Bonjour!
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle. De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Pour ma part ayant été échaudé très tôt des solutions commerciales du marché
Bonjour!
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle. De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Pour ma part ayant été échaudé très tôt des solutions commerciales du marché
Bonjour!
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle. De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Pour ma part ayant été échaudé très tôt des solutions commerciales du marché
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
Inutile de préciser que toutes ces machines sont sous linux.
Quelle solution technique préconisez vous ?
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveur s
hébergés à notre LAN. Le problème est que nous avons placé de s serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion ve rs
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être l a
bonne solution dans un environnement naté avec serveurs à adressage
privé.
Ok, en gros, j'ai:
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$1@biggoron.nerim.net
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveur s
hébergés à notre LAN. Le problème est que nous avons placé de s serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion ve rs
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.
Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.
Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être l a
bonne solution dans un environnement naté avec serveurs à adressage
privé.
Ok, en gros, j'ai:
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveur s
hébergés à notre LAN. Le problème est que nous avons placé de s serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion ve rs
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être l a
bonne solution dans un environnement naté avec serveurs à adressage
privé.
Ok, en gros, j'ai:
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être la
bonne solution dans un environnement naté avec serveurs à adressage
privé.
Ok, en gros, j'ai:
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à maintenir
Il faut préciser que le client n'est pas en IP fixe... je souhaiterais
donc que ce soit le serveur de son côté qui établisse la connexion.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Effectivement et nous ne serions pas là à causer à des heures indues.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
Le souci n'est PAS l'adresse dynamique. Cela fait un bail que l'on fait du
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Pourquoi parlez-vous de BIND ? BIND n'a RIEN à voir là-dedans !
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$1@biggoron.nerim.net
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.
Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.
Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être la
bonne solution dans un environnement naté avec serveurs à adressage
privé.
Ok, en gros, j'ai:
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à maintenir
Il faut préciser que le client n'est pas en IP fixe... je souhaiterais
donc que ce soit le serveur de son côté qui établisse la connexion.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Effectivement et nous ne serions pas là à causer à des heures indues.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
Le souci n'est PAS l'adresse dynamique. Cela fait un bail que l'on fait du
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Pourquoi parlez-vous de BIND ? BIND n'a RIEN à voir là-dedans !
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveurs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être la
bonne solution dans un environnement naté avec serveurs à adressage
privé.
Ok, en gros, j'ai:
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à maintenir
Il faut préciser que le client n'est pas en IP fixe... je souhaiterais
donc que ce soit le serveur de son côté qui établisse la connexion.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Effectivement et nous ne serions pas là à causer à des heures indues.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
Le souci n'est PAS l'adresse dynamique. Cela fait un bail que l'on fait du
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Pourquoi parlez-vous de BIND ? BIND n'a RIEN à voir là-dedans !
spam wrote:"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveu rs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être la
bonne solution dans un environnement naté avec serveurs à adressag e
privé.
Ok, en gros, j'ai:
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à mainteni rIl faut préciser que le client n'est pas en IP fixe... je souhaiterai s
donc que ce soit le serveur de son côté qui établisse la connexio n.
Oui, oui c'est bien ainsi que je l'avais compris.Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Effectivement et nous ne serions pas là à causer à des heures ind ues.Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
Le souci n'est PAS l'adresse dynamique. Cela fait un bail que l'on fait du
VPN avec des nomades.
Le souci est le routeur idiot. Pas tellement qu'il soit idiot (c'est à dire
non full NAT) mais le fait que vous ne puissiez intervenir dessus ou fa ire
intervenir qqun.
Car pour faire ce que vous voulez faire inutile d'avoir un routeur dern ier
cri seulement un routeur routant et capable d'acheminer les ports (port
forwarding).
En effet, sans aucune intervention et en utilisant NAT-T (vu qu'il s'ag it
d'un routeur idiot) vous parviendrez à établir le tunnel AU DEPART de votre
serveur hébergé sans problème.
Mais ce tunnel sera alors amputé de la moitié de sa capacité d'ac heminement.
C'est à dire que les paquets partant de votre serveur hébergé arr iveront
bien à destination (sur votre réseau principal) une fois que vous a urez
paramétré vos différents firewall afin de laisser passer les bons
protocoles (voir mon mail précédent).
