Auteur Sujet: Passer par le VPN pour l'intranet mais pas pour internet  (Lu 927 fois)

0 Membres et 1 Invité sur ce sujet

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« le: 10 novembre 2020 à 09:10:23 »
Bonjour,
je suis confronté à un petit problème dans mon entreprise. Lorsque les postes clients sous Windows 10, activent le VPN (intégré à windows), tout leur traffic passe par le VPN, meme lorsqu'ils surfent sur internet ou lorqu'ils envoient/recoivent des emails.
En fait je cherche comment configurer la connexion réseau pour que le VPN ne soit utilisé que pour accèder aux fichiers et applications qui se trouvent sur le réseau local de l'entreprise et non pour ce qui est de l'internet.

Est-ce qu'il y a un tutoriel quelque part ? tout ce que j'ai tenté de faire n'a pas fonctionné.

Sur le forum microsoft, j'ai vu quelqu'un proposer de décocher un paramètre, mais sans succès chez moi...



Si quelqu'un a une idée ?
Merci

vivien

  • Administrateur
  • *
  • Messages: 38 377
    • Twitter LaFibre.info
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #1 le: 10 novembre 2020 à 09:21:33 »
Une premier question à savoir est ce qu'il faut faire pour la résolution DNS : Si tu as des nom de domaines annoncé uniquement sur le DNS de l'entreprise, tu as peut être besoin que les requêtes DNS passent par l'entreprise. Si tu as besoin de faire un mixte des deux, le DoH dans Firefox fonctionne bien : Il tente une résolution via DoH et en cas d'échec (nom de domaine intranet) il passe la main au DNS de la machine qui doit alors faire sa requête sur le serveur de l'entreprise.

Ensuite ce serait une politique de routage par plage IP. Tu as une plage IP qui correspond aux équipements interne à l'entreprise ? (10.0.0.0/8 par exemple mais il doit y avoir des plages IP publiques en plus)


Pour informations, beaucoup de grosses boites bloquent la possibilité d'aller sur Internet tant que le VPN n'est pas monté, afin de pouvoir contrôler tous les flux qui vont sur les PC et pourvoir bloquer les flux indésirables via un équipement qui fait du man-in-the-middle. Le but recherché et d'éviter que le PC se fasse corrompre. C'est la même raison qui pousse certaines boites (c'est assez rare) à bloquer ou restreindre l'usage des ports USB.

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #2 le: 10 novembre 2020 à 09:47:14 »
Merci @vivien
Citer
Une premier question à savoir est ce qu'il faut faire pour la résolution DNS : Si tu as des nom de domaines annoncé uniquement sur le DNS de l'entreprise, tu as peut être besoin que les requêtes DNS passent par l'entreprise
Effectivement on a des dns propres a notre réseau...mais ce sont bien nos serveurs DNS qui remontent par le DHCP de la connexion VPN...je vais quand même vérifier car ca fait un petit moment que je ne me suis pas replongé dans ce problème.
« Modifié: 10 novembre 2020 à 10:38:54 par cetipabo »

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #3 le: 10 novembre 2020 à 12:40:17 »
Alors, tu avais bien raison  8)
En configurant le VPN comme sur mon image écran, le DNS utilisé n'est pas celui que j'indique dans le VPN (celui du réseau local d'entreprise), il est tout simplement ignoré par windows qui continue d'utiliser celui de la livebox.
Pour forcer l'utilisation du DNS de la société il faut forcer le metrique à 15 comme indiqué dans la solution ici :
https://superuser.com/questions/966832/windows-10-dns-resolution-via-vpn-connection-not-working

Citer
Through the GUI: Network connections, Properties, TCP/IP v4 Properties, Advanced, Set Metric to 15;
Command line: netsh int ip set interface interface="LAN CONNECTION NAME" metric=15

J'ai fait un test rapide et cela semble marcher. Merci @vivien de m'avoir pointé sur la bonne direction  ;)



un petit Nslookup pour vérifier que je suis bien sur le bon DNS :

