> le niveau de sécurité de mon interface LAN est de 100 et celle de l'outside 0
Je ne vois pas trop ce que tu veux dire par là... question de politique interne, genre le siège B ne doit pas accéder au LAN du siège A ? Si c'est ça, un VPN pourrait introduire de la granularité dans ta DMZ, en permettant l'accès au CUPS uniquement à ceux qui s'authentifient sur le VPN, sans pour autant mettre le CUPS sur le LAN - en gros : le VPN est en DMZ, et donne accès à une imprimante qui est dans une DMZ "moins publique".
> Avec Openvpn comment ferais je la translation de port
Mettons que tu as un serveur VPN dans ton site A : les gens de ton site B utilisent un client VPN sur leur machine pour s'y connecter, et toutes leurs connexions sont encapsulées dans des paquets UDP qui sortent du client VPN. La gateway du site B envoie tout ça à la gateway du site A, qui NATe vers le port UDP 1194 du serveur VPN : les paquets en ressortent alors comme ils y sont entrés, ie à destination du port TCP 631 du CUPS du site A, avec son adresse interne sur le site A.
Le "client" VPN peut être global pour le site B, ie un seul VPN par lequel tout le monde passe, de sorte à avoir un tunnel ouvert en permanence, plutôt qu'à la demande. Pour interconnecter deux sites, c'est encore le plus simple, a priori. En gros, là, tu as un serveur VPN en DMZ de chaque côté, et il connecte les deux sites pour faire comme s'ils n'en faisaient qu'un, du point de vue des utilisateurs.
Un VPN ne fait qu'encapsuler des paquets dans d'autres, en les chiffrant, et après authentification, pour connecter deux sites distants, ou un utilisateur distant à un site. Une fois connecté, c'est exactement comme si on était en local, du point de vue utilisateur ; ce qui fait qu'il faut une certaine cohérence entre les deux sites, genre ne pas utiliser une adresse IP pour le CUPS du site A qui soit déjà utilisée sur le site B, par exemple.
Tu peux voir des VPN comme des distrans, dans Hypérion, ou des portes des étoiles dans Stargate :p
> est ce possible de faire communiquer openvpn dans le lan avec mon interface outside
Faudra quand même bien que le VPN écoute sur une interface publique, pour qu'il réponde aux demandes de connexion... donc, NATer vers lui, si tu n'as qu'une seule adresse publique.
Ah oui, sinon, pense bien à un truc : OK, là, avec ta DMZ, tu n'autorises que le site B à se connecter à ton CUPS... mais si tu n'utilises pas au moins SSL pour dialoguer avec ton CUPS, tu es conscient que tous les paquets de l'impression se baladent en clair sur le net, interceptables sans avoir à les déchiffrer par n'importe qui entre deux ? J'espère qu'il n'y a rien de confidentiel dans ce qui est imprimé, hein...
[^] # Re: Très bonne idée
Posté par Aefron . En réponse au message impression à distance. Évalué à 3.
Je ne vois pas trop ce que tu veux dire par là... question de politique interne, genre le siège B ne doit pas accéder au LAN du siège A ? Si c'est ça, un VPN pourrait introduire de la granularité dans ta DMZ, en permettant l'accès au CUPS uniquement à ceux qui s'authentifient sur le VPN, sans pour autant mettre le CUPS sur le LAN - en gros : le VPN est en DMZ, et donne accès à une imprimante qui est dans une DMZ "moins publique".
> Avec Openvpn comment ferais je la translation de port
Mettons que tu as un serveur VPN dans ton site A : les gens de ton site B utilisent un client VPN sur leur machine pour s'y connecter, et toutes leurs connexions sont encapsulées dans des paquets UDP qui sortent du client VPN. La gateway du site B envoie tout ça à la gateway du site A, qui NATe vers le port UDP 1194 du serveur VPN : les paquets en ressortent alors comme ils y sont entrés, ie à destination du port TCP 631 du CUPS du site A, avec son adresse interne sur le site A.
Le "client" VPN peut être global pour le site B, ie un seul VPN par lequel tout le monde passe, de sorte à avoir un tunnel ouvert en permanence, plutôt qu'à la demande. Pour interconnecter deux sites, c'est encore le plus simple, a priori. En gros, là, tu as un serveur VPN en DMZ de chaque côté, et il connecte les deux sites pour faire comme s'ils n'en faisaient qu'un, du point de vue des utilisateurs.
Un VPN ne fait qu'encapsuler des paquets dans d'autres, en les chiffrant, et après authentification, pour connecter deux sites distants, ou un utilisateur distant à un site. Une fois connecté, c'est exactement comme si on était en local, du point de vue utilisateur ; ce qui fait qu'il faut une certaine cohérence entre les deux sites, genre ne pas utiliser une adresse IP pour le CUPS du site A qui soit déjà utilisée sur le site B, par exemple.
Tu peux voir des VPN comme des distrans, dans Hypérion, ou des portes des étoiles dans Stargate :p
> est ce possible de faire communiquer openvpn dans le lan avec mon interface outside
Faudra quand même bien que le VPN écoute sur une interface publique, pour qu'il réponde aux demandes de connexion... donc, NATer vers lui, si tu n'as qu'une seule adresse publique.
Ah oui, sinon, pense bien à un truc : OK, là, avec ta DMZ, tu n'autorises que le site B à se connecter à ton CUPS... mais si tu n'utilises pas au moins SSL pour dialoguer avec ton CUPS, tu es conscient que tous les paquets de l'impression se baladent en clair sur le net, interceptables sans avoir à les déchiffrer par n'importe qui entre deux ? J'espère qu'il n'y a rien de confidentiel dans ce qui est imprimé, hein...