Mais le retour sera plus ... hasardeux et dépendra directement des ca pacités
stateful de votre routeur idiot. Pas de stateful : inutile d'y songer s ans
possibilité de régler le port forwarding. Stateful : alors la plupa rt des
flux TCP feront l'aller et retour sans problème et ce sera plus dél icat
pour UDP (les routeurs stateful expirent très vite les entrées UDP de la
table de connexion). Mais surtout même stateful, il vous sera impossi ble de
communiquer avec vos serveurs hébergés à l'initiative de votre ré seau
principal ceci MEME si votre tunnel est parfaitement établi !
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Pourquoi parlez-vous de BIND ? BIND n'a RIEN à voir là-dedans !
spam wrote:
"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$1@biggoron.nerim.net
Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveu rs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.
De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.
Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.
Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être la
bonne solution dans un environnement naté avec serveurs à adressag e
privé.
Ok, en gros, j'ai:
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à mainteni r
Il faut préciser que le client n'est pas en IP fixe... je souhaiterai s
donc que ce soit le serveur de son côté qui établisse la connexio n.
Oui, oui c'est bien ainsi que je l'avais compris.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Effectivement et nous ne serions pas là à causer à des heures ind ues.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
Le souci n'est PAS l'adresse dynamique. Cela fait un bail que l'on fait du
VPN avec des nomades.
Le souci est le routeur idiot. Pas tellement qu'il soit idiot (c'est à dire
non full NAT) mais le fait que vous ne puissiez intervenir dessus ou fa ire
intervenir qqun.
Car pour faire ce que vous voulez faire inutile d'avoir un routeur dern ier
cri seulement un routeur routant et capable d'acheminer les ports (port
forwarding).
En effet, sans aucune intervention et en utilisant NAT-T (vu qu'il s'ag it
d'un routeur idiot) vous parviendrez à établir le tunnel AU DEPART de votre
serveur hébergé sans problème.
Mais ce tunnel sera alors amputé de la moitié de sa capacité d'ac heminement.
C'est à dire que les paquets partant de votre serveur hébergé arr iveront
bien à destination (sur votre réseau principal) une fois que vous a urez
paramétré vos différents firewall afin de laisser passer les bons
protocoles (voir mon mail précédent).
Mais le retour sera plus ... hasardeux et dépendra directement des ca pacités
stateful de votre routeur idiot. Pas de stateful : inutile d'y songer s ans
possibilité de régler le port forwarding. Stateful : alors la plupa rt des
flux TCP feront l'aller et retour sans problème et ce sera plus dél icat
pour UDP (les routeurs stateful expirent très vite les entrées UDP de la
table de connexion). Mais surtout même stateful, il vous sera impossi ble de
communiquer avec vos serveurs hébergés à l'initiative de votre ré seau
principal ceci MEME si votre tunnel est parfaitement établi !
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Pourquoi parlez-vous de BIND ? BIND n'a RIEN à voir là-dedans !
spam wrote:"@(spam)yannos.com" <""yann(no)"@(spam)yannos.com"> wrote in message
news:c4r3fg$10sc$Voilà mon problème: Nous utilisons OpenVpn pour relier nos serveu rs
hébergés à notre LAN. Le problème est que nous avons placé des serveurs
locaux chez nos clients dont la plupart utilisent des routeurs idiots
qui servent juste de passerelle.
C'est quoi un routeur idiot ?
Si les serveurs ont des adresses privées, il doit faire de la NAT.De plus ils n'ont pas d'adresse IP
fixe. L'idée serait que ce soit eux qui initialisent une connexion vers
notre tête de réseau VPN qui elle est accessible publiquement.
OpenVpn semble nécessiter que les deux machines se voient...
C'est quoi des machines qui se voient ?
OpenVPN nécessite qu'une des parties puisse voir l'autre, et pas
obligatoirement vice versa à partir du moment ou la connexion est
établlie.Inutile de préciser que toutes ces machines sont sous linux.
Que du bonheur.Quelle solution technique préconisez vous ?
Utilisation d'un DNS dynamique par exemple.
Tout du moins, il faudrait une description plus précise de
l'environnement pour y voir plus clair. Mais OpenVPN me semble être la
bonne solution dans un environnement naté avec serveurs à adressag e
privé.
