Discussion :

[arnaud_verlaine]

Bonjour à tous.

J'ai un soucis pour mettre en place un Terminal Serveur (bureau à distance) sur un SBS 2003. Je vous décris mon réseau :

Modem DSL (192.168.1.1) -> Serveur (carte1 : 192.168.1.2) -> Carte 2 vers réseau local : 192.168.0.1 -> réseau LAN adresses du type 192.168.0.XX

J'ai une DMZ sur le modem qui redirige tout vers le serveur.

Pour l'instant j'ai tout bloqué au niveau du serveur sauf l'accès VPN.

Donc quand je veux me connecter par exemple à mes mails sur le serveur via Outlook Web Access (OWA), je lance la connexion VPN (qui m'authentifie sur le serveur et me donne donc une adresse LAN type 192.168.0.XX) et à ce moment je peux lancer le OWA.

Par contre, j'ai activé le bureau à distance sur le SBS, mais je souhaiterais qu'il soit uniquement accessible aux utilisateurs du réseau LAN et pas WAN !!
Mais ça ne j'ai pas encore vu dans la configuration du SBS 2003. Avez-vous une idée? Car pour le moment, ce n'est pas le cas, et ça c'est grave !

Au pire si jamais ça ne va pas, j'ai pensé utiliser une machine firewall type IPCOP avec alors un VPN intégré et utiliser le schéma suivant :

Modem DSL (192.168.8.1) -> Firewall IPCOP (carte rouge : 192.168.8.2 avec VPN intégré)-> IPCOP (Carte verte : 192.168.1.1) -> Serveur (carte1 : 192.168.1.2) -> Carte 2 vers réseau local : 192.168.0.1 -> réseau LAN adresses du type 192.168.0.XX

Mais je trouve toutefois que c'est un peu lourd uniquement pour du TSE sur le SBS 2003.

Merci d'avance, de vos réponses.

Cordialement,

[Mothership]

Concernant le blocage coté WAN, il suffit de ne pas rediriger le port 3389 vers ton serveur.

[arnaud_verlaine]

Merci de l'info, c'est en effet bien le port 3389 qui est utilisé pour le TSE.

Mais une question subsiste quand même : je dois quand même laisser un port de libre pour le TSE (même si il n'est pas le 3389 pour plus de sécurité) mais ça ne change donc rien à la donne, si depuis l'extérieur, je fait ceci :

monipfixe:3389

j'aurai bien accès à mon TSE, je ne veux pas même en changeant le port. Je veux uniquement que les users du domaine y ait accès.

Donc :
1) Authentification VPN sur serveur (là on peut laisser accès WAN heureusement !)
2) ip-local-serveur:3389 et là on a accès. N'y a-t-il pas moyen sur le SBS de dire que le TSE est uniquement accessible aux utilisateurs du domaine? Le bureau à distance n'est-il donc pas plus étoffé que celui d'un simple Windows XP ? LoL

Au pire des cas, comme demandé, j'annulerai ma DMZ et redirigerai alors uniquement les quelques ports dont j'ai besoin. Mais je pensais qu'il y avait un moyen de gérer ça dans le serveur. Si ça ne va pas, je ferai comme tu me proposes. Redirection 1 à 1 les ports. Je trouve juste ça un peu plus lourd.

Merci pour vos réponses.

Dans l'attente de vous lire,

Cordialement,

[Mothership]

Le fait qu'il puisse s'authentifier sur le VPN et qu'ils puissent ouvrir une session sur ton TSE te permet justement de savoir qu'il n'y aura que des users du domaine susceptible de te connecter à ton serveur.

Je ne vois pas comment tu veux que ton serveur qui se connecte genre : "ha tient c'est paul, vas y tu peux ouvrir ta session".
C'est un peu le processus d'authentification, toutes les "barrières" que tu mets en amont limite justement le fait que des gens hors entreprise et peut être malveillantes puissent se connecter à ton réseau LAN depuis le WAN.

[arnaud_verlaine]

Non pas du tout, puisque dans Active Directory, on choisi les utilisateurs qui ont accès mais également les machines !

Donc par exemple, dans ma configuration LAN actuelle, si Paul (qui existe dans Active Directory) se connecte sur une machine qui n'est pas répertoriée dans le domaine, il n'aura pas accès.

Le VPN de Windows Server attribue des adresses IP dynamiques via DHCP. Ils les connait et sais lesquelles sont en cours d'utilisation. Il n'y a donc rien d'extraordinaire à penser que on pourrait se connecter au TSE uniquement si on a une machine existante dans le Active Directory ou dont l'adresse IP est donnée par le VPN !