemple) je n'obtiens pas la même réponse car le serveur DNS interrogé
n'est pas le même.
le vpn a pas moyen de fournir ses dns sans forcer le routage ?
Euh, tu modifies les tables de routage et tu ne vois pas en quoi le fait
de mettre ton VPN en second dans l'ordre de routage t'interdirait
d'interroger le DNS de ta connexion VPN pour résoudre un nom ? tu es
certain que tu sais ce que tu fais au moins ?
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
Ca ne changera strictement _rien_ à la situation...
Prenons un cas tout bête. Tu as ta connexion à Internet sur l'ethernet
intégré, avec donc l'adresse d'un ou plusieurs serveurs DNS. Tu établis
ta connexion VPN et tu modifies tes tables de routage pour qu'elle ne
soit plus prioritaire et donc passe derrière ta connexion sur
l'ethernet. Tu suis ?
Maintenant, tu souhaites accéder à smtp.fqdn. Ta machine doit résoudre
ce nom, ok ? en fonction de ce qui est dit au-dessus et de ce que tu
connais, quelle connexion sera utilisée et donc quel serveur DNS sera
interrogé à ton avis ? (il est interdit de souffler au fond, merci)
le serveur vpn est un routeur "LanBooster 2104 W"
j'ai pas trouvé comment le parametrer pour "libérer" les clients
est ce que qq sait ?
Mauvais serveur, changer de serveur...
grrr ...
Allez, sois content, quelqu'un vient de te donner une solution :-)
je voulais dire : je ne serais pas devant cet ordi pour exécuter le
script manuellement après chaque connexion vpn :-)
Parce que tu seras où quand la connexion VPN se lance ?
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
par contre y a encore un truc qui m'échappe, pour ces entreprises qui
veulent totalement contrôler leurs ordis à l'extérieur :
comment elles font pour les obliger à se connecter au vpn, et leur
interdire de se connecter à internet en direct si il y a une
déconnexion, par exemple ?
Euh, quand tu n'es pas connecté au VPN tu ne peux pas ramener un truc
sur le réseau de l'entreprise en même temps. Tu n'es que sur ton réseau.
Toi, oui, d'autres non. On ne peut pas conditionner le changement à ça,
on ne sait pas ce que fait l'utilisateur.
bon, je m'embrouille un peu, je sais pas si je me répète,
mais c'est à l'admin de l'ordi de décider, pas à d'autres
et si on veut restreindre les possibilités d'un employé, on ne lui donne
pas de mdp admin
Mais pourquoi tu me parles de donner l'admin de la machine à un employé
? c'est toi qui n'arrête pas de me dire que tu arrives à tout faire
parce que tu es admin, je ne t'ai jamais dit que d'autres étaient tous
admins sur leur machine.
Déjà, rien ne dit que la classe réseau utilisée sur le réseau distant
n'est pas la même que le réseau local, dans ce cas tu passerais par la
route par défaut et donc pas par le VPN.
ca m'a fait penser que "activer vpn sur demande" servait peut etre à ca :
indiquer d'autres sous reseaux locaux que celui du serveur vpn,
mais non, je peux mettre ce que je veux, netstat ne change pas :-(
Non, rien à voir du tout, ça permet de lancer la connexion VPN à la
demande d'une application souhaitant accéder à une ressource qui serait
sur le VPN,
mais il n'y a quasiment que Safari qui sait le faire, sjmsb.
De plus, tu parles d'accéder à
un réseau en fonction de la classe réseau,
ah bon ? peut etre que j'ai pas compris tout ce que t'as dit, alors
J'ai l'impression oui.
C'est bien toi qui me dit que vu que tu connais les adresses IP ça
suffit, non ?
mais avant de la connaître il
peut y avoir une résolution d'un nom avant et dans ce cas il faut
interroger le serveur DNS. Si ton tunnel VPN n'est pas prioritaire tu
vas interroger le DNS de ta connexion par défaut qui ne renverra pas
forcément la bonne adresse. Par exemple, au bureau suivant que je suis
dans le réseau ou à l'extérieur pour un même nom d'hôte (smtp.fqdn, par
exemple) je n'obtiens pas la même réponse car le serveur DNS interrogé
n'est pas le même.
le vpn a pas moyen de fournir ses dns sans forcer le routage ?
Euh, tu modifies les tables de routage et tu ne vois pas en quoi le fait
de mettre ton VPN en second dans l'ordre de routage t'interdirait
d'interroger le DNS de ta connexion VPN pour résoudre un nom ? tu es
certain que tu sais ce que tu fais au moins ?
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
Ca ne changera strictement _rien_ à la situation...
Prenons un cas tout bête. Tu as ta connexion à Internet sur l'ethernet
intégré, avec donc l'adresse d'un ou plusieurs serveurs DNS. Tu établis
ta connexion VPN et tu modifies tes tables de routage pour qu'elle ne
soit plus prioritaire et donc passe derrière ta connexion sur
l'ethernet. Tu suis ?
Maintenant, tu souhaites accéder à smtp.fqdn. Ta machine doit résoudre
ce nom, ok ? en fonction de ce qui est dit au-dessus et de ce que tu
connais, quelle connexion sera utilisée et donc quel serveur DNS sera
interrogé à ton avis ? (il est interdit de souffler au fond, merci)
le serveur vpn est un routeur "LanBooster 2104 W"
j'ai pas trouvé comment le parametrer pour "libérer" les clients
est ce que qq sait ?
Mauvais serveur, changer de serveur...
grrr ...
Allez, sois content, quelqu'un vient de te donner une solution :-)
je voulais dire : je ne serais pas devant cet ordi pour exécuter le
script manuellement après chaque connexion vpn :-)
Parce que tu seras où quand la connexion VPN se lance ?