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #4 le: 10 novembre 2020 à 12:57:13 »
Bon alors ca marche à 99.9%

on a des serveurs qui se trouvent dans la plage d'ip 192.168.1.0/24

Bravo à l'admin réseau de notre groupe qui a eu cette idée...ca correspond à la plage par défaut des ip de nos livebox, du coup quand je ping un serveur dans cette plage d'ip ca ne répond pas, la recherche se fait sur mon réseau local lui aussi en 192.168.1.0/24

je me vois mal d'aller demander a tous les utilisateurs d'aller changer leur DHCP dans leur box...
Merde !  :-\

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #5 le: 10 novembre 2020 à 13:19:09 »
je viens de faire quelques tests. j'ai basculé ma box sur l'ip 192.168.250.1 avec DHCP sur 192.168.250.10 à 100

Avec Advanced ip scanner, lorsque je scanne la plage d'ip 192.168.1.0/24 ca scan toujours mon réseau local ?? pourtant j'ai reboot mon PC après les modifs.

Avec VPN Activé :
Lorsque je fais un ping livebox.home ca répond bien : 192.168.250.1
Lorque je ping lan.home ca répond : 192.168.1.1 ??

Je ne vois pas de route susceptible de perturber...

IPv4 Table de routage
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0    192.168.250.1   192.168.250.11     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.8.0    255.255.255.0    192.168.8.254    192.168.8.216     16
    192.168.8.216  255.255.255.255         On-link     192.168.8.216    271
     192.168.50.0    255.255.255.0         On-link      192.168.50.1    291
     192.168.50.1  255.255.255.255         On-link      192.168.50.1    291
   192.168.50.255  255.255.255.255         On-link      192.168.50.1    291
    192.168.100.0    255.255.255.0         On-link     192.168.100.1    291
    192.168.100.1  255.255.255.255         On-link     192.168.100.1    291
  192.168.100.255  255.255.255.255         On-link     192.168.100.1    291
    192.168.250.0    255.255.255.0         On-link    192.168.250.11    281
   192.168.250.11  255.255.255.255         On-link    192.168.250.11    281
  192.168.250.255  255.255.255.255         On-link    192.168.250.11    281
    213.215.xx.xx  255.255.255.255    192.168.250.1   192.168.250.11     26
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.100.1    291
        224.0.0.0        240.0.0.0         On-link      192.168.50.1    291
        224.0.0.0        240.0.0.0         On-link    192.168.250.11    281
        224.0.0.0        240.0.0.0         On-link     192.168.8.216    271
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.100.1    291
  255.255.255.255  255.255.255.255         On-link      192.168.50.1    291
  255.255.255.255  255.255.255.255         On-link    192.168.250.11    281
  255.255.255.255  255.255.255.255         On-link     192.168.8.216    271
===========================================================================
Itinéraires persistants :
  Aucun
« Modifié: 24 mars 2021 à 16:29:19 par cetipabo »

vivien

  • Administrateur
  • *
  • Messages: 38 377
    • Twitter LaFibre.info
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #6 le: 10 novembre 2020 à 13:55:55 »
on a des serveurs qui se trouvent dans la plage d'ip 192.168.1.0/24

Bravo à l'admin réseau de notre groupe qui a eu cette idée...ca correspond à la plage par défaut des ip de nos livebox, du coup quand je ping un serveur dans cette plage d'ip ca ne répond pas, la recherche se fait sur mon réseau local lui aussi en 192.168.1.0/24

Même les boites qui sont en pénurie d'IPv4 privées (il y en a de plus en plus - mais cela reste de grosses boites avec des milliers de sites) ne mettent pas de serveur sur 192.168.0.0/16

Les autres plages sont déjà toutes attribuées ?

Nouvelle plage IP privée "publiques, mais globalement pas uniques" : 100.64.0.0/10

Plusieurs gros opérateurs ont des problématiques d'épuisement des IP privées, des IP qui sont toujours en 10.0.0.0/8 et certains utilisent la petite plage 172.16.0.0/12.

