Q : Un nouveau partenaire est proche de l'une de nos agences. Par souci d'économie, nous l'avons relié à notre bureau en installant une connexion Ethernet vers le port DMZ sur l'unité pare-feu/routeur de notre agence, avec un autre pare-feu dans son bureau pour acheminer ses données sur un VPN
Connexion entre deux pare-feu
vers notre bureau principal.
Malheureusement, le VPN
se met en time out après
quelques minutes. Qu’est-ce qui
ne va pas ?
R :
La cause la plus probable du problème
est la topologie réseau pare-feu derrière
un pare-feu que vous avez installée.
Comme vous utilisez une unité
routeur/pare-feu combinée, le trafic
provenant du pare-feu que vous avez
installé chez votre partenaire doit aller
jusqu’au pare-feu de votre agence. En
général, il est mauvais d’acheminer du
trafic d’un pare-feu vers un autre,
parce que ces dispositifs manipulent
parfois le contenu interne des paquets
pour certains protocoles. En franchissant
deux pare-feu, ces paquets sont
donc manipulés deux fois, non sans
risque.
FTP est un exemple de protocole
qu’un pare-feu doit manipuler en interne
pour fonctionner correctement.
Le protocole IPSec, utilisé par la plupart
des VPN, en est un autre. Pour résoudre
votre problème, il faut donc éliminer
le trajet entre les deux pare-feu
pour le trafic du partenaire, en reliant
la connexion Ethernet de votre partenaire
entre le routeur et le pare-feu sur
votre réseau d’agence.
Malheureusement, ce n’est pas
possible avec votre configuration matérielle
actuelle, parce que les fonctions
du routeur et du pare-feu sont
étroitement mêlées dans l’unité routeur/
pare-feu unique. Bien qu’il y ait un
port sur cette unité appelé DMZ – pour
« demilitarized zone » – ce port n’assure pas de connexion entre les composants
routeur et pare-feu de l’unité. Sa
vraie fonction est de fournir un endroit
pour connecter les serveurs sans les
obliger à passer au travers de la portion
NAT (network address translation) du
composant pare-feu.
Pour résoudre le problème du
pare-feu passant par un pare-feu, il faut
séparer les fonctions routeur et parefeu
de votre agence en deux dispositifs
distincts. Vous pourrez probablement
désactiver une fonction ou l’autre sur
votre routeur/pare-feu, en ne la laissant
agir que comme un routeur ou un
pare-feu. Il faudra ensuite acheter au
moins une nouvelle unité – routeur ou
pare-feu – pour adapter votre réseau
au trafic du partenaire.
Téléchargez cette ressource
Guide de téléphonie d’entreprise avec Teams
Ajouter un onglet téléphonie à Microsoft Teams pour émettre et recevoir des appels depuis n’importe quel terminal connecté. Découvrez dans ce guide pratique, comment bénéficier des avantages de l’offre TeamsPhony pour faire des économies, gagner en agilité et en simplicité avec une offre de téléphonie dans le cloud.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Padok « faire du Cloud et de l’infrastructure, un véritable accélérateur business »
- Le numérique responsable
- Delinea : la réponse aux exigences d’accès des entreprises hybrides modernes
- Data, désapprendre pour développer ses compétences en matière de données
- Atos et Eviden : la réponse aux défis cybersécurité et numériques, européens et mondiaux
