Imprimer

VPN (Virtual Private Network)

Relier des sites distants en utilisant une connexion ADSL: Réseau privé virtuel

 Objectif:  

Les sites distants d'un groupement scolaire, ou les filiales d'une société ont des besoins croissants en terme de communication et d'échange de données. Il est désormais possible de les relier en utilisant le réseau public, mais de manière sécurisée. En effet, l'arrivée des offres haut débit ADSL à un prix attractif , (ou même gratuits pour les établissements scolaires) permettent d'éviter la location d'une ligne spécialisée entre chaque site. Toutefois, l'utilisation du réseau public, une connexion permanente et une adresse IP fixe engendrent des problèmes de sécurité qu'il faut prendre en compte.

 Mise en oeuvre 

La réalisation fera appel au système d'exploitation Linux pour sa stabilité et sa sécurité et aux logiciels libres, pour leur fiabilité, leur suivi de la part de la communauté (mise à jour de sécurité) et leur prix de revient réduit (pas de licences propriétaires à acheter).

Mise en place sur chaque site d'un serveur-passerelle avec une distribution Linux Ubuntu ou Debian: sur chaque passerelle, on installera 2 cartes réseaux, une avec une adresse publique reliée au routeur, ou modem ADSL, l 'autre en adressage privée reliée au switch principal et aux stations de travail existantes. (postes de travail Windows ou Linux)

 Utilisation du logiciel Openswan 

Ce logiciel permet de créer un tunnel IPSEC et donc de réaliser un réseau privé virtuel (VPN) entre les deux sites.

Utilisation d'Open-ssh , de Putty et du logiciel VNC pour prendre le contrôle d'une station de travail distante, ou permettre à l'administrateur réseau de se connecter à distance sur le serveur de manière sécurisée. (Forwarding de ports à travers un tunnel ssh) Le serveur-passerelle est également serveur DHCP, et permet le partage de la connexion internet à travers un firewall (Iptables)

 Résultats obtenus 

- On peut à partir d'une station de travail sur le site A prendre le contrôle d'une autre station sur le site B, utiliser les logiciels, accéder aux données du poste distant de manière sécurisée, et réciproquement. (Ssh, Putty, VNC)

Les partages sur les serveurs du site B sont également accessibles. Seul l'affichage du poste distant voyage sur le réseau, ce qui permet d'utiliser des applications exigeantes en ressources (Applications WinDev, bases de données par exemple) avec une rapidité de travail convenable.

- On peut à partir d'une station de travail sur le site A échanger des données avec un poste sur le site B de manière sécurisée. Toutes les données partagées par les machines B sont accessibles aux machines A, et réciproquement.(Openswan)

- Un utilisateur sur le site A peut acceder à l'intranet du site B en utilisant son navigateur, de manière sécurisée (Openswan, serveur Apache, base de données MySql, SPIP)

- On peut synchroniser ou sauvegarder la nuit des répertoires serveurs d'un site à l'autre et de manière automatique et sécurisée (Rsync, ssh). L'administrateur réseau peut intervenir à distance sur les serveurs pour contrôler les fichiers de logs, modifier les fichiers de configuration, ajouter ou retirer des comptes utilisateurs, transférer manuelement des fichiers, régler un eventuel problème... (ssh, Webmin)