Q : Un nouveau partenaire est proche de l'une de nos agences. Par souci d'économie, nous l'avons relié à notre bureau en installant une connexion Ethernet vers le port DMZ sur l'unité pare-feu/routeur de notre agence, avec un autre pare-feu dans son bureau pour acheminer ses données sur un VPN
Connexion entre deux pare-feu
vers notre bureau principal.
Malheureusement, le VPN
se met en time out après
quelques minutes. Qu’est-ce qui
ne va pas ?
R :
La cause la plus probable du problème
est la topologie réseau pare-feu derrière
un pare-feu que vous avez installée.
Comme vous utilisez une unité
routeur/pare-feu combinée, le trafic
provenant du pare-feu que vous avez
installé chez votre partenaire doit aller
jusqu’au pare-feu de votre agence. En
général, il est mauvais d’acheminer du
trafic d’un pare-feu vers un autre,
parce que ces dispositifs manipulent
parfois le contenu interne des paquets
pour certains protocoles. En franchissant
deux pare-feu, ces paquets sont
donc manipulés deux fois, non sans
risque.
FTP est un exemple de protocole
qu’un pare-feu doit manipuler en interne
pour fonctionner correctement.
Le protocole IPSec, utilisé par la plupart
des VPN, en est un autre. Pour résoudre
votre problème, il faut donc éliminer
le trajet entre les deux pare-feu
pour le trafic du partenaire, en reliant
la connexion Ethernet de votre partenaire
entre le routeur et le pare-feu sur
votre réseau d’agence.
Malheureusement, ce n’est pas
possible avec votre configuration matérielle
actuelle, parce que les fonctions
du routeur et du pare-feu sont
étroitement mêlées dans l’unité routeur/
pare-feu unique. Bien qu’il y ait un
port sur cette unité appelé DMZ – pour
« demilitarized zone » – ce port n’assure pas de connexion entre les composants
routeur et pare-feu de l’unité. Sa
vraie fonction est de fournir un endroit
pour connecter les serveurs sans les
obliger à passer au travers de la portion
NAT (network address translation) du
composant pare-feu.
Pour résoudre le problème du
pare-feu passant par un pare-feu, il faut
séparer les fonctions routeur et parefeu
de votre agence en deux dispositifs
distincts. Vous pourrez probablement
désactiver une fonction ou l’autre sur
votre routeur/pare-feu, en ne la laissant
agir que comme un routeur ou un
pare-feu. Il faudra ensuite acheter au
moins une nouvelle unité – routeur ou
pare-feu – pour adapter votre réseau
au trafic du partenaire.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- ADI, l’infrastructure de données de Scality pensée pour l’ère de l’IA et de la souveraineté
- Les coûts cachés des merge requests générées par l’IA
- WatchGuard lance Rai, une IA agentique taillée pour les MSP
- Mythos révèle les limites d’un Zero Trust centré sur le réseau
Articles les + lus
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Avril 2026
À la une de la chaîne Tech
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Avril 2026
