Bonjour,
Avant tout je suis novice en réseau et avec les forums : pardon d'avance si ce sujet a déjà été traité et/ou qu'il n'est pas au bon endroit.
Contexte
Je dispose d'un NAS DS418 et d'un routeur MR2200ac.
Je souhaiterais (i) accéder à mon NAS à distance via un VPN et (ii) le cacher en configurant mon NAS comme client d'un fournisseur de VPN tiers.
Ces modèles de NAS et Routeur permettent tous les deux d'héberger un serveur VPN et/ou d'être client VPN.
Questions
Selon vous, dans le cas général (pour que cela réponde au plus grand nombre), quelle est la meilleure combinaison ?
C1 : serveur VPN sur le routeur & client VPN sur le routeur
C2 : serveur VPN sur le routeur & client VPN sur le NAS
C1 : serveur VPN sur le NAS & client VPN sur le routeur
C1 : serveur VPN sur le NAS & client VPN sur le NAS
Et pourquoi ?
Remarques
Je n'ai pas les compétences pour répondre seul à cette questions mais j'ai déjà pensé à plusieurs sujets qui pourraient rentrer en compte.
Sujet #1 : accès à toutes les machines du réseau
Probablement plus naturel via un VPN routeur.
Ce qui peut-être vu au choix comme une fonction de plus du réseau ou comme une augmentation de la "surface" et donc un risque plus grand pour la sécurise.
Je crois para ailleurs que cela est également faisable avec l'option "autoriser les client a accéder au serveur LAN" du NAS.
Sujet #2 : être taillé pour un VPN
Je me dis qu'un NAS est probablement mieux taillé (hardware, software) pour faire serveur VPN ?
Peut-être des sujets de débit aussi ?
Sujet #3 : Web VPN
Je crois comprendre que le paquet VPN Plus Server du routeur permet un accès VPN depuis un navigateur et donc sans configuration des clients ?
Je n'ai rien lu de tel sur les paquets NAS. Est-ce également possible ?
Quel est l'impact d'un point de vue sécurité ?
Sujet 4# : option passerelle multiple
Il semblerait que l'option "passerelle multiple" soit indispensable pour que le NAS soit client d'un VPN or elle semble amener des anomalies dans le comportement su serveur VPN sur le NAS pour les clients OpenVPN.
Sujet 5# : compatibilité serveur VPN et client VPN
Sauf erreur de ma part, j'ai cru lire que le fait d'avoir un serveur VPN sur votre machine (NAS ou Routeur) pouvait nous imposer de devoir être client VPN (si le client est cette même machine) en utilisant un protocole différent du serveur VPN. Exemple OpenVPN pour le serveur impose l'utilisation du L2TP/IPSec en tant que client et vis-versa.
Est-ce correct ?
Si oui, il a probablement un intérêt à avoir une première machine en tant que serveur VPN et la seconde en tant que client afin de laisser plus de flexibilité sur le serveur VPN en proposant à ses clients OpenVPN et L2TP/IPSec ?
Sujet 6# : autres appareils du réseau
Dans le cas où l'on souhaiterait cacher d'autres appareils de son réseau (box domotiques, caméra IP, etc.) un accès VPN sur le routeur pourrait peut-être permettre d'accéder à ces appareils même en cas de bannissement internet (de ces appareils par le routeur) : l'option serveur VPN sur le routeur semblerait alors intéressante.
Alternativement, on pourrait conserver un accès à internet à ces appareils (pour les MAJ notamment) mais en les cachant via une configuration en client VPN du routeur.
Enfin forcer certains appareils à être derrière un VPN en tant que client (via le routeur) pourrait être contrariant ou à contrario avantageux (TV géolocalisée dans un autre pays et obligeant/permettant une utilisation d'un service de VOD d'un autre pays).
Un routeur en client VPN pourrait également permettre de faire bénéficier tous les appareils du réseau d'un antipub.
Sujet 7# : tous ce à quoi je ne pense pas mais vous si !
In fine je pense que la réponse sera à géométrie variable en fonction des besoins et contraintes de chacun mais cela ne dispense pas de nourrir préalablement cette réflexion d'arguments factuels sur chaque sujet, d'autant plus qu'il y probablement beaucoup de sujet non anticipés dans ce post.
A vos claviers et merci d'avance à tous ceux qui pourrons apporter des arguments en faveur d'une configuration ou d'une autre et ainsi nous permettre de faire un choix "éclairé" !
