Supervision externe

[Ekroz]

Bonjour à toutes et à tous,

Je suis actuellement en stage et voici la problématique : une supervision est effectuée actuellement en interne, c'est-à-dire par le LAN. Seulement, il faudrait pouvoir vérifier si certains services accessibles depuis l'extérieur de l'entreprise le sont. Mais voilà, lorsque je fais un tracert sur l'IP WAN, les paquets passent par le routeur (192.169.1.254) et sont directement redirigés vers lui-même avec l'IP WAN en apparence, mais au final le trafic reste dans le LAN.

Mes idées sur le tas :

- Configurer le Firewall pour qu'il redirige le trafic venant d'une IP interne précise sur le WAN.

- Utiliser un proxy/VPN, seul problème : le fournisseur du proxy/VPN peut tout voir à la sortie et un proxy ne permet pas toujours de se connecter à tous les services.

- J'avais pensé aux PC portables nomades mais ils se connectent au VPN de l'entreprise, donc le trafic passera en interne.

Pour moi la solution la plus simple c'est au lieu de faire :

(PC) 192.168.1.111 -> (routeur) 192.168.1.254 -> (IP WAN) w.x.y.z

Faire :

(PC) 192.168.1.111 -> (routeur) 192.168.1.254 -> (PC) w.x.y.z -> (IP WAN) w.x.y.z

Any other idea ?

[gruik]

Mes idées sur le tas :
- Configurer le WatchGuard

c'est quoi un watchguard ?

- Utiliser un proxy/VPN, seul problème : le fournisseur du proxy/VPN peut tout voir à la sortie et un proxy ne permet pas toujours de se connecter à tous les services.

ouai bon faut pas charier non plus, si c'est pour tester la disponibilité de tes sites vus de l'extérieur tout ce qui transite c'est du GET / en gros, c'est pas avec ça que le vilain fournisseur va faire ses choux gras (et c'est supposer que le fournisseur de vpn en a quelque chose a faire)
l'idée peut être valable, faut bien choisir son proxy/vpn, pas un truc gratuit à la gomme quoi

l'autre solution ben c'est tout simplement de prendre un autre accès indépendant pour monitorer, une ligne adsl qui sert qu'à ça par exemple, selon l'entreprise et la criticité de ce monitoring c'est peut-être même la meilleure option dans la mesure où ta sonde est complètement isolée et ne risque pas de remonter que les sites sont pas visibles par l'internaute si c'est "seulement" le routage intranet -> internet qui est dans les choux par exemple (tandis que la dmz fonctionne sous-entendu, donc un faux positif)

Pour moi la solution la plus simple c'est au lieu de faire :
(PC) 192.168.69.111 -> (WatchGuard) 192.168.69.9 -> (IP WAN) w.x.y.z
Faire :
(PC) 192.168.69.111 -> (WatchGuard) 192.168.69.9 -> (PC) w.x.y.z -> (IP WAN) w.x.y.z

j'ai rien compris

[Junky]

Quel genre de services?

Si c'est pour des sites, plutôt que de check l'ip privée, bah tu check l'URL publique par exemple. Moi je fais ca avec mon Nagios. Après donne une liste des services que tu désirs checker. Mais je pense que tu va chercher BCP trop loin pour le coup

Junky,

[Ekroz]

Les services seront principalement du IMAP, RDP, et VPN.
Et le problème c'est que justement depuis le réseau interne, le chemin pour accéder à l'IP publique passe uniquement par le LAN, car c'est le routeur qui en est détenteur.

[0pc0deFR]

C'est tout à fait normal que tu ne sortes pas de ton réseau pour aller taper un service en interne.
Pour moi, l'idée d'une connexion dédiée pour la sonde est pas mal du tout. Après, il faut voir quel est le budget pour cette supervision car une tâche cron sur un serveur hébergé à l’extérieur peut aussi faire l'affaire mais ça apporte d'autres problématiques (ou alors un VPN).

[Ekroz]

Bon au final la solution retenue a été d'utiliser PHP Server Monitor sur un site web externe.
C'est simple et ça marche du tonnerre.