Discussion :

[whappen]

Bonjour à tous,

Je me pose quelques questionnements sur l'architecture réseau à mettre en place dans une PME. Actuellement la boîte souhait renouveler son matériel réseau pour être compatible en Gigabit/s.
Pour plus de sécurité je souhaite séparer différents réseaux avec un réseau pour les serveurs et un pour le management du matériel. Je souhaite aussi installer un routeur pro derrière celui du FAI pour avoir la main dessus.
A gauche l'architecture WAN-LAN actuelle et à droite l'architecture qui sera mise en place.



Je ne suis pas expert en routage donc j'aimerais recevoir des conseils de personnes plus éclairées que moi sur le sujet. Je sais qu'il faut que je rajoute une route par défaut sur le routeur LAN et que la passerelle soit 192.168.1.254 (l'interface du routeur FAI).
Mais faut-il que je fasse du double NAT ? En déclarant les interfaces outside et inside ?
Faut-il faire des ACLs pour permettre aux futurs sous-réseaux de pouvoir communiquer avec l'extérieur ?
Côté LAN j'ai déjà fait le fichier de commandes de l'interface avec la création de sous-interfaces sur Gig0/0 et le routage intervlans.

Mais concernant le NAT/Double NAT je suis un peu perdu. Plusieurs personnes ont besoin d'accéder au serveur de fichiers depuis l'éxtérieur. Nous avons mis en place un serveur VPN sur le NAS et ouvert un port random sur le routeur du FAI qui redirige vers le NAS à l'aide d'une règle NAT/PAT.

[Invité]

Salut,

Pas de firewall ?

NAS et terminateur VPN dans le même réseau que les serveurs d'entreprise ?

-VX

[whappen]

Salut,

Pas de firewall ?

NAS et terminateur VPN dans le même réseau que les serveurs d'entreprise ?

-VX

Non pas de firewall. Je devrais faire un devis, peut être pour une appliance avec PfSense...
Nas et VPN dans le même réseau oui.

[Invité]

Actuellement la boîte souhait renouveler son matériel réseau pour être compatible en Gigabit/s.

Tu ne seras Gigabit qu'entre ton routeur entreprise et ton FAI...
Tu crées un goulot d'étranglement entre ton switch coeur de réseau et ton routeur d'entreprise...

Mais faut-il que je fasse du double NAT ? En déclarant les interfaces outside et inside ?

D'après ce que je comprends, actuellement ton FAI fait du source NAT sur le réseau 192.168.1.0/24, correct ?
Alors effectivement, il va falloir "présenter" tous tes flux sortants vers Internet comme s'ils étaient sourcés par ce réeau. Si ton routeur d'entreprise utilise des interfaces-Vlan pour tes différents sous-réseaux IP, il faudra appliquer un 'nat inside' sur ces interfaces-Vlan et un 'nat outside' sur l'interface 192.168.1.253...

Tous tes flux sortants seront doublement nattés (par ton routeur d'entreprise et par ton FAI).

En revanche, il faudra prévoir une translation "1-to-1" pour ton NAS/VPN terminateur. Donc configurer une entrée NAT statique:

- sur l'équipement de ton FAI pour lui dire qu'un paquet qui vient vers ton adresse publique sur tel port doit être redirigé vers 192.168.1.10 par exemple,
- sur le routeur d'entreprise pour lui signifier qu'un paquet arrivant sur 192.168.1.10 doit être translaté vers 192.168.1.100.

Non pas de firewall

Attention... Parce que si ton NAS ou ton terminateur VPN est compromis, c'est open bar sur toute ta batterie de serveurs...

-VX

[whappen]

Tu ne seras Gigabit qu'entre ton routeur entreprise et ton FAI...
Tu crées un goulot d'étranglement entre ton switch coeur de réseau et ton routeur d'entreprise...

Sur le schéma on a l'impression que ce sera le cas effectivement. Mais c'est juste une erreur de ma part dans le schéma, tous les nouveaux switchs seront en gigabit.

D'après ce que je comprends, actuellement ton FAI fait du source NAT sur le réseau 192.168.1.0/24, correct ?

Oui

Alors effectivement, il va falloir "présenter" tous tes flux sortants vers Internet comme s'ils étaient sourcés par ce réeau. Si ton routeur d'entreprise utilise des interfaces-Vlan pour tes différents sous-réseaux IP, il faudra appliquer un 'nat inside' sur ces interfaces-Vlan et un 'nat outside' sur l'interface 192.168.1.253...

Ok ça confirme mes fichiers de conf' merci.

En revanche, il faudra prévoir une translation "1-to-1" pour ton NAS/VPN terminateur. Donc configurer une entrée NAT statique:

- sur l'équipement de ton FAI pour lui dire qu'un paquet qui vient vers ton adresse publique sur tel port doit être redirigé vers 192.168.1.10 par exemple,
- sur le routeur d'entreprise pour lui signifier qu'un paquet arrivant sur 192.168.1.10 doit être translaté vers 192.168.1.100.

C'est ce point précis que je ne comprend pas. Ne faudrait-il pas configurer un nat statique sur le routeur FAI pour dire qu'un paquet arrivant sur l'adresse IP publique devra être redirigé vers 192.168.1.253 ? Et configurer un nat statique sur le routeur entreprise pour rediriger les paquets arrivant sur 192.168.1.253 sur tel port vers 192.168.100.10 port openVPN 1194 ?

Attention... Parce que si ton NAS ou ton terminateur VPN est compromis, c'est open bar sur toute ta batterie de serveurs...

Je sais bien du coup je pense qu'on va prendre un pare-feu/routeur pour être plus sécurisé. Reste à convaincre...


Merci beaucoup pour tes réponses. Peux-tu répondre à mes questions ?