[OpenVPN] Sécurisation communication interne VPN

ReRRemi · Le 01/02/2019, à 12:40

Bonjour à tous,

J'aimerai sécuriser mes connexions sur mon VPN, je n'ai pas trouvé d'article détaillant cette partie, si vous en avez ou si vous avez des explications, j'en serai grandement ravie !

Pour l'exemple j'ai trois équipements sur le VPN :
- Serveur : 10.0.0.1
- Toto : 10.10.0.1
- Tata : 10.10.0.2

Les IP de Toto et Tata sont attribuées automatiquement par le serveur OpenVPN.
Je souhaite que Toto et Tata accède au serveur 10.0.0.1, donc là rien à faire, ça fonctionne.
Je souhaite que le Serveur puisse accéder à tous les clients (Toto et Tata), là aussi, ça fonctionne.
Je souhaite que Toto et Tata ne puissent pas communiquer entre eux => je dois j'imagine rajouter une commande comme celle-ci:
iptables -A INPUT -s 10.10.0.0/16 -d 10.10.0.0/16 -j DROP
Si l'entrée vient du 10.10.X.X (donc un client) vers un autre client, alors on refuse la requête
Je n'ai pas essayé mais je pense que ça devrait faire l'affaire;

Là où ça me pose un vrai problème c'est que si Toto décide de changer l'ip dynamique (attribué au préalable par le serveur OpenVPN), par une IP fixe sur l'interface connecté au VPN.
Genre il décide de mettre 10.1.0.2, il aura du coup accès à tous les clients en passant outre les règles du pare-feu...

Comment obliger un client d'avoir une IP et pas une autre pour éviter qu'ils se fassent passer pour quelqu'un d'autre ?

Dernière modification par ReRRemi (Le 02/02/2019, à 16:29)

inbox · Le 01/02/2019, à 14:04

Salut,

Pour forcer une adresse IP, il faut utiliser les adresses MAC des postes clients et un serveur DHCP.

A+

ReRRemi · Le 02/02/2019, à 15:14

inbox a écrit :

Salut,
Pour forcer une adresse IP, il faut utiliser les adresses MAC des postes clients et un serveur DHCP.
A+

Salut Inbox et merci ! Aurais-tu de la documentation là dessus stp ?
Dans ton cas ça veut dire que si un client met une adresse IP statique, openvpn lui refuse d’accéder au réseau ?

inbox · Le 02/02/2019, à 15:48

Je ne peux affirmer que l'accès réseau sera refusé. Le mieux est de tester.

Je ne pense pas qu'il soit possible d'interdire l'accès d'un poste vers un autre. Mais de toute manière, se le poste n'est pas configuré avec un partage réseau ouvert (sans droit spécifique) ou avec un accès au bureau sans autorisation, ce n'est pas possible.

J'ai du mal à comprendre la raison profonde de ce que tu souhaites faire. La, tu as exprimé plutôt ce que tu pense être la solution à ton problème. Par exemple, dans ce que tu écris, j'ai l'impression que tu souhaites utiliser du VPN en réseau interne. A ma connaissance ce n'est pas l'utilisation qui en est prévue.

D'autre part, tu écris que ton serveur a une adresse en 10.0, que tes clients seront en 10.10. J'ai un gros doute sur le fait qu'ils puissent se joindre. Enfin tu demande si le fait d'utiliser un adressage permettra de joindre les autres postes. Je pense que non et qu'il sera même impossible de joindre quelque machine en réseau que ce soit. Le principe de base étant d'utiliser une même plage d'adresse pour un groupe de machines.

Est-ce un réseau personnel qui t'incite à vouloir tout fermer à ce point ou un réseau d'entreprise. Dans le 1er cas, je pense que tu pousse le bouchon. Dans le 2ème, tu as des lacunes importantes en connaissance réseau pour te lancer dans une telle configuration.

Concernant la documentation, je n'ai pas l'intention de faire tout le boulot à ta place.

ReRRemi · Le 02/02/2019, à 16:25

Alors j'ai 4 années d'études réseau si ça peut te rassurer !
Du réseau 10.0 ou 10.10 c'est dans le même sous-réseau et donc oui ils peuvent communiquer entre eux.
Un VPN c'est avant tout de faire un réseau privé virtuel (donc interne), c'est son but principal donc je ne sais de quelle autre définition tu veux parler mais je n'ai pas besoin que tu m'expliques ce qu'est un VPN.
Si je demande un truc aussi poussé ici c'est que je n'arrive pas à trouver d'exemple sur internet et pourtant il me semble que c'est très souvent utilisé.
Dans tes réponses tu ne m'apportes pas de solutions mais des phrases comme " tu pousses le bouchon " / " tu as des lacunes ".
Je ne suis pas venu ici pour me faire juger, surtout pas sur mon niveau en réseau, je suis venu ici demander de l'aide et peut-être aider d'autres personnes dans le même cas que moi en venant ici.
C'est gentil de me répondre mais j'aimerai des réponses qui me permettent d'avancer dans mon problème.
Et non je ne donne pas de solution, j'imagine des solutions mais ce n'est peut-être pas les bonnes, et certainement pas les bonnes car je n'arrive pas à trouver des cas similaire sur internet.

inbox · Le 02/02/2019, à 16:38

Ayant zéro années d'études réseau derrière moi, je te laisse continuer à chercher.

bruno · Le 02/02/2019, à 16:55

On se calme !
Les questions de inbox me semblaient assez légitimes… Je ne comprends pas non plus la nécessité de bloquer les communications entre deux machines du même sous-réseau (encore faut-il que l'une d'entre elle héberge un service permettant cette communication…)
Configurer une IP fixe pour les clients openvpn et gérer les politiques d'accès: https://openvpn.net/community-resources/how-to/#policy

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/02/2019, à 12:40

[OpenVPN] Sécurisation communication interne VPN

#2 Le 01/02/2019, à 14:04

Re : [OpenVPN] Sécurisation communication interne VPN

#3 Le 02/02/2019, à 15:14

Re : [OpenVPN] Sécurisation communication interne VPN

#4 Le 02/02/2019, à 15:48

Re : [OpenVPN] Sécurisation communication interne VPN

#5 Le 02/02/2019, à 16:25

Re : [OpenVPN] Sécurisation communication interne VPN

#6 Le 02/02/2019, à 16:38

Re : [OpenVPN] Sécurisation communication interne VPN

#7 Le 02/02/2019, à 16:55

Re : [OpenVPN] Sécurisation communication interne VPN

Pied de page des forums