Bonjour à tous,

Je suis désespérément à la recherche de conseils car j'ai l'impression qu'il y a une lacune dans le rôle RRAS de Microsoft, du moins dans sa documentation.

Le contexte : Pour ma boite je cherche à mettre en place du AlwaysOn VPN pour les PC portables du domaine AD, en IKEv2 (compatibilité) et SSTP (en cas de restriction sur le réseau internet du PC).

Mon réseau d'entreprise est segmenté actuellement en 3 réseaux : WAN, LAN (les PC et machines) et DMZ Serveur. Le routage interne et le filtrage sont assurés par pfsense.

Mon objectif : Lorsqu'un client se connecte au VPN, il atterrisse dans le LAN de la boite pour bénéficier des mêmes règles et mêmes sécurités qu'en local.

La contrainte Microsoft : J'ai trouvé les configurations des rôles RRAS avec 1 ou 2 interfaces mais pas 3. Même si je créée un réseau dédié sur mon pfsense (DMZ publique par exemple) pour y mettre l'interface "WAN" de mon serveur RRAS, le management du serveur et la sortie des clients se fait par la même interface réseau. Dans ce cas soit mes clients VPN sortent dans le même réseau que les serveurs (et c'est hors de question), soit mon serveur est administrable dans le LAN et non avec ses homonymes (DMZ serveur).

Ma question : A votre connaissance, serait-il possible que ce serveur ait (en plus du WAN) un adaptateur en LAN, et un adaptateur en DMZ serveur, un dans le LAN par lequel tous les flux seraient "invisibles" par le serveur (à la façon d'un SET hyper-V sans adressage IP) et qui servirait uniquement de "bout du tunnel" pour les clients VPN, et l'autre pour l'administration du serveur lui-même, mais par lequel aucun client VPN ne pourrait sortir ?

De base je comptais configurer ikev2 sur pfsense, qui me permet de faire sortir les clients directement sur le LAN, mais pour SSTP j'aurais dû le remplacer par OpenVPN, installer des clients sur tous les terminaux concernés... Je préférerais éviter.

J'espère que ma demande est claire et vous remercie par avance pour vos lumières. Je pense commencer à expérimenter des choses en lab virtuel mais tout aiguillage pourrait m'économiser un temps précieux !

Bonne journée à tous,
Benjamin