« VPN Intranet » : différence entre les versions
| (7 versions intermédiaires par 3 utilisateurs non affichées) | |||
| Ligne 2 : | Ligne 2 : | ||
Le terme intranet prend tous son sens lorsque son accès est réservé avant tout aux gens interne au projet. Dans notre cas nous avons un intranet qui se présente comme un extranet mais au final accessible comme un site internet... Donc voici un premier pas vers un vrai intranet via la mise en place d'un serveur VPN que nous utiliserons pour accéder aux ressources internes au projet et donc accessible a tous les membres du projet via un simple client vpn. Ce VPN sera aussi très utile dans le cadre d'échange d'informations/fichiers. On pourrait de manière plus sécurisé proposé un NFS pour du partage, par exemple, avec une synchro différentielle et l'auth SSL du VPN. Le SSL n'est pas LA solution car reste facilement contournable dans le cas de MITM et de fasification de CA mais c'est mieux que rien. J'ai écris un fichier de config' basique mais fonctionnel pour le serveur et les clients ainsi que les infos commune pour les SSL. (Les infos étant a adapter dans le cas de des cert clients). | Le terme intranet prend tous son sens lorsque son accès est réservé avant tout aux gens interne au projet. Dans notre cas nous avons un intranet qui se présente comme un extranet mais au final accessible comme un site internet... Donc voici un premier pas vers un vrai intranet via la mise en place d'un serveur VPN que nous utiliserons pour accéder aux ressources internes au projet et donc accessible a tous les membres du projet via un simple client vpn. Ce VPN sera aussi très utile dans le cadre d'échange d'informations/fichiers. On pourrait de manière plus sécurisé proposé un NFS pour du partage, par exemple, avec une synchro différentielle et l'auth SSL du VPN. Le SSL n'est pas LA solution car reste facilement contournable dans le cas de MITM et de fasification de CA mais c'est mieux que rien. J'ai écris un fichier de config' basique mais fonctionnel pour le serveur et les clients ainsi que les infos commune pour les SSL. (Les infos étant a adapter dans le cas de des cert clients). | ||
== | == Architecture == | ||
=== | === Node === | ||
Les points d'entrée dans l'intranet seront répartis géographiquement pour des questions de charge et de continuité de services. De plus un réseau distribué est beaucoup plus intéressant qu'un réseau centralisé qui atteindra plus vite ses limites | |||
Les nodes sont possèdent un NDD et une délégation d'autorité sur leur zone destine a leurs services (ex nom du membre dans home) | |||
Ces NDD seront aussi ceux employé en interne. | |||
Manu404 précise que les hostpot et les nodes doivent normalement loger et conserver les logs pour rester dans la légalité. | |||
// TODO : Vérifier durée de conservation | |||
=== Services complémentaires === | |||
- Asterisk | |||
Il pourrait être intéressant de fournir un service de VoIP over VPN. // TODO | |||
- HotSpot | |||
- Dn42/Freenet | |||
- Service de partage de fichier type S3 | |||
=== | |||
- Mail | |||
Rajoutez ici les services que vous desireriez voire apparaitre | |||
=== Exemple d'architecture === | |||
[[Fichier:Hotspot.png]] | |||
== Participants au projet == | |||
Si vous désirez participer, vous pouvez inscrire ci dessous votre nom et si vous désirez être node, le matériel dont vous disposez et ce dont vous pourriez avoir besoin (sans exagérer, ne pas mettre il me faut 12 000€ pour un blade system...) | |||
L'hébergement du matériel reste a la charge du propriétaire. | |||
'''Nom :''' Manu404 | |||
[[Category: | '''Services : ''' Node, Hotspot, Filesharing | ||
'''Matériel : ''' | |||
Le serveur tournera sur un intel 2*1.7Ghz 2Go RAM. Deux VM seront installées, Debian 5.0 avec +/- la moitié des ressources chacune. Dans un premier temps un routeur linksys WRT54g avec DDWRT installé dessus servira d'hotspot et de pont VPN. Un Cisco Small Buisness WAP4410N servira d'ap. | |||
Une authentification dans un web portal captif sera nécessaire. On peut d'authentifier avec anonym/anonym, dans ce cas du content filtering (Dasnguardian avec Squid comme proxy transparent) est mis en place ainsi que des règles de QoS particulièrent pour éviter le téléchargement type "warez". Sinon le user/password du wiki permet de s'authentifier avec un niveau de liberté supérieur et sans filtrage. | |||
Le système est monitoré avec Munin (peut monitorer l'intérieur du VPN aussi) | |||
'''Besoin : ''' | |||
[[Category:Idea]] | |||
Version actuelle datée du 22 avril 2011 à 21:19
Pourquoi un VPN ?
