Portail / Portable Dell PC-LIBRE-SERVICE utilisé en mode secours(Sommaire)

Connexion à distance depuis le portable Dell PC-LIBRE-SERVICE utilisé en mode secours.

Mise à jour du 01/01/2022.

Utilisé en mode secours le portable Dell permet un accès à distance à l'un des PC du secrétariat. Nous n'envisagerons ici que la connexion au PC du secrétariat nommé PC-ACCUEIL. Notez que ceci est en tout point comparable à la connexion au VPN du pare-feu SonicWall de l'ancienne installation à ceci près que là ça fonctionne et que c'est stable.

Mode d'emploi.

PC sous Linux.

Nous avons simplifié au maximum la procédure de connexion. Une icône nommée PC-ACCUEIL est disponible sur le bureau, la barre de tâches ou dans les favoris du menu "Démarrer".

Il suffit de cliquer (ou double-cliquer sur l'icône sur le bureau) pour assurer la connexion avec le compte de la secrétaire au PC nommé PC-ACCUEIL. Au bout de quelques secondes, le bureau Windows 7 s'affiche sur l'écran de la station Linux.

PC sous Windows.

Cette procédure est à utiliser depuis le PC de la direction (PC-DIRECTION).

Windows est un système conçu initialement pour le mode graphique. L'utilisation de scripts, si elle est possible, n'a pas été retenue à ce jour par Wireguard. De ce fait, l'équivalent d'une connexion de type bureau à distance via un tunnel chiffré s'effectue en 2 étapes :

1. Montage du tunnel chiffré Wireguard. Pour cela, Wireguard livre une application graphique. Lorsqu'il n'y a aucune configuration créée (une par tunnel), la fenêtre affiche un bouton d'importation du fichier de configuration. Il suffit de sélectionner alors le fichier de configuration Wireguard téléchargé depuis la Freebox (cf. 2ème étape du chapitre La connexion à distance sous le capot Linux). S'il existe déjà des configurations, il est possible d'en rajouter via le choix Importer le(s) tunnel(s) à partir du fichier en bas et à gauche de la fenêtre :

   

   Ceci fait, l'activation du tunnel chiffré entre le PC distant et la Freebox se fait en cliquant sur le bouton Activer. Vous pouvez vérifier l'existence du tunnel au moyen de la commande ping lancée depuis un interpréteur de commandes vers l'adresse IP de la machine à joindre.

2. Vous pouvez maintenant ouvrir l'application Bureau à distance et lui transmettre l'adresse IP, sur le réseau local de La Charmille, dans le champ de saisie Ordinateur.

   

   Notez qu'il est possible d'enregistrer les différents paramètres de connexion y compris ceux du compte utilisateur du bureau distant comme indiqué ci-dessous. Il est alors possible de faire un raccourci sur le bureau du fichier sauvegardé de façon à automatiser le lancement du bureau à distance sans aucune saisie.

   

Sous Windows, il est également possible de lancer le bureau à distance sans passer par le tunnel chiffré. L'adresse à transmettre dans le champ "ordinateur" est parce.mue35.fr:49152 (uniquement pour le PC-ACCUEIL) et non plus l'adresse locale de la machine. Nous déconseillons néanmoins fortement cette approche en raison de la circulation en clair des informations sur l'Internet.

La connexion à distance sous le capot Linux.

Comme souvent, une action simple cache de nombreuses opérations que le sont moins. Pour réaliser cette connexion à distance il faut effectuer un certain nombre d'étapes :

• Paramétrage d'un tunnel Wireguard dans la console d'administration de la Freebox (Paramètres de la Freebox/Utilisateurs/Ajouter un utilisateur).
• Récupération de ce fichier de configuration sur un media quelconque (Paramètres de la Freebox/Wireguard/Télécharger la configuration [icône disquette]).
• Recopie du fichier sur le portable Linux sous /etc/wg/wgX.conf (X est un nombre entier qui fixe le numéro du canal VPN).
• Création de deux scripts bash. Le premier sur le modèle du script /home/secretaire/bash/scripts/pc-accueil-secur.sh permet, s'il n'existe pas, l'ouverture du tunnel chiffré et le lancement de l'application bureau à distance xfreerdp. Le second sur le modèle du script /home/secretaire/bash/scripts/wg-rdp.sh permet d'invoquer le script précédent dans un environnement compatible avec l'appel depuis le mode graphique.

Techniquement le montage du tunnel sous Linux repose sur la commande wg-quick et le fichier de configuration fourni par la Freebox.

Autres scripts Linux.

Si l'ouverture du tunnel n'est pas possible, il existe un script qui permet la connexion à distance sans passer par un tunnel chiffré. Ce script est /home/secretaire/bash/scripts/pc-accueil-nosecur.sh. Ici, c'est toujours la Freebox qui est à l'oeuvre via un pare-feu NAT (le couple (adresse IP, port) invoqué n'est pas le même que le coupe réel). Son emploi est fortement déconseillé notamment si vous travaillez sur des données comptables ou personnelles car ces informations circulent en clair sur Internet.

Le script /home/secretaire/bash/scripts/wg1-down.sh permet, quant à lui, de mettre au tunnel chiffré.

Conclusion.

Une fois les tunnels testés par le personnel habilité à les utiliser, les possibilités de connexion hors tunnel chiffré seront supprimées pour Linux comme pour Windows. Il sera toujours possible de les rétablir à la demande (simple action d'administration sur la console de la Freebox). L'emploi de TeamViewer est prohibé sauf à la demande express de l'administrateur technique. En effet, pour contourner les dispositifs de sécurité comme les pare-feux, les connexions entre le "client" et la "machine distante" se font sur un serveur TeamViewer intermédiaire. Les données transitent donc par un tiers pas forcément de confiance. De plus l'usage de la version gratuite de TeamViewer à des fins professionnelles est interdite (relire accord de licence).