Accès exterieur à une application pour societe de service

[ouebman]

Bonjour,

je dois donner un accès à une société extérieur à notre ERP, mais je ne souhaite pas qu'il aient accès à tout le lan.

j'ai pensé mettre un poste dans une DMZ avec uniquement le client de l'ERP installé.

Qu'en pensez vous ?

Merci

[Chr!ss]

Bonjour,

Je pense qu'il serait préférable que tu créer un serveur TSE supplémentaire pour permettre l’accès à cette application et ainsi contrôler via le firewall les adresses ip autorisées et les droits dans l’ERP.

Christophe

[Koj]

Cela dépend surtout de ton ERP.
Il faut un client spécifique pour s'y connecter ?
si oui, tu peux faire une machine Virtuelle.

Internet
|
Firewall / VPN server
|
Switch layer 2 et 3
| - VLAN3 - Serveur VMWare ESX ou standard - Une Machine Virtuelle
| - VLAN2 ton ERP
| - VLAN1 ton LAN avec tes serveurs et tes clients
(utilise des VLAN sinon va te falloir 3 port réseau sur le firewall/vpn)

En VPN le presta à acces a la VM.
Le VLAN 3 n'a acces qu'au VLAN 2 donc qu'a ton ERP.
Le VLAN 1 a acces au VLAN 2


Si le presta n'a pas besoin de la partie client, tu peux utiliser le bon vieux VPN qui te donne accès qu'a l'ERP mais il faut un logiciel de controle genre VNC ou PCAny, ou du TS pour manager le serveur.

Internet
|
Firewall/VPN
|
ERP + Remote ou TS


PS : dans ipcop 1.4.x , le vpn donne accès à tout le LAN. voir www.ixus.net pour plus d'info.

Koj

[ouebman]

Bonjour,

Je pense qu'il serait préférable que tu créer un serveur TSE supplémentaire pour permettre l’accès à cette application et ainsi contrôler via le firewall les adresses ip autorisées et les droits dans l’ERP.

Christophe

donc mettre le tse en dmz ?

Cela dépend surtout de ton ERP.
Il faut un client spécifique pour s'y connecter ?
si oui, tu peux faire une machine Virtuelle.

Internet
|
Firewall / VPN server
|
Switch layer 2 et 3
| - VLAN3 - Serveur VMWare ESX ou standard - Une Machine Virtuelle
| - VLAN2 ton ERP
| - VLAN1 ton LAN avec tes serveurs et tes clients
(utilise des VLAN sinon va te falloir 3 port réseau sur le firewall/vpn)

En VPN le presta à acces a la VM.
Le VLAN 3 n'a acces qu'au VLAN 2 donc qu'a ton ERP.
Le VLAN 1 a acces au VLAN 2


Si le presta n'a pas besoin de la partie client, tu peux utiliser le bon vieux VPN qui te donne accès qu'a l'ERP mais il faut un logiciel de controle genre VNC ou PCAny, ou du TS pour manager le serveur.

Internet
|
Firewall/VPN
|
ERP + Remote ou TS


PS : dans ipcop 1.4.x , le vpn donne accès à tout le LAN. voir www.ixus.net pour plus d'info.

Koj

le presta devra faire de la saisie dans ERP.

Pour le moment je gère pas de vlan, ca va me faire du boulot, non ?

[Chr!ss]

Bonsoir,

Alors pour t'expliquer en gros ce que je pense ...

Tu as un LAN avec plusieurs sites distants (ex : 10.10.101.0 => 1er Site ; 10.10.102.0 => 2ème Site) .

En plus de ça tu as un autre accès VPN (ex: 10.10.99.0 => Accès VPN Distant pour les personnes avec des portables donc en 3G par exemple)

Tu donnes à la société externe un accès sur ce VPN Distant.

Donc dans cette exemple, tu as 2 serveurs TSE :
- 1 pour l'accès aux Sites Distants (10.10.101.0 & 10.10.102.0)
- 1 pour l'accès à partir de la 3G (10.10.99.0)

Les 2 serveurs TSE sont sur 2 machines différentes et possède tous deux un client lourd de ton ERP.

