none
Comment connecter différents services en utilisant une seule IP publique ? RRS feed

  • Question

  • Bonjour,

    Je prévois de déployer plusieurs serveurs sur un réseau ne disposant que d'une seule adresse IP externe (publique) et un seul domaine (masociete.com).

    Je dois installer les serveurs suivants :

    • Exchange + OWA : utilisant les ports 25 et 443 (webmail.masociete.com)
    • SharePoint : utilisant le port 443 (sharepoint.masociete.com)
    • RD Gateway : utilisant le port 443 (remote.masociete.com)

    Ma question est la suivante : comment puis-je configurer ces 3 services utilisant le port 443, avec une seule IP publique ?

    Merci d'avance pour votre aide.

    lundi 30 septembre 2013 12:15

Réponses

  • Je dirais bien en installant un reverse proxy, mais c'est nettement plus simple d'avoir une IP publique  pour chaque service, surtout si c'est les mêmes ports.


    • Marqué comme réponse Florin Ciuca mardi 1 octobre 2013 11:08
    lundi 30 septembre 2013 12:49
    Modérateur
  • Est-ce que c'est possible pour vous d'attaquer sur un autre port, complètement différent, et rediriger ensuite vers le 443 ?

    Par exemple :

    Règle 1 : port 5000 vers ip locale 1, redirection vers 443

    Règle 2 : port 5001 vers ip locale 2, redirection vers 443


    • Marqué comme réponse Athena0501 mardi 1 octobre 2013 07:48
    mardi 1 octobre 2013 07:32
  • Comme le disait P Barth, en utilisant un reverse proxy ... Je ne vois pas vraiment d'autres solutions pour le moment. Le plus simple pour moi est d'utiliser des ports non-standard, car pas besoin de rajouter un serveur et modifier l'infra, juste quelques règles de NAT. Par contre c'est moins propre, plus pénible pour l'utilisateur de spécifier le port à chaque fois, dans la condition ou l'application le supporte. Donc reverse proxy serait la solution idéale dans ce cas.
    • Marqué comme réponse Florin Ciuca mardi 1 octobre 2013 11:08
    mardi 1 octobre 2013 08:25
  • Pour la box firewall + reverse proxy, je ne sais pas, certainement.

    Je n'utilise pas Forefront donc je ne suis pas vraiment la personne avec qui discuter de ça ;), mais voici un lien que j'ai trouvé ... 

    http://microsoftguru.com.au/2010/08/08/how-to-configure-reverse-proxy-using-forefront-tmg-2010-step-by-step/

    • Marqué comme réponse Florin Ciuca mardi 1 octobre 2013 11:09
    mardi 1 octobre 2013 09:10

Toutes les réponses

  • Je dirais bien en installant un reverse proxy, mais c'est nettement plus simple d'avoir une IP publique  pour chaque service, surtout si c'est les mêmes ports.


    • Marqué comme réponse Florin Ciuca mardi 1 octobre 2013 11:08
    lundi 30 septembre 2013 12:49
    Modérateur
  • Une IP publique pour chaque service augmente sensiblement l'infra et les coûts de la ligne...

    Pas d'autre possibilité ?  Rien qui puisse identifier les URL dès l'entrée (si c'est redirigé) ?

    mardi 1 octobre 2013 05:56
  • Est-ce que c'est possible pour vous d'attaquer sur un autre port, complètement différent, et rediriger ensuite vers le 443 ?

    Par exemple :

    Règle 1 : port 5000 vers ip locale 1, redirection vers 443

    Règle 2 : port 5001 vers ip locale 2, redirection vers 443


    • Marqué comme réponse Athena0501 mardi 1 octobre 2013 07:48
    mardi 1 octobre 2013 07:32
  • Vous voulez dire une translation de port au niveau du firewall ?