Le terme intranet prend tous son sens lorsque son accès est réservé avant tout aux gens interne au projet. Dans notre cas nous avons un intranet qui se présente comme un extranet mais au final accessible comme un site internet... Donc voici un premier pas vers un vrai intranet via la mise en place d'un serveur VPN que nous utiliserons pour accéder aux ressources internes au projet et donc accessible a tous les membres du projet via un simple client vpn. Ce VPN sera aussi très utile dans le cadre d'échange d'informations/fichiers. On pourrait de manière plus sécurisé proposé un NFS pour du partage, par exemple, avec une synchro différentielle et l'auth SSL du VPN. Le SSL n'est pas LA solution car reste facilement contournable dans le cas de MITM et de fasification de CA mais c'est mieux que rien. J'ai écris un fichier de config' basique mais fonctionnel pour le serveur et les clients ainsi que les infos commune pour les SSL. (Les infos étant a adapter dans le cas de des cert clients).
Architecture
Node
Les points d'entrée dans l'intranet seront répartis géographiquement pour des questions de charge et de continuité de services. De plus un réseau distribué est beaucoup plus intéressant qu'un réseau centralisé qui atteindra plus vite ses limites Les nodes sont possèdent un NDD et une délégation d'autorité sur leur zone destine a leurs services (ex nom du membre dans home) Ces NDD seront aussi ceux employé en interne.
Manu404 précise que les hostpot et les nodes doivent normalement loger et conserver les logs pour rester dans la légalité.
// TODO : Vérifier durée de conservation
Services complémentaires
- Asterisk
Il pourrait être intéressant de fournir un service de VoIP over VPN. // TODO
- HotSpot
- Dn42/Freenet
- Service de partage de fichier type S3
Rajoutez ici les services que vous desireriez voire apparaitre
Exemple d'architecture
Participants au projet
Si vous désirez participer, vous pouvez inscrire ci dessous votre nom et si vous désirez être node, le matériel dont vous disposez et ce dont vous pourriez avoir besoin (sans exagérer, ne pas mettre il me faut 12 000€ pour un blade system...)
L'hébergement du matériel reste a la charge du propriétaire.
Nom : Manu404
Services : Node, Hotspot, Filesharing
Matériel :
Le serveur tournera sur un intel 2*1.7Ghz 2Go RAM. Deux VM seront installées, Debian 5.0 avec +/- la moitié des ressources chacune. Dans un premier temps un routeur linksys WRT54g avec DDWRT installé dessus servira d'hotspot et de pont VPN. Un Cisco Small Buisness WAP4410N servira d'ap.
Une authentification dans un web portal captif sera nécessaire. On peut d'authentifier avec anonym/anonym, dans ce cas du content filtering (Dasnguardian avec Squid comme proxy transparent) est mis en place ainsi que des règles de QoS particulièrent pour éviter le téléchargement type "warez". Sinon le user/password du wiki permet de s'authentifier avec un niveau de liberté supérieur et sans filtrage.
Le système est monitoré avec Munin (peut monitorer l'intérieur du VPN aussi)
Besoin :