Discussion :

[djinlemage]

Bonjour,

Apres pas mal de recherches infructueuses, je me tourne vers la communauté pour mon souci.

Je vous explique :

Je dispose de 2 serveurs RDS avec un Broker pour le dispatch des sessions utilisateurs.
Les utilisateurs se connectent via des clients légers ou des postes lourds type PC de bureau ou portable.
Cette partie fonctionne très bien.

Je mets actuellement en place une solution VPN via PFSENSE, une distribution Linux de pare feu.

Voici le schéma de mon réseau actuel :



Le problème que je rencontre actuellement, c’est qu’avec ce type de configuration, les clients légers et uniquement eux ne peuvent plus accéder aux sessions RDS via l’IP du broker ou le nom DNS du broker.

Tous les utilisateurs, quel que soit le type de poste, ont une adresse sur le réseau 192.168.1.0

Les entrées DNS ont été entrées sur le DC en A et PTR autant sur le reseau 192.168.1.0 que 172.16.57.0

Voyez-vous pourquoi les clients légers n’accèdent pas au RDS ?

Merci d’avance

[Invité]

J'ai un peu de mal à comprendre ton schéma réseau...
Identifie tes éléments pour que ça soit plus simple

Si tu testes une connexion en direct sur un de tes serveur RDS avec un client léger ça passe ?

[djinlemage]

Salut,

Merci de ton retour !

Chaque serveur à une double IP.
Une sur le réseau 172.16.57.0/16 (le DC, l'ERP, le Broker et les RDS)
Une sur le réseau 192.168.1.0/24

Tous les clients léger sont sur le réseau 192.168.1.0/24

Le pare feu PFSENSE à une patte sur le réseau LAN 172.16.57.0/16 (avec un ip en 172.16.57.10/16) et une patte sur la partie WAN 192.168.200.0 (avec une ip en 192.168.200.10/24)

Le routeur de mon opérateur dispose d'un switch.
Au niveau local, il dispose donc de 2 port, 1 sur le réseau 192.168.1.0/24 et 1 sur le réseau 192.168.200.0/24

J'ai revu mon schéma car en effet il n’était pas très juste.

J’espère que ça t'aidera

Merci en tous cas.

[Invité]

Si tu passes outre ton broker et que tu attaques un RDS en direct depuis un client léger ?

[A&Nexus]

Hello,
Sauf si je lis mal le schéma mais on dirait que tu as un réseau 192.168.1.0 des deux côtés du VPN.
Il faut que les réseaux soient identiques lorsque tu veux mettre un VPN en place des deux côtés (ou bien feinter en faisant du NAT).

[djinlemage]

Salut,

Merci à vous

Si tu passes outre ton broker et que tu attaques un RDS en direct depuis un client léger ?

En faisant un MSTSC /admin depuis un client léger vers un des serveurs RDS, pas de soucis.

J'ai l'impression que le Broker ne voit pas les RDS avec la double IP

Hello,
Sauf si je lis mal le schéma mais on dirait que tu as un réseau 192.168.1.0 des deux côtés du VPN.
Il faut que les réseaux soient identiques lorsque tu veux mettre un VPN en place des deux côtés (ou bien feinter en faisant du NAT).

En effet, le but final est de passer tout mon réseau sur la plage IP 172.16.57.0 mais étant seul avec plusieurs serveurs, équipement réseau, imprimantes et postes, je ne peux pas coupé d'un coup et reparamétrer toute la structure.
Du coup je vous appliquer 2 ip aux serveurs et faire ma transition au fur et à mesure.

[djinlemage]

Salut salut,

Je fais un petit up.
La solution VPN est mise de coté mais pas le changement de plage réseau.

Quelqu'un aurait il une idée ?

Merci

[A&Nexus]

Bonjour,

quoiqu'il arrive tu ne peux pas rester avec tes deux réseaux 192.168.1.x des deux côtés du VPN.
Au niveau réseau c'est du bricolage et ca te créer forcément des problèmes de routes asymétriques ou autres dans le genre.
Et la double patte sur les serveurs il ne faut jamais faire ça, la preuve depuis que tu as rajouté le réseau 1.0 en double patte sur tes serveurs quand ils veulent un client léger il ne peuvent pas parce que tes clients légers sont sur le même réseau local de tes serveurs.

Il faut harmoniser tout ça :
1) Retirer la double patte des serveurs (ton pfsense te routera les paquets entre les deux réseaux -> c'est à ça que sert une passerelle)
2) Changer l'adressage IP de l'autre côté du VPN en mettant 192.168.2.0 par exemple
3) Ca sera déjà pas mal.

[djinlemage]

Salut,

Merci de ton retour.
Le problème qui se pose c'est que je ne peux pas changer toutes les IP d'un coup.
Sans parler du VPN, si j'ai un double ip sur chaque serveur, les client RDP ne se connecte pas.
Comme si le broker n’était pas capable d'attribuer les sessions.

A partir du moment ou le broker (et même le DC) sont sur 2 réseaux avec 2 cartes réseaux chacun, j'ai des problèmes.
- Session qui ne se connecte pas
- Sur le DC (qui fait serveur d'impression) certaine imprimante ne sont plus joignable.

Je comprend pas pourquoi j'ai ce type de souci, c'est comme si l'OS était incapable de parler sur les 2 réseaux qui sont pourtant bien distinct...

[A&Nexus]

Je comprend pas pourquoi j'ai ce type de souci, c'est comme si l'OS était incapable de parler sur les 2 réseaux qui sont pourtant bien distinct...

Déjà pour les contrôleurs de domaines c'est interdit.

A partir du moment ou le broker (et même le DC) sont sur 2 réseaux avec 2 cartes réseaux chacun, j'ai des problèmes.

Normal tu as deux cartes réseaux.

Le problème qui se pose c'est que je ne peux pas changer toutes les IP d'un coup.

J'ai jamais dis ça, juste que tu dois enlever les doubles cartes réseaux. migrer un réseau au fil de l'eau n'a jamais du avoir des doubles cartes réseaux.


Ce que tu fais c'est absolument déconseillé et (pour le DC) interdit

[djinlemage]

Hum OK merci pour ces info.

Du coup je ne sais pas du tout comment je vais organiser la migration de réseaux sans couper les services pendant au moins une journée.