Je trouve étonnant qu'ils en pensent pas a utiliser 100.64.0.0/10 définit en 2012 par la RFC 6598.
C'est une plage /10, ce qui permet d'avoir 4 194 304 IPv4 utilisables.

Récapitulatif des plages d'IP privées :
- 10.0.0.0/8 (10.0.0.0 – 10.255.255.255) - RFC 1918 : 16 777 216 IPv4
- 100.64.0.0/10 (100.64.0.0 - 100.127.255.255) -  RFC 6598 : 4 194 304 IPv4
- 172.16.0.0/12 (172.16.0.0 – 172.31.255.255) - RFC 1918 : 1 048 574 IPv4
- 192.168.0.0/16 (192.168.0.0 – 192.168.255.255) - RFC 1918 : 65 536 IPv4
- fd00::/8  - RFC 4193

Total : 22 085 630 IPv4

Plages IP pour le Link-local :
- 169.254.0.0/16 sans le premier et dernier /24 (169.254.1.0 to 169.254.254.255) -  RFC 6890 et RFC 3927
- fe80::/10 - RFC 4862

100.64.0.0/10 est utilisé pour les IP des routeurs Coriolis :

$ mtr -zrwc100 185.128.142.190
Start: Sun Oct 15 12:37:27 2017
HOST: lafibre                             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. AS43142 portevlan.adeli.biz           0.0%   100    0.3   0.3   0.2   2.7   0.3
  2. AS???   192.168.24.147                0.0%   100    0.2   0.1   0.1   0.2   0.0
  3. AS???   equinix.net.ccs.coriolis.fr   0.0%   100    6.6   6.6   6.3  12.8   0.6
  4. AS???   100.126.0.100                 0.0%   100    7.3   7.2   6.5   7.8   0.0
  5. AS???   100.126.0.32                  0.0%   100    6.8   7.1   6.5   7.8   0.0
  6. AS???   100.127.21.1                  0.0%   100   38.8  39.2  38.6  69.0   3.2
  7. AS60032 185.128.142.190               0.0%   100    8.3   8.3   8.2   8.5   0.0


Je suppose que Adeli n'a pas filtrée cette plage sur ces routeurs, ce qui me permet de voir quels sont les IP utilisées.

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #7 le: 10 novembre 2020 à 17:05:08 »
Citer
Les autres plages sont déjà toutes attribuées ?
non elles ne le sont pas toutes, mais comme on est que la filiale d'un groupe j'ai pas le pouvoir de leur dire de ne pas attribuer la plage 192.168.1.0/24 car c'est justement le sous réseau de notre siège :-X et donc là ou se trouve les principaux serveurs.

Il faudrait que je trouve un moyen pour ajouter une route statique qui renvoie sur le reseau d'entreprise lorsqu'on va sur 192.168.1.0/24
il me semble qu'il existe des options DHCP pour faire cela:
https://tools.ietf.org/html/rfc3442

Par contre étant donné que j'ai basculé mon réseau chez moi sur une autre plage d'ip, je ne comprends pas pourquoi je n'atteinds toujours pas le sous réseau en 192.168.1.0/24
le problème est ailleurs du coup ?

cetipabo

  • Client Orange vdsl
  • *
  • Messages: 532
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #8 le: 10 novembre 2020 à 18:02:41 »
Bon j'ai compris mon problème. Le VPN devrait envoyer toutes les routes de notre groupe, et il n'envoie que celle de notre filiale.

tutosfaciles48

  • Client Free adsl
  • *
  • Messages: 340
  • Saint-Nazaire (44)
    • tutosfaciles48
Passer par le VPN pour l'intranet mais pas pour internet
« Réponse #9 le: 03 décembre 2020 à 22:46:31 »
Il n'y a pas la possibilité d'utiliser une passerelle forticlient/ipdiva ? C'est ce qui est utilisé dans mon entreprise, et seul le trafic à destination interne passe par le vpn