Lors de la connexion de succursales au siège principal, toutes les entreprises n’ont pas besoin de toutes les fonctionnalités d’un client VPN. Les VPN site à site constituent ici une bonne alternative et sont au moins aussi sûrs. Vous apprendrez ici comment fonctionnent les VPN site à site et en quoi ils se distinguent des VPN standard.
Table des matières
Qu’est-ce qu’un VPN site à site et en quoi se distingue-t-il d’un VPN « normal » ?
Un VPN site à site permet aux bureaux situés à différents endroits (fixes) d’établir des connexions sécurisées via un réseau public. Pour ce faire, les réseaux complets sont reliés entre eux par un tunnel OpenVPN. Le point final du tunnel peut être par exemple un routeur, une passerelle, un serveur Windows ou encore un client logiciel. Le VPN site-2-site représente donc une sorte d’extension du réseau de l’entreprise, qui permet aux collaborateurs des différents sites d’accéder aux ressources d’un ou de plusieurs autres sites.
En principe, on distingue deux types de VPN site à site :
- Dans le cas d’un VPN site à site basé sur l’intranet, l’entreprise dispose d’un ou de plusieurs sites distants (avec des LAN séparés) qui sont reliés par un seul réseau privé (WAN).
- Dans un VPN site-2-site basé sur l’extranet, en revanche, les réseaux locaux de différentes entreprises sont reliés entre eux. De cette manière, celles-ci peuvent interagir dans un environnement réseau sécurisé et partagé, tout en empêchant l’accès à leur propre intranet.
Les hôtes au sein du VPN de site à site n’utilisent pas de logiciel client, mais envoient et reçoivent du trafic TCP/IP ordinaire via une passerelle VPN. Celle-ci s’occupe également de l’encapsulation et du cryptage du trafic de données vers l’extérieur.
Explication : dans les technologies de l’information, l' »encapsulation » désigne la stratification des paquets.
Le trafic est ensuite envoyé via le tunnel VPN à travers le réseau vers une passerelle cible correspondante qui décrypte les en-têtes et transmet le contenu du paquet à l’hôte cible au sein du réseau privé. Toutes les informations transmises doivent alors être authentifiées (soit par une signature numérique, soit par un certificat numérique).
2) Configurer le VPN S2S : Aucune configuration supplémentaire n’est nécessaire
Les VPN site à site sont évolutifs, ce qui signifie que les connexions sont acheminées de manière invisible et sans configuration supplémentaire via le réseau central. Il est donc très facile d’ajouter une nouvelle succursale ou un nouveau bureau à un réseau existant. Il suffit pour cela d’autoriser les ports utilisés par la connexion (des deux côtés) dans les règles de pare-feu pour l’interface WAN.
Le protocole de tunneling le plus souvent utilisé pour les VPN site à site est IPSec ESP (Encapsulating Security Payload). Il s’agit d’une version « améliorée » du protocole IP, que l’on trouve également sur Internet et dans la plupart des réseaux d’entreprise modernes. Il est également possible d’utiliser MPLS (Multi-Protocol Label Switching), qui n’offre toutefois pas de cryptage.
Pour l’accès à distance, on utilise soit PPTP (Point to Point Tunneling Protocol), soit L2TP (Layer 2 Tunneling Protocol) via IPsec, qui est aussi nettement plus sûr que PPTP. Mais ces dernières années, des solutions alternatives basées sur SSL se sont de plus en plus établies. Celles-ci utilisent le navigateur web comme client VPN, mais nécessitent généralement des composants supplémentaires (p. ex. applets Java).
Vous trouverez de plus amples informations sur la redirection DNS au sein des VPN site à site ici.
Bon à savoir : vous pouvez également acheter des VPN site à site en tant que service et les faire gérer par des spécialistes externes. Cette variante est surtout intéressante pour les petites et moyennes entreprises qui ne peuvent/veulent mettre à disposition que des moyens limités en termes de coûts de personnel et de produits ou qui ne veulent tout simplement pas s’occuper de l’administration d’un VPN en général.
Certains types de VPN sont également présentés dans la vidéo suivante :