    Ce qui donnerait donc des configurations spécifiques côté client :

    • SharePoint : ajouter :5000 à la fin de l'URL (sharepoint.masociete.com:5000)
    • Outlook : ajouter :5001 dans les paramètres RPC over HTTP : webmail.masociete.com:5001 et msstd:webmail.masociete.com:5001 (est-ce que Outlook accepte ça ?)
    • RD Gateway : ajouter :5002 à la fin de l'URL (remote.masociete.com:5002)
    mardi 1 octobre 2013 07:42
  • Oui, c'est bien ce que je proposais. A voir si les applications prendront en compte un port spécifié, par exemple je n'ai jamais utilisé un autre port pour le RPCoHTTPS... Je ne sais pas comment réagit Outlook, pareil pour la gateway rds. A tester :)

    EDIT : A voir aussi si au niveau des clients externes, les ports spécifiés sont ouverts en sortie ..
    • Modifié G Xavier mardi 1 octobre 2013 07:46
    mardi 1 octobre 2013 07:45
  • Oui, c'est à tester, mais c'est une bonne piste de solution.

    Pas de possibilité au niveau du filtrage des URL en entrée (si elle apparaissent à ce niveau) ?

    mardi 1 octobre 2013 07:48
  • Je ne suis pas certain d'avoir compris la question. De quelle possibilité parlez vous, et de quelles URL ?
    mardi 1 octobre 2013 07:54
  • Les 3 URL (sharepoint.masociete.com ; webmail.masociete.com et remote.masociete.com) sont redirigées vers la même IP publique, mais pour 3 services différents utilisant tous les port 443.

    Existe-t-'il un dispositif de filtrage en entrée de la ligne qui peut identifier l'URL utilisée à l'origine, et faire une redirection vers l'IP interne adéquate ?

    mardi 1 octobre 2013 08:17
  • Comme le disait P Barth, en utilisant un reverse proxy ... Je ne vois pas vraiment d'autres solutions pour le moment. Le plus simple pour moi est d'utiliser des ports non-standard, car pas besoin de rajouter un serveur et modifier l'infra, juste quelques règles de NAT. Par contre c'est moins propre, plus pénible pour l'utilisateur de spécifier le port à chaque fois, dans la condition ou l'application le supporte. Donc reverse proxy serait la solution idéale dans ce cas.
    • Marqué comme réponse Florin Ciuca mardi 1 octobre 2013 11:08
    mardi 1 octobre 2013 08:25
  • Je vais regarder ce que coûte et implique ce type de composant.

    Vous avez une idée des modèles et des prix ?

    Et de sa cohabitation avec un firewall (à placer avant ou après ?) ?

    mardi 1 octobre 2013 08:37
  • Pour ma part, je sais que j'aurais utilisé une vieille machine permettant de le faire. Après je ne connais ni vos moyens, ni la disponibilité voulue, ni le nombre de requêtes, etc etc ...

    Du côté de chez Microsoft, vous avez Forefront. De l'autre côté je vous laisserai chercher mais il y en a quelques uns peut-être un peu moins lourds pour votre projet, je pense que Squid le fait, apache certainement aussi.

    mardi 1 octobre 2013 08:51
  • J'ai une licence Forefront TMG Standard disponible.
    Mais je trouve difficilement de la doc concernant la configuration en mode reverse-proxy.

    Existe-t-il des box firewall + reverse-proxy; chez Cisco par exemple ?


    mardi 1 octobre 2013 09:06
  • Pour la box firewall + reverse proxy, je ne sais pas, certainement.

    Je n'utilise pas Forefront donc je ne suis pas vraiment la personne avec qui discuter de ça ;), mais voici un lien que j'ai trouvé ... 

    http://microsoftguru.com.au/2010/08/08/how-to-configure-reverse-proxy-using-forefront-tmg-2010-step-by-step/

    • Marqué comme réponse Florin Ciuca mardi 1 octobre 2013 11:09
    mardi 1 octobre 2013 09:10
  • A noter la fin du support en Avril 2015 de TMG

    http://technet.microsoft.com/en-us/forefront/ee807302.aspx

    Apparamment pas de remplacant si j'ai bien compris ...

    mercredi 2 octobre 2013 12:45
    Modérateur