Ok, en gros, j'ai:
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à mainteni rIl faut préciser que le client n'est pas en IP fixe... je souhaiterai s
donc que ce soit le serveur de son côté qui établisse la connexio n.
Oui, oui c'est bien ainsi que je l'avais compris.Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Effectivement et nous ne serions pas là à causer à des heures ind ues.Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
Le souci n'est PAS l'adresse dynamique. Cela fait un bail que l'on fait du
VPN avec des nomades.
Le souci est le routeur idiot. Pas tellement qu'il soit idiot (c'est à dire
non full NAT) mais le fait que vous ne puissiez intervenir dessus ou fa ire
intervenir qqun.
Car pour faire ce que vous voulez faire inutile d'avoir un routeur dern ier
cri seulement un routeur routant et capable d'acheminer les ports (port
forwarding).
En effet, sans aucune intervention et en utilisant NAT-T (vu qu'il s'ag it
d'un routeur idiot) vous parviendrez à établir le tunnel AU DEPART de votre
serveur hébergé sans problème.
Mais ce tunnel sera alors amputé de la moitié de sa capacité d'ac heminement.
C'est à dire que les paquets partant de votre serveur hébergé arr iveront
bien à destination (sur votre réseau principal) une fois que vous a urez
paramétré vos différents firewall afin de laisser passer les bons
protocoles (voir mon mail précédent).
Mais le retour sera plus ... hasardeux et dépendra directement des ca pacités
stateful de votre routeur idiot. Pas de stateful : inutile d'y songer s ans
possibilité de régler le port forwarding. Stateful : alors la plupa rt des
flux TCP feront l'aller et retour sans problème et ce sera plus dél icat
pour UDP (les routeurs stateful expirent très vite les entrées UDP de la
table de connexion). Mais surtout même stateful, il vous sera impossi ble de
communiquer avec vos serveurs hébergés à l'initiative de votre ré seau
principal ceci MEME si votre tunnel est parfaitement établi !
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Pourquoi parlez-vous de BIND ? BIND n'a RIEN à voir là-dedans !
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à maintenir
Il faut préciser que le client n'est pas en IP fixe... je souhaiterais
donc que ce soit le serveur de son côté qui établisse la connexion.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Voilà, j'espère que c'est plus clair !
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à maintenir
Il faut préciser que le client n'est pas en IP fixe... je souhaiterais
donc que ce soit le serveur de son côté qui établisse la connexion.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Voilà, j'espère que c'est plus clair !
Tête VPN --- Firewall --- DMZ --- Firewall ----------- internet
de mon côté et
internet ------------ Routeur passerelle idiot --- serveur à maintenir
Il faut préciser que le client n'est pas en IP fixe... je souhaiterais
donc que ce soit le serveur de son côté qui établisse la connexion.
Comme je le disais, je ne peux intervenir sur le routeur pour l'instant
sinon le pb serait réglé.
Par contre, je dispose de plusieurs machines en ligne chez des
hébergeurs ainsi que d'une adresse ip fixe localement.
De plus, je dispose de 4 DNS sous bind, mais 3 sont des esclaves du 4
eme qui est chez nous.
Voilà, j'espère que c'est plus clair !
Tête VPN (192.168.1.2)--- Firewall (192.168.1.1) --- DMZ (192.168.0.*)
--- Firewall (192.168.0.1)/(ip fixe) ----------- internet
de mon côté et
internet ------------ (ip dynamique)/(192.168.1.1) Routeur passerelle
idiot --- (192.168.1.232) serveur à maintenir
côté client.
J'espère que c'est limpide là :-)
Tête VPN (192.168.1.2)--- Firewall (192.168.1.1) --- DMZ (192.168.0.*)
--- Firewall (192.168.0.1)/(ip fixe) ----------- internet
de mon côté et
internet ------------ (ip dynamique)/(192.168.1.1) Routeur passerelle
idiot --- (192.168.1.232) serveur à maintenir
côté client.
J'espère que c'est limpide là :-)
Tête VPN (192.168.1.2)--- Firewall (192.168.1.1) --- DMZ (192.168.0.*)
--- Firewall (192.168.0.1)/(ip fixe) ----------- internet
de mon côté et
internet ------------ (ip dynamique)/(192.168.1.1) Routeur passerelle
idiot --- (192.168.1.232) serveur à maintenir
côté client.
J'espère que c'est limpide là :-)