Je compte installer pour un client une passerelle OBSD faisant du NAT et
servant de firewall. Jusque là aucun problème, c'est une configuration
courante. Cependant, le client voudrait aussi mettre en place un VPN qui
servirait à synchroniser les serveurs de deux agences (synchronisation
effectuée le soir).
J'ai donc quelques petites questions à vous poser:
1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW
et VPN ?
2) quels sont les points auxquels il faut faire attention ?
3) connaissez vous une doc complète décrivant l'installation de ce genre de
configuration ? Il existe une foultitude de docs décrivant une passerelle
NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la
doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien
montrant l'intégration du VPN à la passerelle.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur
le VPN ne sera que ponctuel et faible ?
Merci d'avance de vos réponses.
PS: il y a une dernière question que j'ai envie de poser même si je connais
la réponse:
la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une
solution hard (CISCO, 3Com, Nokia ...) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent Cheylus
Bonsoir,
On Fri, 14 Nov 2003 14:09:43 +0100, Shrom wrote:
J'ai donc quelques petites questions à vous poser: 1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Tout dépend des machines (en terme de ressources matérielles) que tu veux utiliser pour faire les gateways et les besoins : nombre de postes sur le LAN, débit de l'Accès Internet, nombre de règles de FW, volume de données échangées via le VPN
2) quels sont les points auxquels il faut faire attention ?
Créer une conf correcte pour le VPN : VPN LAN-to-LAN entre les 2 garteways avec les 2 réseaux distants souhaitant synchroniser leurs données comme entités terminales du VPN.
Penser aussi aux règles PF pour autoriser les traffic dans les VPN.
3) connaissez vous une doc complète décrivant l'installation de ce genre de configuration ? Il existe une foultitude de docs décrivant une passerelle NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
Effectivement la section 13 de la FAQ OpenBSD (celle sur IPsec) n'est plus en ligne mais man isakmpd, isakmpd.conf et ipsec donne bien assez d'infos pour monter la conf. souhaitée.
Intégrer le VPN à la passerelle NAT/FW ne pose pas de problème spécifique à partir du moment où on pense à ajouter les règles PF pour le VPN.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur le VPN ne sera que ponctuel et faible ?
Tout dépend du volume de données de données à échanger via le VPN et le débit souhaité. Mais si le VPN est monté via Internet, tu auras débit VPN
débit lien Internet en soft donc la carte crypto est inutile.
PS: il y a une dernière question que j'ai envie de poser même si je connais la réponse: la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une solution hard (CISCO, 3Com, Nokia ...) ?
Pourquoi donc ? Une bonne maitrise d'OpenBSD pour une conf pas trop complexe est bien assez efficace pour éviter ces objets commerciaux ;-)
A++ Foxy
-- Laurent Cheylus OpenPGP ID 0x5B766EC2
Bonsoir,
On Fri, 14 Nov 2003 14:09:43 +0100, Shrom wrote:
J'ai donc quelques petites questions à vous poser:
1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Tout dépend des machines (en terme de ressources matérielles) que tu veux
utiliser pour faire les gateways et les besoins : nombre de postes sur le
LAN, débit de l'Accès Internet, nombre de règles de FW, volume de données
échangées via le VPN
2) quels sont les points auxquels il faut faire attention ?
Créer une conf correcte pour le VPN : VPN LAN-to-LAN entre les 2
garteways avec les 2 réseaux distants souhaitant synchroniser leurs
données comme entités terminales du VPN.
Penser aussi aux règles PF pour autoriser les traffic dans les VPN.
3) connaissez vous une doc complète décrivant l'installation de ce genre
de configuration ? Il existe une foultitude de docs décrivant une
passerelle NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on
trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre
en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
Effectivement la section 13 de la FAQ OpenBSD (celle sur IPsec) n'est
plus en ligne mais man isakmpd, isakmpd.conf et ipsec donne bien assez
d'infos pour monter la conf. souhaitée.
Intégrer le VPN à la passerelle NAT/FW ne pose pas de problème spécifique
à partir du moment où on pense à ajouter les règles PF pour le VPN.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic
sur le VPN ne sera que ponctuel et faible ?
Tout dépend du volume de données de données à échanger via le VPN et le
débit souhaité. Mais si le VPN est monté via Internet, tu auras débit VPN
débit lien Internet en soft donc la carte crypto est inutile.
