Bonjour à tous.

J'ai récupéré un client dont le réseau est équipé d'une passerelle Stormshield SN200 louée et configurée par un grand opérateur téléphonique français. La fonction vendu par l'opérateur en question était de monter un VPN pour permettre au dirigeant d’accéder au serveur. Jusque là rien d'anormal et le VPN fonctionne.

Cependant, la configuration me parait très hasardeuse car la plage IP WAN est la même que la plage de sortie LAN (oui c'est possible avec un Stormshield). En clair n'importe quel utilisateur du réseau peut changer la passerelle dans sa config d'un clic et donc s'affranchir du firewall tout en restant sur le réseau avec accès à internet (j'ai testé, ça marche ). Bien sûr le firewall de la box a été configuré pour tout laisser passer, tant qu'à faire ...

Cela me parait complétement aberrant, à fortiori venant d'un opérateur ayant plus que pignon sur rue ....

Le client paie tous les mois la location matos + service à l'opérateur, il ne peut se dégager. J'ai fait une proposition pour remettre de l'ordre (avec autre chose que le Stormshield qui ne leur appartient pas) mais vu qu'il paie déjà d'un coté, ça ne passe pas malgré mes arguments !

Qu'en pensez vous ?