Je suis d'accord avec pjz - on dirait que vous cherchez un VPN.
OpenVPN est une excellente méthode, sans frais, pour commencer à utiliser les VPN. Il est stable et prêt à être utilisé en production, mais même si vous ne l'utilisez pas, c'est un bon outil pour se familiariser avec les VPN. Il est très facile à configurer avec des clés statiques (pour jouer), et à peine plus difficile à configurer avec des certificats (pour une utilisation en production).
Vous parlez de "trafic Internet" dans votre question, mais il n'est pas clair si cela signifie seulement la navigation sur des sites Web, ou littéralement tout le trafic IP vers Internet. Vous pouvez transmettre une route de "passerelle par défaut" au client avec OpenVPN de sorte que son trafic vers Internet passe par le "tuyau" OpenVPN jusqu'au serveur, qui peut alors le mettre sur Internet.
Si vous souhaitez uniquement que le HTTP/HTTPS soit acheminé par l'OpenVPN (c'est-à-dire que s'ils font du PING, utilisent Skype, etc., ce trafic peut aller directement sur Internet), vous pourriez envisager de déployer quelque chose comme Squid Cache, également, puis de configurer les navigateurs des clients pour qu'ils utilisent ce serveur proxy de sorte que le trafic vers le proxy soit acheminé uniquement par le "tuyau" OpenVPN (c'est-à-dire placer le proxy sur une adresse IP accessible par le VPN, mais laisser la passerelle par défaut du client seule). (Vous pourriez même faire un 'push "dhcp-option 252 ...' pour envoyer une URL d'autoconfiguration du proxy aux clients via OpenVPN, je crois).
Vous avez quelques options, selon ce que vous voulez faire.
re : votre commentaire à pjz sur l'accès au site Intranet
Vous allez devoir "payer la note" d'une manière ou d'une autre.
Si vous acheminez tout le trafic Internet vers le VPN via un changement de passerelle par défaut, tout le trafic vers les serveurs Web sur le sous-réseau avec eux sera toujours "direct". Si le serveur web de l'Intranet était sur un sous-réseau différent, le trafic vers ce sous-réseau passerait par le tuyau OpenVPN plutôt que par le routeur sur site. Ce serait mauvais.
Si vous faites ma suggestion ci-dessus de pousser vers le bas un proxy-autoconfiguration script aux clients via OpenVPN (ou un autre moyen), vous pourriez mettre des "exceptions" dans ce fichier pour amener les clients à "aller direct". Je fais généralement cela dans les fichiers de proxy-autoconfiguration avec :
if ( isPlainHostName(host) ) { return "DIRECT"; }
Cela permet d'accéder directement aux noms d'hôtes qui ne comportent pas de points.
Si vous connaissez un hôte particulier (ou un modèle de correspondance joker) auquel il faut accéder directement :
if ( shExpMatch(url,"http://*.customer.com")) { return "DIRECT"; }
if ( shExpMatch(url,"http://known-intranet-server.customer.com")) { return "DIRECT"; }
Si vous savez où vos utilisateurs vont travailler, vous pouvez mettre des exceptions dans le fichier proxy-autoconfiguraiion avant le fait. Si ce n'est pas le cas, vous allez devoir gérer ces problèmes de manière réactive. Si vous ne savez pas à l'avance, vous demandez une solution qui peut "faire la bonne chose" automatiquement. Malheureusement, les ordinateurs ne sont pas très performants à cet égard. >smile<
Je prendrais le temps supplémentaire avec tout ce que vous déployez pour utiliser les fichiers de proxy-autoconfiguration. Cela vous donne une méthode centralisée (qui peut être mise à jour "à la volée" sans toucher aux ordinateurs clients) pour contrôler le détournement du trafic HTTP vers un serveur proxy ou le laisser aller directement sur Internet. Ils sont incroyablement pratiques pour ce type d'application.