PS: il y a une dernière question que j'ai envie de poser même si je
connais la réponse:
la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers
une solution hard (CISCO, 3Com, Nokia ...) ?
Pourquoi donc ? Une bonne maitrise d'OpenBSD pour une conf pas trop
complexe est bien assez efficace pour éviter ces objets commerciaux ;-)
A++ Foxy
--
Laurent Cheylus <foxy@free.fr> OpenPGP ID 0x5B766EC2
J'ai donc quelques petites questions à vous poser: 1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Tout dépend des machines (en terme de ressources matérielles) que tu veux utiliser pour faire les gateways et les besoins : nombre de postes sur le LAN, débit de l'Accès Internet, nombre de règles de FW, volume de données échangées via le VPN
2) quels sont les points auxquels il faut faire attention ?
Créer une conf correcte pour le VPN : VPN LAN-to-LAN entre les 2 garteways avec les 2 réseaux distants souhaitant synchroniser leurs données comme entités terminales du VPN.
Penser aussi aux règles PF pour autoriser les traffic dans les VPN.
3) connaissez vous une doc complète décrivant l'installation de ce genre de configuration ? Il existe une foultitude de docs décrivant une passerelle NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
Effectivement la section 13 de la FAQ OpenBSD (celle sur IPsec) n'est plus en ligne mais man isakmpd, isakmpd.conf et ipsec donne bien assez d'infos pour monter la conf. souhaitée.
Intégrer le VPN à la passerelle NAT/FW ne pose pas de problème spécifique à partir du moment où on pense à ajouter les règles PF pour le VPN.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur le VPN ne sera que ponctuel et faible ?
Tout dépend du volume de données de données à échanger via le VPN et le débit souhaité. Mais si le VPN est monté via Internet, tu auras débit VPN
débit lien Internet en soft donc la carte crypto est inutile.
PS: il y a une dernière question que j'ai envie de poser même si je connais la réponse: la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une solution hard (CISCO, 3Com, Nokia ...) ?
Pourquoi donc ? Une bonne maitrise d'OpenBSD pour une conf pas trop complexe est bien assez efficace pour éviter ces objets commerciaux ;-)
A++ Foxy
-- Laurent Cheylus OpenPGP ID 0x5B766EC2
Shrom
Laurent Cheylus wrote:
Bonsoir,
On Fri, 14 Nov 2003 14:09:43 +0100, Shrom wrote:
J'ai donc quelques petites questions à vous poser: 1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Tout dépend des machines (en terme de ressources matérielles) que tu veux utiliser pour faire les gateways et les besoins : nombre de postes sur le LAN, débit de l'Accès Internet, nombre de règles de FW, volume de données échangées via le VPN
Pour ce qui est des machines et du traffic, il n'y a pas de problème de ce côté là. Je posait la question surtout vis à vis de l'unicité des tâches.
[SNIP]...
3) connaissez vous une doc complète décrivant l'installation de ce genre de configuration ? Il existe une foultitude de docs décrivant une passerelle NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
Effectivement la section 13 de la FAQ OpenBSD (celle sur IPsec) n'est plus en ligne mais man isakmpd, isakmpd.conf et ipsec donne bien assez d'infos pour monter la conf. souhaitée.
Je vais m'y plonger, j'ai aussi le dernier MISC qui explique comment monter une passerelle VPN OBSD.
Intégrer le VPN à la passerelle NAT/FW ne pose pas de problème spécifique à partir du moment où on pense à ajouter les règles PF pour le VPN.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur le VPN ne sera que ponctuel et faible ?
Tout dépend du volume de données de données à échanger via le VPN et le débit souhaité. Mais si le VPN est monté via Internet, tu auras débit VPN
débit lien Internet en soft donc la carte crypto est inutile.
C'est l'idée que je m'était fait
PS: il y a une dernière question que j'ai envie de poser même si je connais la réponse: la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une solution hard (CISCO, 3Com, Nokia ...) ?
Pourquoi donc ? Une bonne maitrise d'OpenBSD pour une conf pas trop complexe est bien assez efficace pour éviter ces objets commerciaux ;-)
Certains diront qu'il vaut mieux une solution hard, mais je savais qu'ici on me dirait que la solution OBSD convient.
Merci pour ces réponses.
Laurent Cheylus wrote:
Bonsoir,
On Fri, 14 Nov 2003 14:09:43 +0100, Shrom wrote:
J'ai donc quelques petites questions à vous poser:
1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT,
FW et VPN ?
