Discussion :

[PhiMau]

Bonsoir à tous,

Je tente de configurer correctement mon serveur dédié chez OVH et je rencontre quelques difficultés.

Mon problème est assez simple, je possède le dédié chez OVH auquel je peux me connecter sans problème en RDP.
Sur ce dédié j'ai créé une machine virtuelle avec Hyper-V, et j'aimerai pouvoir accéder à celle-ci en bureau distant.

J'ai donc modifié le port RDP par défaut sur ma VM dans le registre (exemple : 3389 => 68999), et j'ai ouvert ce port dans le pare-feu Windows.
J'ai également ouvert ce port sur le dédié.

Bref la connexion fonctionne correctement en LAN (depuis le dédié, je me connecte en bureau distant à ma VM via ce nouveau port), mais impossible d'accéder à ma VM en remote...

Je m'en remets à vous si quelqu'un à déjà rencontré ce problème, un coup de pouce serait le bienvenu

Cordialement,
PhiMau

[A&Nexus]

Hello,
A première vue ça ne sert à rien.
Passe par l’hyperV (comme pour un rebond) pour joindre ensuite tes serveurs.
T’en qu’à faire autant ouvrir un RDP sur chaque serveur publié sur Internet 🤪
J’espères que tu filtres tes IP Publiques sinon c’est inconscient.

[Christophe]

En dehors de l'aspect sécurité évoqué à juste titre par ABNexus, tes VM doivent être en mode pont au niveau réseau. Et là tu vas te trouver confronté à un autre problème, tu ne dois avoir qu'une IP publique, celle de hyperviseur, le plus simple étant d'en avoir une pour la VM que tu veux exposer. Et vu le risque de sécurité, il vaudrait mieux passer par un VPN, vois avec OVH, ils proposent peut-être des solutions toutes faites.

[PhiMau]

Déjà merci pour vos réponses.

J’espères que tu filtres tes IP Publiques sinon c’est inconscient.

Désolé si ma question est bête, mais veux tu dire par là que je dois configurer une 'whitelist' pour n'autoriser que certaines IP à se connecter à ma VM ?
Tu dis que ça ne sert à rien, mais j'aurai tendance à dire que si, car j'ai absolument besoin que mes utilisateurs puissent se connecter à ma VM en bureau distant...

Après tu me suggères de passer par Hyper-V pour gérer ce cas de figure mais j'avoue que ça me dépasse car pour moi ce n'est pas Hyper-V qui me permet d'exposer ma VM sur internet.

@chrtophe : je peux effectivement attribuer une autre IP publique à ma VM, mais je voulais simplement utiliser l'IP de l'hyperviseur avec un port spécifique pour pouvoir me connecter à la VM.
L'idée était de toute façon par la suite de mettre une solution MFA lors de la connexion pour limiter les risques.

[A&Nexus]

Oui c’est ça il faut indiquer les IPs publiques autorisées à se connecter.
Si des utilisateurs se connectent sur le serveur j’imagines donc qu’il aura le rôle RDS.
Tu peux faire atterrir le port 3389 directement sur le serveur RDS pour plus de simplicité.

P.S : Si tu as du RDS il y a un rôle qui sera installé le rôle : «*Broker*».
Il te permet de spécifier le serveur broker dans les options du client RDP et de cette façon tu passes en port HTTPS/443.
Si tu veux faire un essai ça vaut le coup car tu augmente énormément ta sécurité.

Le MFA est bien. Tu as des trucs pas très chère et très souple comme Yubico/Yubikey par exemple.
Ça va éviter que quelqu’un rentre sur ton serveur avec le mot de passe d’une personne.
Juste un petit rappel car avoir du MFA ne protège pas de tout.
Par contre s’il exploite les failles RDP (et il y en a pleins même avec Windows 2016) pas besoin de mot de passe donc le MFA ne rentre pas en compte à ce niveau.

D’où l’utilité déjà de passer par (dans les grandes lignes) :
- Du HTTPS par le Broker pour du RDS
- Un VPN (le plus secure) ça peut être un pfsense sur ton Hyper-V ou un service OVH.
- Un bon antivirus pas gratuit (si possible avec du Virtual Patching)
- Brider les IPs publiques aux seuls IPs nécessaires (au pire n’autoriser que des GeoIP, la France par exemple).
- Du MFA
- Un Backup


En ce moment ça n’arrête pas les TPE qui se sont fait cassé leurs serveurs/réseau et souvent sans backup.
Et le pire c’est que pour eux ils sont une petite boîte donc ils n’intéressent pas les pirates ... (smiley mes oreilles saignent) ...

[PhiMau]

Bonjour,

Donc j'ai pu enfin configurer cet accès distant sur une de mes VM, il manquait juste un élément : la création d'une règle NAT sur le switch virtuel (utilisé par l'ensemble des VM).

Au cas où ça servirait à quelqu'un qui passe par ici, voici la commande PowerShell :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Add-NetNatStaticMapping -ExternalIPAddress "0.0.0.0/24" -ExternalPort [port RDP de la VM] -Protocol TCP -InternalIPAddress "[IP LAN de la VM]" -InternalPort [port RDP de la VM] -NatName [NOM DU COMMUTATEUR VIRTUEL]

Avec une seule adresse IP publique (celle du dédié), je peux accéder à telle ou telle machine en RDP selon le port utilisé et pas besoin d'IP failover ce qui est pratique.

Mais je vais quand même me pencher sur tes conseils @A&Nexus.
OVH propose effectivement une solution VPN donc je vais voir ce qu'il en est... Ou alors si j'ai bien compris ta deuxième option, je souscris un VPN ailleurs et j'installe un Pfsense pour l'exploiter.

Et bien entendu la mise en place d'un backup va suivre.

En tout cas merci pour ces conseils
Bonne journée