Q : Un nouveau partenaire est proche de l'une de nos agences. Par souci d'économie, nous l'avons relié à notre bureau en installant une connexion Ethernet vers le port DMZ sur l'unité pare-feu/routeur de notre agence, avec un autre pare-feu dans son bureau pour acheminer ses données sur un VPN
Connexion entre deux pare-feu
vers notre bureau principal.
Malheureusement, le VPN
se met en time out après
quelques minutes. Qu’est-ce qui
ne va pas ?
R :
La cause la plus probable du problème
est la topologie réseau pare-feu derrière
un pare-feu que vous avez installée.
Comme vous utilisez une unité
routeur/pare-feu combinée, le trafic
provenant du pare-feu que vous avez
installé chez votre partenaire doit aller
jusqu’au pare-feu de votre agence. En
général, il est mauvais d’acheminer du
trafic d’un pare-feu vers un autre,
parce que ces dispositifs manipulent
parfois le contenu interne des paquets
pour certains protocoles. En franchissant
deux pare-feu, ces paquets sont
donc manipulés deux fois, non sans
risque.
FTP est un exemple de protocole
qu’un pare-feu doit manipuler en interne
pour fonctionner correctement.
Le protocole IPSec, utilisé par la plupart
des VPN, en est un autre. Pour résoudre
votre problème, il faut donc éliminer
le trajet entre les deux pare-feu
pour le trafic du partenaire, en reliant
la connexion Ethernet de votre partenaire
entre le routeur et le pare-feu sur
votre réseau d’agence.
Malheureusement, ce n’est pas
possible avec votre configuration matérielle
actuelle, parce que les fonctions
du routeur et du pare-feu sont
étroitement mêlées dans l’unité routeur/
pare-feu unique. Bien qu’il y ait un
port sur cette unité appelé DMZ – pour
« demilitarized zone » – ce port n’assure pas de connexion entre les composants
routeur et pare-feu de l’unité. Sa
vraie fonction est de fournir un endroit
pour connecter les serveurs sans les
obliger à passer au travers de la portion
NAT (network address translation) du
composant pare-feu.
Pour résoudre le problème du
pare-feu passant par un pare-feu, il faut
séparer les fonctions routeur et parefeu
de votre agence en deux dispositifs
distincts. Vous pourrez probablement
désactiver une fonction ou l’autre sur
votre routeur/pare-feu, en ne la laissant
agir que comme un routeur ou un
pare-feu. Il faudra ensuite acheter au
moins une nouvelle unité – routeur ou
pare-feu – pour adapter votre réseau
au trafic du partenaire.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Le Zero Trust : pourquoi votre entreprise en a besoin
- Cloud souverain : répondre aux enjeux d’hybridation et de maîtrise des dépendances
- Cybermenaces 2026 : l’IA devient la nouvelle arme des attaquants
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
Articles les + lus
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
Adapter la sécurité OT aux réalités de l’industrie
Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
À la une de la chaîne Tech
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
- Adapter la sécurité OT aux réalités de l’industrie
- Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
- Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
