Bonjour,

Je possède un mac mini sous Snow Leopard Serveur 10.6.4.

Actuellement je m'en sert pour faire du partage de fichier en SMB, AFP et FTP au sein de mon réseau local.

J'aimerai offrir la possibilité à certain utilisateur de ce connecter au serveur depuis l'extérieur, et a moi même à tout mon LAN.

J'ai donc lu tout les différents poste au sujet de la mise en place d'un VPN, et je commence à le mettre en place, et bien sur les questions et les problèmes commence.

J'ai ajouté le service VPN en L2TP, d'après ce que j'ai compris c'est le plus sécurisé et il fonctionne pour des utllisateurs windows ou mac. Je l'ai testé avec mon macbook en mis connectant depuis mon LAN et pas de problème.

Maintenant reste a y accéder depuis l'extérieur.

Pour info voilà comment et stucturé mon LAN :

J'ai en local une cinquantaine de poste utilisateur mac et pc tous configuré en IP fixe sur le réseau 192.168.0.0/24

J'ai 2 Livebox pro, qui font office de routeur l'une en 192.168.0.1 et l'autre en 192.168.0.2 seul une des 2 fait du DHCP sur la place 1892.168.0.150 à 192.168.0.160 pour certain poste nomade.
Pourquoi 2 connection vous me direz, tout simplement parce que nous étions 2 sociétés sur deux LAN séparé et nous avons simplement raccordé nos switch,
donc certain poste sont configuré sur l'une ou l'autre des livebox, cela permet de répartir la charge des connexions internet sur 2 connexions.
Voila pour mon réseau.

J'ai lu dans un post (ici), que via une connexion via une Livebox il fallai metre mon mac mini dans la DMZ pour que cela fonctionne, il faut donc que je mettes en route le firewall du mac mini. Et la déjà mes première question.

J'ai toute les données de l'entreprise sur le mac mini et cela me stress un peu de le mettre en DMZ, donc ma première question est-il dangereux de le mettre en DMZ avec pour seul firewall celui du mac mini ? Est t'il suffisamment efficace ? faut t'il envisager un vrai firewall matériel ?

En attendant je suis en train de configurer le FireWall du mac mini, et la je ne comprends pas certaine chose.
Voila ce que j'ai fait :
J'ai créer 3 groupes d'adresse : any ; 192.168.0.0/24 pour le réseau local ; 192.168.0.4 pour moi
Au niveau des service j'ai sélectionné :
"Autoriser uniquement le traffic vers ces ports " en ne cochant aucune case pour any
"Autoriser tout le trafic" pour 192.168.0.0/24 et 192.168.0.4

Je lance le firewall et la je ne peut plus me connecter via l'Admin serveur depuis mon poste sur le réseau local, je peut faire du partage écran me connecter en AFP ou SMB. Auriez vous une idée ?
Si je désactive le firewall, je peut mis reconnecter. L'admin Serveur ce lance bien, mais mon serveur reste grisé.

Je vais commencer a tester le VPN depuis l'exterieur, je vous reposerai certainement d'autre question très bientôt.

par avance merci.
Christophe

Désolé, j'ai du faire une fausse manip, j'ai posté 2 fois le même post. Si un admin peut supprimer ce poste.

Hello Christophe,

le Firewall du MacMini est bon pas de souci de ce coté-là…

Avant de mettre ton serveur en DMZ de ton routeur, essaye d'ouvrir les ports correspondants à ton VPN pour voir, car moi j'ai une LiveBox Pro et pas eu besoin de mettre mon serveur en dmz pour accéder à mon VPN…

Merci de ta réponse rapide.

Avant de voir ta réponse, j'ai mis le mac mini en DMZ et la connexion VPN c'est effectué avec succès, c'est déjà un bon début.

Pour faire la configuration que tu me dit, il faut que je mette le pare-feu de la Livebox sur "minimum" et dans la partie Configuration -> Avancée -> Routeur, j'ajoute les ports de mon VPN vers mon serveur, c'est bien ça ?

Autres question par rapport à cela, en terme de sécurité quel différence il y a entre mettre le mac mini en DMZ et utiliser le firewall du mac mini et la solution que tu me propose ?

Salut,

Quand je me suis mis au VPN, j'ai commencé par le L2TP, et je n'ai pas eu besoin de DMZ.
Tu as juste à forwarder 2 ports vers Mini et c'est bon. et du coup, tu n'as plus besoin du parefeu de Mini.

MacMini en DMZ : tous les flux sont redirigés vers ton MacMini, tu peux éventuellement être victime d'une attaque type DOS, Sinon c'est ton routeur qui bloquera les flux et n'autorisera que ceux que tu as choisis à passer vers le MacMini… Ceci dit si ton routeur n'a pas de protection contre les attaques type DOS, il se bloquera de la même manière que ton serveur…

Oui mais un seul port Ethernet sur le MacMini donc même avec une 2e LB elle prendra pas le relais automatiquement en cas de "chute" de la première LB.

J'ai ouvert les ports 1701 et 500 en UDP et la connexion VPN a très bien fonctionné.

Par contre, je n'arrive pas acceder à mes données en AFP.

Je fais sur la mac distant, menu Aller -> Se connecter au serveur et je tape afp://192.168.0.50 mais cela ne fonctionne pas.

le serveur VPN ma bien attribué le 192.168.0.41

je cherche je vous tiens au courant de mon avancement.

Y a quelque chose que je ne comprends pas, je me connecte en VPN depuis l'extrieure (un mac sur une liaison Free) sur mon serveur VPN la connexion ce passe bien.

J'essaie de faire un Ping sur le serveur en 192.168.0.50 et voila ce que j'obtiens dans ipfw.lop :
Oct 20 11:39:40 cgpi-associes ipfw[170]: 65534 Deny ICMP:0.0 192.168.0.50 192.168.0.42 out via ppp1

alors que si je vais la même chose sur un mac dans le réseau local j'obtien :
Oct 20 11:40:50 cgpi-associes ipfw[170]: 12300 Accept ICMP:8.0 192.168.0.4 192.168.0.50 in via en0

Pourquoi le firewall bloque t'il au mac en VPN ?

Déjà coupe le service firewall de ton serveur pour faire tous tes tests de VPN…

En coupant le Firewall du mac mini, tout fonctionne a merveiile, comme ci j'était dans mon réseau en local.


Par contre j'aimerai bien le relancer, mais la je ne sait pas trop comment faire pour que cela ne me bloque pas.