Tout dépend des machines (en terme de ressources matérielles) que tu veux
utiliser pour faire les gateways et les besoins : nombre de postes sur le
LAN, débit de l'Accès Internet, nombre de règles de FW, volume de données
échangées via le VPN
Pour ce qui est des machines et du traffic, il n'y a pas de problème de ce
côté là. Je posait la question surtout vis à vis de l'unicité des tâches.
[SNIP]...
3) connaissez vous une doc complète décrivant l'installation de ce genre
de configuration ? Il existe une foultitude de docs décrivant une
passerelle NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on
trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre
en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
Effectivement la section 13 de la FAQ OpenBSD (celle sur IPsec) n'est
plus en ligne mais man isakmpd, isakmpd.conf et ipsec donne bien assez
d'infos pour monter la conf. souhaitée.
Je vais m'y plonger, j'ai aussi le dernier MISC qui explique comment monter
une passerelle VPN OBSD.
Intégrer le VPN à la passerelle NAT/FW ne pose pas de problème spécifique
à partir du moment où on pense à ajouter les règles PF pour le VPN.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic
sur le VPN ne sera que ponctuel et faible ?
Tout dépend du volume de données de données à échanger via le VPN et le
débit souhaité. Mais si le VPN est monté via Internet, tu auras débit VPN
débit lien Internet en soft donc la carte crypto est inutile.
C'est l'idée que je m'était fait
PS: il y a une dernière question que j'ai envie de poser même si je
connais la réponse:
la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers
une solution hard (CISCO, 3Com, Nokia ...) ?
Pourquoi donc ? Une bonne maitrise d'OpenBSD pour une conf pas trop
complexe est bien assez efficace pour éviter ces objets commerciaux ;-)
Certains diront qu'il vaut mieux une solution hard, mais je savais qu'ici on
me dirait que la solution OBSD convient.
J'ai donc quelques petites questions à vous poser: 1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Tout dépend des machines (en terme de ressources matérielles) que tu veux utiliser pour faire les gateways et les besoins : nombre de postes sur le LAN, débit de l'Accès Internet, nombre de règles de FW, volume de données échangées via le VPN
Pour ce qui est des machines et du traffic, il n'y a pas de problème de ce côté là. Je posait la question surtout vis à vis de l'unicité des tâches.
[SNIP]...
3) connaissez vous une doc complète décrivant l'installation de ce genre de configuration ? Il existe une foultitude de docs décrivant une passerelle NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
Effectivement la section 13 de la FAQ OpenBSD (celle sur IPsec) n'est plus en ligne mais man isakmpd, isakmpd.conf et ipsec donne bien assez d'infos pour monter la conf. souhaitée.
Je vais m'y plonger, j'ai aussi le dernier MISC qui explique comment monter une passerelle VPN OBSD.
Intégrer le VPN à la passerelle NAT/FW ne pose pas de problème spécifique à partir du moment où on pense à ajouter les règles PF pour le VPN.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur le VPN ne sera que ponctuel et faible ?
Tout dépend du volume de données de données à échanger via le VPN et le débit souhaité. Mais si le VPN est monté via Internet, tu auras débit VPN
débit lien Internet en soft donc la carte crypto est inutile.
C'est l'idée que je m'était fait
PS: il y a une dernière question que j'ai envie de poser même si je connais la réponse: la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une solution hard (CISCO, 3Com, Nokia ...) ?
Pourquoi donc ? Une bonne maitrise d'OpenBSD pour une conf pas trop complexe est bien assez efficace pour éviter ces objets commerciaux ;-)
Certains diront qu'il vaut mieux une solution hard, mais je savais qu'ici on me dirait que la solution OBSD convient.
Merci pour ces réponses.
Benjamin Pineau
Le Fri, 14 Nov 2003 14:09:43 +0100, Shrom écrivais:
1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Oui. C'est assez courant, pas de problème. En plus ce sont des activités du kernel (sauf un éventuel - mais non nécéssaire - serveur de clefs), c'est donc plutôt robuste et efficace.
2) quels sont les points auxquels il faut faire attention ?
Rien de particulier, lire la doc et hop ;) Ah si, bien paramétrer son mtu, et peut être s'assurer que le pmtu puisse se faire correctement. Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet bien sûr ...
