Où placer l'Autorité de Certification pour une connexion L2TP/IPSEC

Bonjour,

Je me trouve face à un problème concernant la mise en place d’un VPN qui devra être accessible par des utilisateurs nomades.

Dans le cas d’une connexion L2TP/IPSEC, une Autorité de Certification est requise, et elle doit obligatoirement faire partie du domaine.
Cependant elle doit aussi être accessible depuis Internet car les nomades vont se connecter dessus afin de demander leur certificat.

Et c’est là qu’est le problème :
J’ai prévu de placer mon serveur VPN dans la DMZ.

Seulement j’aimerais respecter ces deux règles de base en matière de sécurité :

  • Un serveur dans une DMZ ne doit jamais faire partie du domaine du LAN
  • Un serveur dans le LAN ne doit pas être accessible directement via Internet

Du coup je ne vois pas comment configurer tout cela.

Est-ce que quelqu’un a déjà fait un VPN L2TP/IPSEC ?
Comment gérez-vous votre CA ?
N’y-a-t’il pas d’autres moyens que le navigateur du nomade pour faire une demande de certificat ?

Merci de votre aide

Bonjour,

Je n’ai jamais mis ça en place, et je ne suis pas non plus un expert du sujet.
Cependant, il me semble que chez nous l’authentification est faite sur le firewall, je ne suis pas sur du fonctionnement exact, mais c’est je crois que la requête est relayée par un service spécifique sur le firewall vers le DC du domaine.

Je ne peux cependant en dire plus par manque de connaissance et de temps pour regarder…

Salut totof74,

Je pense que tu dois parler des authentifications RADIUS une fois le tunnel mis en place.

Cependant mon problème se trouve en amont, lors de la distribution du certificat, qui se fait lors de la première connexion d’un ordinateur nomade. En fait celui-ci viens faire une demande de certificat via son navigateur, l’installe et peut ensuite se connecter via le VPN.

En fait je cherche des infos sur la mise en place des serveurs afin de garder un haut niveau de sécurité.

En tout cas merci de ta réponse.
A+

Salut,

Non je parlais bien de l’autorité de certification et pas de l’authentification LDAP, elle est sur un de nos DC (donc sur le LAN).
Cependant, les certificats sont créés sur le firewall. Par contre les certificats ne sont pas distribués par celui-ci, ils sont stockés manuellement sur le client nomade (installés par un technicien).
Edité le 24/08/2010 à 15:00