Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    novembre 2018
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Andorre

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : novembre 2018
    Messages : 3
    Points : 1
    Points
    1

    Par défaut Reflexions autour de l'interconnexion LAN-WAN avec deux routeurs FAI et Pro

    Bonjour à tous,

    Je me pose quelques questionnements sur l'architecture réseau à mettre en place dans une PME. Actuellement la boîte souhait renouveler son matériel réseau pour être compatible en Gigabit/s.
    Pour plus de sécurité je souhaite séparer différents réseaux avec un réseau pour les serveurs et un pour le management du matériel. Je souhaite aussi installer un routeur pro derrière celui du FAI pour avoir la main dessus.
    A gauche l'architecture WAN-LAN actuelle et à droite l'architecture qui sera mise en place.

    Nom : forum.JPG
Affichages : 56
Taille : 78,2 Ko

    Je ne suis pas expert en routage donc j'aimerais recevoir des conseils de personnes plus éclairées que moi sur le sujet. Je sais qu'il faut que je rajoute une route par défaut sur le routeur LAN et que la passerelle soit 192.168.1.254 (l'interface du routeur FAI).
    Mais faut-il que je fasse du double NAT ? En déclarant les interfaces outside et inside ?
    Faut-il faire des ACLs pour permettre aux futurs sous-réseaux de pouvoir communiquer avec l'extérieur ?
    Côté LAN j'ai déjà fait le fichier de commandes de l'interface avec la création de sous-interfaces sur Gig0/0 et le routage intervlans.

    Mais concernant le NAT/Double NAT je suis un peu perdu. Plusieurs personnes ont besoin d'accéder au serveur de fichiers depuis l'éxtérieur. Nous avons mis en place un serveur VPN sur le NAS et ouvert un port random sur le routeur du FAI qui redirige vers le NAS à l'aide d'une règle NAT/PAT.

  2. #2
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Salut,

    Pas de firewall ?

    NAS et terminateur VPN dans le même réseau que les serveurs d'entreprise ?

    -VX

  3. #3
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    novembre 2018
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Andorre

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : novembre 2018
    Messages : 3
    Points : 1
    Points
    1

    Par défaut

    Citation Envoyé par vxlan.is.top Voir le message
    Salut,

    Pas de firewall ?

    NAS et terminateur VPN dans le même réseau que les serveurs d'entreprise ?

    -VX
    Non pas de firewall. Je devrais faire un devis, peut être pour une appliance avec PfSense...
    Nas et VPN dans le même réseau oui.

  4. #4
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Actuellement la boîte souhait renouveler son matériel réseau pour être compatible en Gigabit/s.
    Tu ne seras Gigabit qu'entre ton routeur entreprise et ton FAI...
    Tu crées un goulot d'étranglement entre ton switch coeur de réseau et ton routeur d'entreprise...

    Mais faut-il que je fasse du double NAT ? En déclarant les interfaces outside et inside ?
    D'après ce que je comprends, actuellement ton FAI fait du source NAT sur le réseau 192.168.1.0/24, correct ?
    Alors effectivement, il va falloir "présenter" tous tes flux sortants vers Internet comme s'ils étaient sourcés par ce réeau. Si ton routeur d'entreprise utilise des interfaces-Vlan pour tes différents sous-réseaux IP, il faudra appliquer un 'nat inside' sur ces interfaces-Vlan et un 'nat outside' sur l'interface 192.168.1.253...

    Tous tes flux sortants seront doublement nattés (par ton routeur d'entreprise et par ton FAI).

    En revanche, il faudra prévoir une translation "1-to-1" pour ton NAS/VPN terminateur. Donc configurer une entrée NAT statique:
    - sur l'équipement de ton FAI pour lui dire qu'un paquet qui vient vers ton adresse publique sur tel port doit être redirigé vers 192.168.1.10 par exemple,
    - sur le routeur d'entreprise pour lui signifier qu'un paquet arrivant sur 192.168.1.10 doit être translaté vers 192.168.1.100.

    Non pas de firewall
    Attention... Parce que si ton NAS ou ton terminateur VPN est compromis, c'est open bar sur toute ta batterie de serveurs...

    -VX

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    novembre 2018
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Andorre

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : novembre 2018
    Messages : 3
    Points : 1
    Points
    1

    Par défaut

    Citation Envoyé par vxlan.is.top Voir le message
    Tu ne seras Gigabit qu'entre ton routeur entreprise et ton FAI...
    Tu crées un goulot d'étranglement entre ton switch coeur de réseau et ton routeur d'entreprise...
    Sur le schéma on a l'impression que ce sera le cas effectivement. Mais c'est juste une erreur de ma part dans le schéma, tous les nouveaux switchs seront en gigabit.

    D'après ce que je comprends, actuellement ton FAI fait du source NAT sur le réseau 192.168.1.0/24, correct ?
    Oui

    Alors effectivement, il va falloir "présenter" tous tes flux sortants vers Internet comme s'ils étaient sourcés par ce réeau. Si ton routeur d'entreprise utilise des interfaces-Vlan pour tes différents sous-réseaux IP, il faudra appliquer un 'nat inside' sur ces interfaces-Vlan et un 'nat outside' sur l'interface 192.168.1.253...
    Ok ça confirme mes fichiers de conf' merci.

    En revanche, il faudra prévoir une translation "1-to-1" pour ton NAS/VPN terminateur. Donc configurer une entrée NAT statique:
    - sur l'équipement de ton FAI pour lui dire qu'un paquet qui vient vers ton adresse publique sur tel port doit être redirigé vers 192.168.1.10 par exemple,
    - sur le routeur d'entreprise pour lui signifier qu'un paquet arrivant sur 192.168.1.10 doit être translaté vers 192.168.1.100.
    C'est ce point précis que je ne comprend pas. Ne faudrait-il pas configurer un nat statique sur le routeur FAI pour dire qu'un paquet arrivant sur l'adresse IP publique devra être redirigé vers 192.168.1.253 ? Et configurer un nat statique sur le routeur entreprise pour rediriger les paquets arrivant sur 192.168.1.253 sur tel port vers 192.168.100.10 port openVPN 1194 ?


    Attention... Parce que si ton NAS ou ton terminateur VPN est compromis, c'est open bar sur toute ta batterie de serveurs...
    Je sais bien du coup je pense qu'on va prendre un pare-feu/routeur pour être plus sécurisé. Reste à convaincre...


    Merci beaucoup pour tes réponses. Peux-tu répondre à mes questions ?

Discussions similaires

  1. Configuration routeur dual-WAN avec deux lignes VDSL2
    Par xillibit dans le forum Hardware
    Réponses: 4
    Dernier message: 28/04/2015, 09h32
  2. PORT FORWADING Avec Deux routeurs
    Par domino313131 dans le forum Développement
    Réponses: 1
    Dernier message: 13/02/2012, 13h39
  3. reseau wifi avec deux routeurs
    Par m_jaz3 dans le forum Hardware
    Réponses: 2
    Dernier message: 23/05/2007, 10h00
  4. Configuration réseau avec deux routeur
    Par mapelloux dans le forum Réseau
    Réponses: 1
    Dernier message: 01/03/2007, 19h25
  5. NAT avec deux routeurs
    Par berry dans le forum Hardware
    Réponses: 2
    Dernier message: 03/09/2006, 03h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo