Bonjour,
Concernant les solutions que tu as envisagé, le "automatiquement trusté" me semble techniquement tordu et casse gueule coté sécurité et Le double VPN me semble une mauvaise idée parce que ça va faire beaucoup de complexité coté client et en particulier au niveau des tables de routages.
Même si la question est déjà tranchée pour des raisons obscures, il me semble important de rediscuter de la pertinence du schéma vis à vis de l'objectif final. Un unique FW à 3 pattes me semble à priori préférable mais ça n'est que mon avis.
En restant sur ton schéma, la meilleure methode me semble être la redirection directe du ou des protocole de VPN de FW1 vers FW2 et que l'usager établisse directement un VPN avec FW2 pour accéder au LAN. Si l'uager veut accéder à DMZ, alors il y a deux cas : soit FW1 permet des accès à DMZ depuis l'internet, et la question de VPN ne se pose pas. Soit l'usager se connecte au LAN par VPN, comme dit précédemment et, de là, redescends sur DMZ.
En tout cas, il me semble important de bien valider les "use cases" avant de se lançer dans la technique sinon c'est l'usine à gaz assurée.
En espérant vous avoir éclairé, Pierre
Le 16/06/2014 15:45, Manu a écrit :
Bonjour à vous!
Voilà, pour diverses raisons, je monte une architecture avec double firewall enchaîné. Donc :
Internet -- (FW1) -- DMZ -- (FW2) -- LAN
En réalité FW1 est physique et FW2 est virtualisé. Je ne peux pas actuellement avoir le LAN directement derrière FW1.
Ma question est donc : Quelle serait la bonne pratique pour accéder au LAN depuis l'extérieur ?
- VPN sur FW1 et automatiquement trusté par FW2
- VPN sur FW1 puis sur FW2...
Merci d'avance Manu _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/