Sur la 1er machine, donc pour l'accès des Sites Distants, tu configures ton firewall pour interdire l'accès aux utilisateurs VPN provenant de 10.10.99.0

Sur la 2ème tu configure ton 2ème firewall en autorisant seulement les adresses provenant de 10.10.99.0

En amont tu auras créé un compte AD + un compte VPN permettant d'obtenir une IP en 10.10.99.0 via ton Provider/VPN et tu lui configure son client leger.

Ensuite tu gères les autorisations via ton ERP.

Je sais pas si cela te parait clair.

Sinon la solution que te propose Koj est pas mal non plus !!

PS: Quel est ton ERP ?

Christophe

[TheHinou]

sinon t'as la solution de passer par un portail web mais bon ca dépend de ton erp aussi

[Koj]

Cela dépend surtout de ton ERP.
Il faut un client spécifique pour s'y connecter ?
Koj

le presta devra faire de la saisie dans ERP.

Pour le moment je gère pas de vlan, ca va me faire du boulot, non ?

Tu n'as pas répondu à la question n°1 qui influ a 150% ta solution.
Il faut un client spécifique pour s'y connecter ? (installation d'un client Sage, d'un client Oracle, d'un client Magnitude, d'un client ....)
= Si tu n'as pas la client tu ne peux pas saisir de donner

C'est de ça que dépend ta solution.

Koj

[ouebman]

oui il y a un client qui se connecte à un lecteur réseau où est la base.

[Koj]

Si c'est du porotocol RPC, alors la question ne se pose plus trop :
- le client lance un client VPN qui encapsule tout le traffic et se connect a un serveur VPN, puis le client lance son logiciel client ERP.
- le client se connecte à un serveur TS (avec ou sans VPN), et sur le serveur TS il lance le logiciel client ERP.
- idem en citrix (concurrent TS que je ne maitrise pas)

Si le logiciel client ERP coute cher (licence client oracle par exemple), autant passer sur du TS.

Koj

nb : désolé pour le retard de réponse.

[ouebman]

Si c'est du porotocol RPC, alors la question ne se pose plus trop :
- le client lance un client VPN qui encapsule tout le traffic et se connect a un serveur VPN, puis le client lance son logiciel client ERP.
- le client se connecte à un serveur TS (avec ou sans VPN), et sur le serveur TS il lance le logiciel client ERP.
- idem en citrix (concurrent TS que je ne maitrise pas)

Si le logiciel client ERP coute cher (licence client oracle par exemple), autant passer sur du TS.

Koj

nb : désolé pour le retard de réponse.

La direction me remet la pression pour mise en place d'une solution

dans ce cas le prestataire à accès au lan via la session TSE, dois je mettre le tse dans une DMZ ?

[Timil]

Si la connexion est sécurisée, non, car elle est déjà sure.
Si ce n'est pas le cas OU que tu souhaites savoir ce qu'ils font de manière précise, alors oui... mais attention, dans une DMZ cela pose d'autres problèmes (machine hors domaine si possible justement... pas glop pas glop).

[ouebman]

Si la connexion est sécurisée, non, car elle est déjà sure.
Si ce n'est pas le cas OU que tu souhaites savoir ce qu'ils font de manière précise, alors oui... mais attention, dans une DMZ cela pose d'autres problèmes (machine hors domaine si possible justement... pas glop pas glop).

Je ne voudrais pas qu'ils aient accès au reste du lan, uniquement à l'appli. Le problème est que le VPN ouvre le lan... (VPN Cisco)
C'est pour ca que j'avais penser le mettre en dehors du lan, quitte à faire un autre VPN directement sur un poste bridé et autoriser le bureau à distance...

[Timil]

Le problème est que le VPN ouvre le lan... (VPN Cisco)

Non, le VPN CISCO peut restreindre l'accès à un unique serveur sur une unique IP, avec un unique port s'il le faut.

[ouebman]

Le problème est que le VPN ouvre le lan... (VPN Cisco)

Non, le VPN CISCO peut restreindre l'accès à un unique serveur sur une unique IP, avec un unique port s'il le faut.

Ok, je regarde de ce côté.

Et donc après je le mets sur une session TSE ?

[Timil]

Oui, moi ca me choque pas s'il est correctement limité dans sa session.