VPN ipsec site to site & MS Gateway pour les utilisateurs hors vpn



  • Bonjour,

    pas de souci pour le vpn site to site entre ovh et un réseau privé opérateur.

    Nous souhaitons monter un serveur passerelle de bureau à distance pour les utilisateurs hors réseau privé opérateur (plutôt que d'utiliser Open VPN).

    Le serveur passerelle est dans la DMZ et le serveur de bureau à distance dans le LAN.

    À partir du moment où nous activons le VPN ipsec site to site, je suis incapable d'ouvrir le port 443 entre la DMZ et le LAN.

    Comment faire ?

    Merci de votre aide,
    Vincent.

    Edit : Il n'y a qu'un firewall, il faut ouvrir le port 443 entre les deux interfaces de la DMZ et du LAN.



  • @2cs:

    Comment faire ?

    Probablement qu'il faut fournir quelques informations supplémentaires au niveau du plan d'adressage car il se pourrait qu'il y ait un conflit entre les IP sur la DMZ et le tunnel VPN (ou les IP sur le site distant.

    Si je comprends bien, la question n'a rien a voir avec le VPN, sauf que lorsque le VPN est activé, la solution via le serveur en DMZ (accédé depuis internet) ne fonctionne plus. C'est ça ?



  • Merci pour ce retour.

    DMZ : 172.16.200.X/24
    LAN (côté OVH) : 192.168.200.X/24
    Lan agence 1 : 192.168.1.X/24
    Lan agence 2 : 192.168.2.X/24

    Une fois le VPN activé pas de pb pour accéder au serveur de la DMZ mais impossible de communiquer via la port 443 entre ce serveur et le serveur TSE du LAN.



  • compare tes routes avec et sans VPN  ;)
    normalement, l'établissement du tunnel VPN en mode "site to site" annonce de part et d'autres les LAN ainsi que les routes poussées par la configuration.

    Cela ne devrait pas concerner ta DMZ (encore que ça dépend comment tu configures le serveur) ni empêcher la communication directe entre la DMZ et le LAN.

    Tu peux également faire un traceroute depuis la DMZ en direction du LAN et voir par où ça passe. A défaut de résourdre le problème, ça te donnera une indication de l'endroit où il se situe. (bien sûr tu as vérifié les logs du FW  ;))