3) connaissez vous une doc complète décrivant l'installation de ce genre de configuration ? Il existe une foultitude de docs décrivant une passerelle
Essaie de retrouver des traces de la - mystérieusement disparue - section 13 de la faq d'Open, regarde le man vpn, man ipsec, man isakmpd.conf et tu en saura presque plus qu'il n'est nécéssaire.
NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
En fait il n'y a rien de spécial à faire pour que le vpn cohabite avec pf. Il suffit d'autoriser les trafics ESP et/ou AH et/ou IPCOMP dans le firewall. Tu devra aussi autoriser aussi l'accès au port 500/udp si tu veut utiliser un serveur ISAKMP. Et si tu veut être strict, fait un peut de filtrage sur l'interface enc0 (afin de filtrer les traffics échangés entre les réseaux interconnectés) ; si ce qui passe entre ces réseaux a ta confiance, un pass all on enc0 suffira.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur le VPN ne sera que ponctuel et faible ?
Non, vraiment pas. Une vieille marchine (par exemple un pentium 200) fera très largement l'affaire et même plus si besoin.
PS: il y a une dernière question que j'ai envie de poser même si je connais la réponse: la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une solution hard (CISCO, 3Com, Nokia ...) ?
La solution hard est quand même bien pratique quand il y a une panne. On ne fustige plus « cet admin babos et fantaisiste qui choisi des jouets de geeks » mais « ces cochons de constructeurs qui vendent du matos si cher et fragile »;) Bien sûr, c'est beaucoup plus cher ...
Le Fri, 14 Nov 2003 14:09:43 +0100,
Shrom <shrom@admin.zzn.com> écrivais:
1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW
et VPN ?
Oui. C'est assez courant, pas de problème. En plus ce sont des activités du
kernel (sauf un éventuel - mais non nécéssaire - serveur de clefs), c'est donc
plutôt robuste et efficace.
2) quels sont les points auxquels il faut faire attention ?
Rien de particulier, lire la doc et hop ;)
Ah si, bien paramétrer son mtu, et peut être s'assurer que le pmtu puisse se
faire correctement.
Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer
IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est
généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet
bien sûr ...
3) connaissez vous une doc complète décrivant l'installation de ce genre de
configuration ? Il existe une foultitude de docs décrivant une passerelle
Essaie de retrouver des traces de la - mystérieusement disparue - section 13
de la faq d'Open, regarde le man vpn, man ipsec, man isakmpd.conf et tu en
saura presque plus qu'il n'est nécéssaire.
NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la
doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien
montrant l'intégration du VPN à la passerelle.
En fait il n'y a rien de spécial à faire pour que le vpn cohabite avec pf.
Il suffit d'autoriser les trafics ESP et/ou AH et/ou IPCOMP dans le firewall.
Tu devra aussi autoriser aussi l'accès au port 500/udp si tu veut utiliser un
serveur ISAKMP.
Et si tu veut être strict, fait un peut de filtrage sur l'interface enc0
(afin de filtrer les traffics échangés entre les réseaux interconnectés) ; si
ce qui passe entre ces réseaux a ta confiance, un pass all on enc0 suffira.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur
le VPN ne sera que ponctuel et faible ?
Non, vraiment pas. Une vieille marchine (par exemple un pentium 200) fera
très largement l'affaire et même plus si besoin.
PS: il y a une dernière question que j'ai envie de poser même si je connais
la réponse:
la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une
solution hard (CISCO, 3Com, Nokia ...) ?
La solution hard est quand même bien pratique quand il y a une panne. On ne
fustige plus « cet admin babos et fantaisiste qui choisi des jouets de geeks »
mais « ces cochons de constructeurs qui vendent du matos si cher et fragile »;)
Bien sûr, c'est beaucoup plus cher ...
Le Fri, 14 Nov 2003 14:09:43 +0100, Shrom écrivais:
1) est-ce que ça parrait sérieux de laisser une seule machine faire NAT, FW et VPN ?
Oui. C'est assez courant, pas de problème. En plus ce sont des activités du kernel (sauf un éventuel - mais non nécéssaire - serveur de clefs), c'est donc plutôt robuste et efficace.
2) quels sont les points auxquels il faut faire attention ?
Rien de particulier, lire la doc et hop ;) Ah si, bien paramétrer son mtu, et peut être s'assurer que le pmtu puisse se faire correctement. Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet bien sûr ...