Avant tout je suis novice en réseau et avec les forums : pardon d'avance si ce sujet a déjà été traité et/ou qu'il n'est pas au bon endroit.
Contexte
Je dispose d'un NAS DS418 et d'un routeur MR2200ac.
Je souhaiterais (i) accéder à mon NAS à distance via un VPN et (ii) le cacher en configurant mon NAS comme client d'un fournisseur de VPN tiers.
Ces modèles de NAS et Routeur permettent tous les deux d'héberger un serveur VPN et/ou d'être client VPN.
Questions
Selon vous, dans le cas général (pour que cela réponde au plus grand nombre), quelle est la meilleure combinaison ?
C1 : serveur VPN sur le routeur & client VPN sur le routeur
C2 : serveur VPN sur le routeur & client VPN sur le NAS
C1 : serveur VPN sur le NAS & client VPN sur le routeur
C1 : serveur VPN sur le NAS & client VPN sur le NAS
Et pourquoi ?
Remarques
Je n'ai pas les compétences pour répondre seul à cette questions mais j'ai déjà pensé à plusieurs sujets qui pourraient rentrer en compte.
Sujet #1 : accès à toutes les machines du réseau
Probablement plus naturel via un VPN routeur.
Ce qui peut-être vu au choix comme une fonction de plus du réseau ou comme une augmentation de la "surface" et donc un risque plus grand pour la sécurise.
Je crois para ailleurs que cela est également faisable avec l'option "autoriser les client a accéder au serveur LAN" du NAS.
Sujet #2 : être taillé pour un VPN
Je me dis qu'un NAS est probablement mieux taillé (hardware, software) pour faire serveur VPN ?
Peut-être des sujets de débit aussi ?
Sujet #3 : Web VPN
Je crois comprendre que le paquet VPN Plus Server du routeur permet un accès VPN depuis un navigateur et donc sans configuration des clients ?
Je n'ai rien lu de tel sur les paquets NAS. Est-ce également possible ?
Quel est l'impact d'un point de vue sécurité ?
Sujet 4# : option passerelle multiple
Il semblerait que l'option "passerelle multiple" soit indispensable pour que le NAS soit client d'un VPN or elle semble amener des anomalies dans le comportement su serveur VPN sur le NAS pour les clients OpenVPN.
Sujet 5# : compatibilité serveur VPN et client VPN
Sauf erreur de ma part, j'ai cru lire que le fait d'avoir un serveur VPN sur votre machine (NAS ou Routeur) pouvait nous imposer de devoir être client VPN (si le client est cette même machine) en utilisant un protocole différent du serveur VPN. Exemple OpenVPN pour le serveur impose l'utilisation du L2TP/IPSec en tant que client et vis-versa.
Est-ce correct ?
Si oui, il a probablement un intérêt à avoir une première machine en tant que serveur VPN et la seconde en tant que client afin de laisser plus de flexibilité sur le serveur VPN en proposant à ses clients OpenVPN et L2TP/IPSec ?
Sujet 6# : autres appareils du réseau
Dans le cas où l'on souhaiterait cacher d'autres appareils de son réseau (box domotiques, caméra IP, etc.) un accès VPN sur le routeur pourrait peut-être permettre d'accéder à ces appareils même en cas de bannissement internet (de ces appareils par le routeur) : l'option serveur VPN sur le routeur semblerait alors intéressante.
Alternativement, on pourrait conserver un accès à internet à ces appareils (pour les MAJ notamment) mais en les cachant via une configuration en client VPN du routeur.
Enfin forcer certains appareils à être derrière un VPN en tant que client (via le routeur) pourrait être contrariant ou à contrario avantageux (TV géolocalisée dans un autre pays et obligeant/permettant une utilisation d'un service de VOD d'un autre pays).
Un routeur en client VPN pourrait également permettre de faire bénéficier tous les appareils du réseau d'un antipub.
Sujet 7# : tous ce à quoi je ne pense pas mais vous si !
In fine je pense que la réponse sera à géométrie variable en fonction des besoins et contraintes de chacun mais cela ne dispense pas de nourrir préalablement cette réflexion d'arguments factuels sur chaque sujet, d'autant plus qu'il y probablement beaucoup de sujet non anticipés dans ce post.
A vos claviers et merci d'avance à tous ceux qui pourrons apporter des arguments en faveur d'une configuration ou d'une autre et ainsi nous permettre de faire un choix "éclairé" !