Question réseau, ouverture de port

-Mike-

Premium
J'ai une question pour les pros IT de MR


On a un systeme audio chez un client

La base du systeme est une console/matrice X32 Rack avec un extention S16.

La console est linké au réseau pour acceder a l'application pour controler les volumes et nous avons un PC sur place sur le meme Vlan que la console pour faire du troubleshoot a distance.



Donc sur le Vlan 192.168.2 on a la X32 et un PC


Les cellulaires et les PCs des employés sont sur le Vlan 192.168.10


La console et le PC sont sur un Vlan séparé pour nous donner acces a distance tout en protegeant les appareils du client.


DOnc pour acceder a la console il ont ouvert son port UDP (10023)




Le probleme est que pour acceder a la console ils doivent utiliser le logiciel X32 Edit et le port UDP du fichier executable installé sur chaque appareil shift a chaque ouverture. Donc ca marche pas car a date l'app nous sort tout le temps un esti de port random et ils peuvent pas ouvrir toute les ports possible non plus.

Avez vous un idée?
 
es-ce qu'ils utilisent toujours le meme systeme pour se connecter a la console? Es-ce que ca serais envisageable de faire une regle pour permettre a ce systeme de voir l'autre subnet?
Sinon en fesant une recherche google ils suggerent logmein ou un autre truc de remote desktop pour se connecter au PC de management, si tu dois en maintenir le controle tu pourrais cree un compte sur ce PC et installer logmein/remote desktop, teamviewer etc...et ils auraient acces comme ca.
 
En faite le PC de service n'est accessible que par nous.

Par mesure de sécurité le PC de service ne doit pas avoir acces a leur VLAN qui alimente les ordinateurs sur place.

Pour eux se brancher dessus est pas possible.
 
En faite le PC de service n'est accessible que par nous.

Par mesure de sécurité le PC de service ne doit pas avoir acces a leur VLAN qui alimente les ordinateurs sur place.

Pour eux se brancher dessus est pas possible.

oui ca c'est correct, mais si eux se connectaient au PC de service a une session "guest" en utilisant une solution style "remote desktop"

car ton histoire de ports avant c'etait la meme chose, il doit avoir un lien entre les 2 reseaux a quelquepart pour permettre la gestion. Que tu utilise le logiciel qui prend des ports alleatoire que tu ne peux pas controller ou que tu crees un compte restreint avec le logiciel requis sur la machine directement branche je ne vois pas la difference.
 
T'as pas besoin de tout le pataclin de port ouvert ou pas. Ajoute le routing necessaire sur ton firewall que si un appareil du VLAN .10 veut se rendre a l'adresse specifique du serveur sur ton VLAN .2 ben le route passe.
 
^^^ Tu met la regle pour autorisé le VLAN .10 vers .2 ou tu dois donner la regle a chaque IP fixe de chaque pc?

As tu un nom pour cette fonction ou les termes techniques?

Je vais demander au IT si c'est possible.
 
^^^ Tu met la regle pour autorisé le VLAN .10 vers .2 ou tu dois donner la regle a chaque IP fixe de chaque pc?

As tu un nom pour cette fonction ou les termes techniques?

Je vais demander au IT si c'est possible.

ROUTE ADD c'est en vieux DOS - traite ça comme un VPN que ça prend un route add pour avoir accès a ton LAN a partir de remote.

MAIS - tu devrais pouvoir ajouter une règle a ton firewall pour que si la requête provient d'un autre VLAN ben ça passe.
 
je seconde,

Ouvrir des ports stun firewall c'est entre l'interne et l'externe habituellement.

Arrange toi que les vlan se parlent. pis block certain host si tu veux au pire. Ou créé des route vers nul part. Genre 192.168.10.X via 192.168.2.1 pis ensuite 192.168.10.3 via 1.1.1.1 donc le.3 va s'en aller dans le mur, le reste va passer
 
je seconde,

Ouvrir des ports stun firewall c'est entre l'interne et l'externe habituellement.

...

Ben oui pis non. Un firewall comme PFSense par exemple tu crees des VLAN ils sont isolés mais il peut te créer des règles pour qu'ils se parlent entre eux, tu peux même rendre la règle unidirectionnelle. Un bon exemple c'est si tu as un raspberry pi sur un VLAN public - par exemple un guest Wi-Fi pour les visiteurs et tu veux controler le RBP a partir de ton PC en SSH (mettons avec Putty) pis le VLAN est sur 10.10.10.x pis ton LAN est 172.21.100.x ben tu mets une regle qui passe du 172.21.100.x vers le 10.10.10.x mais pas vice versa.

Comme ca tu peux manager ton RBP sans que les visiteurs puissent gosser tes serveurs ou PC.

La meme chose s'applique si tu avais un VLAN avec des telephones IP dessus et tu veux que les PC des usagers puissent aller prendre leurs messages vocaux direct sur le PBX - mais tu veux pas que le PBX lui puisse voir tes PC. Tu fais une regle pour que le VLAN ne marche que d'un seul sens.

Je sais pas si je me suis bien explique.
 
Back
Top