Q : Un nouveau partenaire est proche de l'une de nos agences. Par souci d'économie, nous l'avons relié à notre bureau en installant une connexion Ethernet vers le port DMZ sur l'unité pare-feu/routeur de notre agence, avec un autre pare-feu dans son bureau pour acheminer ses données sur un VPN
Connexion entre deux pare-feu
vers notre bureau principal.
Malheureusement, le VPN
se met en time out après
quelques minutes. Qu’est-ce qui
ne va pas ?
R :
La cause la plus probable du problème
est la topologie réseau pare-feu derrière
un pare-feu que vous avez installée.
Comme vous utilisez une unité
routeur/pare-feu combinée, le trafic
provenant du pare-feu que vous avez
installé chez votre partenaire doit aller
jusqu’au pare-feu de votre agence. En
général, il est mauvais d’acheminer du
trafic d’un pare-feu vers un autre,
parce que ces dispositifs manipulent
parfois le contenu interne des paquets
pour certains protocoles. En franchissant
deux pare-feu, ces paquets sont
donc manipulés deux fois, non sans
risque.
FTP est un exemple de protocole
qu’un pare-feu doit manipuler en interne
pour fonctionner correctement.
Le protocole IPSec, utilisé par la plupart
des VPN, en est un autre. Pour résoudre
votre problème, il faut donc éliminer
le trajet entre les deux pare-feu
pour le trafic du partenaire, en reliant
la connexion Ethernet de votre partenaire
entre le routeur et le pare-feu sur
votre réseau d’agence.
Malheureusement, ce n’est pas
possible avec votre configuration matérielle
actuelle, parce que les fonctions
du routeur et du pare-feu sont
étroitement mêlées dans l’unité routeur/
pare-feu unique. Bien qu’il y ait un
port sur cette unité appelé DMZ – pour
« demilitarized zone » – ce port n’assure pas de connexion entre les composants
routeur et pare-feu de l’unité. Sa
vraie fonction est de fournir un endroit
pour connecter les serveurs sans les
obliger à passer au travers de la portion
NAT (network address translation) du
composant pare-feu.
Pour résoudre le problème du
pare-feu passant par un pare-feu, il faut
séparer les fonctions routeur et parefeu
de votre agence en deux dispositifs
distincts. Vous pourrez probablement
désactiver une fonction ou l’autre sur
votre routeur/pare-feu, en ne la laissant
agir que comme un routeur ou un
pare-feu. Il faudra ensuite acheter au
moins une nouvelle unité – routeur ou
pare-feu – pour adapter votre réseau
au trafic du partenaire.
Téléchargez cette ressource
Guide de technologie 5G pour l’entreprise
Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