Thomas wrote:par contre y a encore un truc qui m'échappe, pour ces entreprises qui
veulent totalement contrôler leurs ordis à l'extérieur :
comment elles font pour les obliger à se connecter au vpn, et leur
interdire de se connecter à internet en direct si il y a une
déconnexion, par exemple ?
Euh, quand tu n'es pas connecté au VPN tu ne peux pas ramener un truc
sur le réseau de l'entreprise en même temps. Tu n'es que sur ton réseau.
Toi, oui, d'autres non. On ne peut pas conditionner le changement à ça,
on ne sait pas ce que fait l'utilisateur.
bon, je m'embrouille un peu, je sais pas si je me répète,
mais c'est à l'admin de l'ordi de décider, pas à d'autres
et si on veut restreindre les possibilités d'un employé, on ne lui donne
pas de mdp admin
Mais pourquoi tu me parles de donner l'admin de la machine à un employé
? c'est toi qui n'arrête pas de me dire que tu arrives à tout faire
parce que tu es admin, je ne t'ai jamais dit que d'autres étaient tous
admins sur leur machine.
Déjà, rien ne dit que la classe réseau utilisée sur le réseau distant
n'est pas la même que le réseau local, dans ce cas tu passerais par la
route par défaut et donc pas par le VPN.
ca m'a fait penser que "activer vpn sur demande" servait peut etre à ca :
indiquer d'autres sous reseaux locaux que celui du serveur vpn,
mais non, je peux mettre ce que je veux, netstat ne change pas :-(
Non, rien à voir du tout, ça permet de lancer la connexion VPN à la
demande d'une application souhaitant accéder à une ressource qui serait
sur le VPN,
mais il n'y a quasiment que Safari qui sait le faire, sjmsb.
De plus, tu parles d'accéder à
un réseau en fonction de la classe réseau,
ah bon ? peut etre que j'ai pas compris tout ce que t'as dit, alors
J'ai l'impression oui.
C'est bien toi qui me dit que vu que tu connais les adresses IP ça
suffit, non ?
mais avant de la connaître il
peut y avoir une résolution d'un nom avant et dans ce cas il faut
interroger le serveur DNS. Si ton tunnel VPN n'est pas prioritaire tu
vas interroger le DNS de ta connexion par défaut qui ne renverra pas
forcément la bonne adresse. Par exemple, au bureau suivant que je suis
dans le réseau ou à l'extérieur pour un même nom d'hôte (smtp.fqdn, par
exemple) je n'obtiens pas la même réponse car le serveur DNS interrogé
n'est pas le même.
le vpn a pas moyen de fournir ses dns sans forcer le routage ?
Euh, tu modifies les tables de routage et tu ne vois pas en quoi le fait
de mettre ton VPN en second dans l'ordre de routage t'interdirait
d'interroger le DNS de ta connexion VPN pour résoudre un nom ? tu es
certain que tu sais ce que tu fais au moins ?
de toutes façons, le logiciel client peut permettre de ne pas suivre la
demande du routeur si on est admin, à notre charge après de mettre les
dns en manuel si c'est nécessaire au bon fonctionnement global
Ca ne changera strictement _rien_ à la situation...
Prenons un cas tout bête. Tu as ta connexion à Internet sur l'ethernet
intégré, avec donc l'adresse d'un ou plusieurs serveurs DNS. Tu établis
ta connexion VPN et tu modifies tes tables de routage pour qu'elle ne
soit plus prioritaire et donc passe derrière ta connexion sur
l'ethernet. Tu suis ?
Maintenant, tu souhaites accéder à smtp.fqdn. Ta machine doit résoudre
ce nom, ok ? en fonction de ce qui est dit au-dessus et de ce que tu
connais, quelle connexion sera utilisée et donc quel serveur DNS sera
interrogé à ton avis ? (il est interdit de souffler au fond, merci)
le serveur vpn est un routeur "LanBooster 2104 W"
j'ai pas trouvé comment le parametrer pour "libérer" les clients
est ce que qq sait ?
Mauvais serveur, changer de serveur...
grrr ...
Allez, sois content, quelqu'un vient de te donner une solution :-)
je voulais dire : je ne serais pas devant cet ordi pour exécuter le
script manuellement après chaque connexion vpn :-)
Parce que tu seras où quand la connexion VPN se lance ?
Thomas wrote:peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
bon, puisque t'as l'air de bien connaître le fonctionnement de ce genre
de truc, pourrais tu m'indiquer à quoi sert ce champ "domaines de
recherche", stp ? :-)
A lui indiquer quel(s) domaine(s) utiliser quand rien n'est précisé.
Par exemple, je fais un ping sur la machine toto et il ajoute
automatiquement .domaine.fqdn.
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
bon, puisque t'as l'air de bien connaître le fonctionnement de ce genre
de truc, pourrais tu m'indiquer à quoi sert ce champ "domaines de
recherche", stp ? :-)
A lui indiquer quel(s) domaine(s) utiliser quand rien n'est précisé.
Par exemple, je fais un ping sur la machine toto et il ajoute
automatiquement .domaine.fqdn.
Thomas wrote:peut etre qu'il faut que t'indiques "smtp.fqdn" là, pour qu'il utilise
les dns du vpn au lieu de ceux de la connexion principale, pour le
résoudre :-)
Gné ?
bon, puisque t'as l'air de bien connaître le fonctionnement de ce genre
de truc, pourrais tu m'indiquer à quoi sert ce champ "domaines de
recherche", stp ? :-)
A lui indiquer quel(s) domaine(s) utiliser quand rien n'est précisé.
Par exemple, je fais un ping sur la machine toto et il ajoute
automatiquement .domaine.fqdn.