AS400 depuis l'extérieur

Version imprimable

07/01/2013, 22h41
vovor

AS400 depuis l'extérieur

Bonjour,

Je voulais à la base pouvoir me connecter sur mon AS400 depuis l'extérieur de mon LAN.
L'idée de départ :
-client access
-une adresse IP fixe
-un NAT vers le port 23 de l'AS400 sur mon routeur.
-Configuration d'une nouvelle connexion sur Iseries Navigator de mon poste client.
- Creer un écran.
- Changer le port 23 de connexion

En "thérorie", ça devait passer. Sauf que ça ne passe pas. Aucune réponse.

Le pire étant qu'en telnet, putty se connecte sans aucun problèmes depuis l'extérieur.

Une idée?

Installer ClientAcces for Web? Une autre idée?

merci d'avance
08/01/2013, 08h15
FORMULARY

Client Access utilise d'autres ports en plus du port telnet 23.
Il faut aussi configurer le NAT pour les ports
8470,8471,8472,8473,8474,8475,8476,446,449
08/01/2013, 09h00
vovor

Merci.

Un conseil pour améliorer la sécurité? Parce que ça fait beaucoup d'ouverture vers l'AS400. Y'a pas de risque?
08/01/2013, 10h26
FORMULARY

C'est comme partout. Plus on ouvre l'accès à quelque chose, plus il y a de risque concernant la sécurité !

Pour ma part, ces ports sont configurés dans le NAT mais activés seulement lorsque l'on en a besoin ...

C'est vrai que les ports 21 et 23 (FTP et TELNET) sont assez souvent scannés. La seule nuit où j'ai laissé le port 21 ouvert, j'ai vu des tonnes de tentatives d'accès (mais toutes rejetées) entre 22 heures et 3 heures ...

Note : On peut configurer Client Access pour utiliser SSL.
Dans ce cas le port 23 est remplacé par 992.
08/01/2013, 10h51
m4k-Hurrican

Solution simple, plus sécurisée, créer un VPN...
Je suppose que le serveur est derrière un routeur parefeu matériel ? Si ce n'est pas le cas, çà devrait l'être.
Sur ce routeur, créer un tunnel VPN (ipsec si possible et ne pas lésiner avec le cryptage).
De l'extérieur, utiliser dans l'idéal un autre routeur paramétré comme client du VPN (ou en host to host), et sinon une solution comme Shrewsoft qui permet d'ouvrir le tunnel de façon logicielle (un peu moins sûr mais çà marche bien).
Démarrer le tunnel si la solution est logicielle, puis se connecter comme en local, puisqu'on y est "virtuellement"...
10/01/2013, 16h39
vovor

C'est certain, une bonne idée. Mais dans mon cas, c'est pas possible.

Sinon j'ai bien NATé tous les ports cités, mais toujours rien.
10/01/2013, 17h49
m4k-Hurrican

Pourquoi pas possible ? 8O
Je vois pas ce qui peut empêcher la création d'un tunnel, et çà résout ton problème.
Personnellement j'ai 8 tunnels sur mon site principal. 7 fixes pour créer un intranet avec les autres sites du groupe, et 1 dynamique pour les accès des itinérants.
Une NAT c'est pas sécurisé du tout. :(

Un truc idiot auquel je pense. Ton routeur, il a bien une règle de parefeu pour laisser passer les ports dont tu as besoin ? Parce que créer une NAT n'ouvre pas les ports du parefeu en général.