IPsec et gestion VLAN



  • Bonjour,

    Je vais tenter d’être le plus clair possible… ce qui n'est pas garantie car c'est encore flou même dans ma propre tête et que je débute:

    Je souhaite mettre en place un serveur VPN IPsec qui puisse faire les choses suivantes:

    • connexion gateway to gateway (multi connexion)
    • connexion road warrior

    Jusque là ça va...

    Mais en plus de ça il faut que je puisse "contrôler" le routage des connexions GW to GW afin de restreindre une connexion X à un VLAN ou subnet X sur notre siège.

    Et là je suis perdu... je vois pas comment faire... je le faisait très bien avec OpenVPN en utilisant un port différent pour chaque connexion et après selon le port un coup de Port forwarding et c'était bon... mais là je suis imposé d'utiliser IPsec...

    qqn pour m'aider je patauge clairement ou plutôt affreusement !!!



  • C'est en effet peu clair parce, sans doute un peu confus en vous-même.

    Un VLAN = un Virtual LAN.
    L'objectif est de séparer, sur un même site, en réseau physique en plusieurs réseaux logiques.
    Par exemple, on sépare fréquemment les micros et serveurs du réseau des téléphones IP et de l'IPBX : cela évite des flux inutiles.
    On peut aussi séparer par secteurs d'activité : le bureau d'études avec ses stations et ses puissants serveurs de données du reste de l'entreprise.
    Mais cela a une limite, il faut avoir un routeur inter-VLAN

    Mais je n'ai jamais vu des correspondances entre sites de VLAN même si cela peut se comprendre.

    IPSEC n'est pas le protocole le plus simple pour des connexions "roadwarrior". (Sans même parler du cout du client.)
    Alors qu'il est sans doute le plus interopérable et stable pour des connexions site-à-site.

    Je pense qu'il faut commencer par décrire l'existant puis poser les questions.
    Nous compléterons le questionnement.
    Et des solutions émergeront … (et des faux problèmes disparaitront)



  • Alors je commence par décrire l'existant, du moins j'essaie:

    Grosso merdo, nous offrons un service de hosting à des clients qui souhaite utiliser notre logiciel en version demo. Pour cela, sur un de nos serveurs ESXi on crée alors un VLAN distinct pour chaque client avec un subnet différent pour chaque client:

    Client 1 –> VM11; VM12, VM13, etc sur le VLAN1 avec comme subnet 10.7.1.0/24
    Client 2 --> VM21, VM22, etc sur le VLAN2 subnet 10.7.2.0/24
    etc...

    De notre côté, notre LAN est en 10.6.0.0/16 mais on a des interfaces virtuel sur notre FW pour chaque sous réseau client

    On voudrait utiliser notre FW en serveur VPN IPsec et faire en sorte que nos clients puisse se connecter à leur VLAN (leur subnet) sans pouvoir atteindre notre LAN ou le VLAN des autres clients.

    Et par dessus tout ça il faut aussi que de notre côté on puisse établir un connexion GW to GW entre nos bureaux distants..

    C'est plus clair ???



  • Je reformule ce que j'ai compris :

    • un firewall pfSense qui doit gérer les tunnels IPSEC avec les différents sites de l'entreprise,
    • pour chaque client, on doit créer aussi un tunnel IPSEC qui doit aboutir non au LAN du site central mais à un VLAN dédié au client,
    • le VLAN "client" arrive à un switch d'un hôte VMware ESX lequel sera connecté à 1 ou plus VM dédiées au "client".
    • le firewall doit assurer l'étanchéité entre les réseaux de l'entreprise et les VLAN "clients".

    Ma perception :

    • les VLAN constituent des réseaux virtuels mais pas aussi étanches qu'un câblage physique séparé (+ switch dédié + carte réseau dédié).
    • les VM doivent avoir 2 cartes réseaux (virtuelles) : une vers le VLAN "client" + une vers le LAN entreprise.
    • les VM DEVRAIENT avoir un firewall évitant que les VM deviennent des "bridges" entre les 2 interfaces (difficile avec Windows).
      Finalement cela me semble une sécurité loin d'être parfaite …

    Je dédierai une carte réseau du firewall et une carte réseau de l'hôte VMware pour l'ensemble des VLAN "clients" (avec un câble croisé direct).
    L'utilisation d'alias doit permettre de créer sur chaque interface VLAN les règles d'interdiction.



  • Merci des conseils! mais trop de chose m'échappe au niveau technique… je vais faire un bon état de l'art car là je suis largué !

    Je reviens sur le forum plus tard !

    Merci!



  • @jdh:

    Je reformule ce que j'ai compris :

    • un firewall pfSense qui doit gérer les tunnels IPSEC avec les différents sites de l'entreprise,
    • pour chaque client, on doit créer aussi un tunnel IPSEC qui doit aboutir non au LAN du site central mais à un VLAN dédié au client,
    • le VLAN "client" arrive à un switch d'un hôte VMware ESX lequel sera connecté à 1 ou plus VM dédiées au "client".
    • le firewall doit assurer l'étanchéité entre les réseaux de l'entreprise et les VLAN "clients".

    Ma perception :

    • les VLAN constituent des réseaux virtuels mais pas aussi étanches qu'un câblage physique séparé (+ switch dédié + carte réseau dédié).
    • les VM doivent avoir 2 cartes réseaux (virtuelles) : une vers le VLAN "client" + une vers le LAN entreprise.
    • les VM DEVRAIENT avoir un firewall évitant que les VM deviennent des "bridges" entre les 2 interfaces (difficile avec Windows).
      Finalement cela me semble une sécurité loin d'être parfaite …

    Je dédierai une carte réseau du firewall et une carte réseau de l'hôte VMware pour l'ensemble des VLAN "clients" (avec un câble croisé direct).
    L'utilisation d'alias doit permettre de créer sur chaque interface VLAN les règles d'interdiction.

    Tout dépend le nombre de client à protéger mais honnêtement, utiliser un câblage physique différent par client uniquement pour des démos, je trouve ça overkill… A contrario, pour de la production, ça devient beaucoup plus important...

    Sinon, mokha, ce que vous voulez faire est tout à fait possible. Maintenant, pour ce que est du "comment", je vous conseille de lire beaucoup et de tester sur le côté avant de mettre en prod. Ca vous permettra de bien maîtriser le sujet avant de vous lancer dans le feu de l'action.

    My 2 cents.


Log in to reply