3) connaissez vous une doc complète décrivant l'installation de ce genre de configuration ? Il existe une foultitude de docs décrivant une passerelle
Essaie de retrouver des traces de la - mystérieusement disparue - section 13 de la faq d'Open, regarde le man vpn, man ipsec, man isakmpd.conf et tu en saura presque plus qu'il n'est nécéssaire.
NAT + FW (enfin, là pas de prob, je l'ai déjà fait), on trouve aussi de la doc sur les VPN sous BSD (pas très compliqué à mettre en oeuvre) mais rien montrant l'intégration du VPN à la passerelle.
En fait il n'y a rien de spécial à faire pour que le vpn cohabite avec pf. Il suffit d'autoriser les trafics ESP et/ou AH et/ou IPCOMP dans le firewall. Tu devra aussi autoriser aussi l'accès au port 500/udp si tu veut utiliser un serveur ISAKMP. Et si tu veut être strict, fait un peut de filtrage sur l'interface enc0 (afin de filtrer les traffics échangés entre les réseaux interconnectés) ; si ce qui passe entre ces réseaux a ta confiance, un pass all on enc0 suffira.
4) est-il nécessaire d'ajouter une carte crypto sachant que le traffic sur le VPN ne sera que ponctuel et faible ?
Non, vraiment pas. Une vieille marchine (par exemple un pentium 200) fera très largement l'affaire et même plus si besoin.
PS: il y a une dernière question que j'ai envie de poser même si je connais la réponse: la solution OBSD est-elle bien adaptée ou faut-il plutôt se tourner vers une solution hard (CISCO, 3Com, Nokia ...) ?
La solution hard est quand même bien pratique quand il y a une panne. On ne fustige plus « cet admin babos et fantaisiste qui choisi des jouets de geeks » mais « ces cochons de constructeurs qui vendent du matos si cher et fragile »;) Bien sûr, c'est beaucoup plus cher ...
salus1
Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet bien sûr ...
Mmmmm, pas sur pour OpenVPN. Avec cette application, tu ne seras pas oblige de recompiler ton kernel. C'est, somme toute, pour un gros deploiement, un avantage certain.
Si c'est pour faire du VPN entre vous seulement, OpenVPN est une solution en route endeans une heure. Si maintenant tu dois interconnecter des sites dont tu n'es pas membre de l'equipe IT, IPSEC...
Salus
Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer
IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est
généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet
bien sûr ...
Mmmmm, pas sur pour OpenVPN. Avec cette application, tu ne seras pas
oblige de recompiler ton kernel. C'est, somme toute, pour un gros
deploiement, un avantage certain.
Si c'est pour faire du VPN entre vous seulement, OpenVPN est une
solution en route endeans une heure. Si maintenant tu dois
interconnecter des sites dont tu n'es pas membre de l'equipe IT,
IPSEC...
Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet bien sûr ...
Mmmmm, pas sur pour OpenVPN. Avec cette application, tu ne seras pas oblige de recompiler ton kernel. C'est, somme toute, pour un gros deploiement, un avantage certain.
Si c'est pour faire du VPN entre vous seulement, OpenVPN est une solution en route endeans une heure. Si maintenant tu dois interconnecter des sites dont tu n'es pas membre de l'equipe IT, IPSEC...
Salus
Eric Masson
"Salus" == Salus writes:
Salus> Mmmmm, pas sur pour OpenVPN. Avec cette application, tu ne seras Salus> pas oblige de recompiler ton kernel. C'est, somme toute, pour un Salus> gros deploiement, un avantage certain.
Ben, sur Open, ipsec est dans le kernel GENERIC, il suffit de modifier 2 sysctl's pour activer esp et/ou ah, isakmpd est dans le système de base.
Salus> Si c'est pour faire du VPN entre vous seulement, OpenVPN est une Salus> solution en route endeans une heure.
OpenVPN n'est pas dans la conf standard d'un quelconque os, il faut donc l'installer sur chaque machine qui fera office d'endpoint. De plus il faut se farcir les docs d'un truc non standard qui n'est interopérable qu'avec lui même, ou est le gain ?
Salus> Si maintenant tu dois interconnecter des sites dont tu n'es pas Salus> membre de l'equipe IT, IPSEC...
Ben tu fais pas, tu laisses l'équipe faire ce qu'elle considère correct ou encore tu la conseilles mais tu évites de modifier une conf sur un lan sans en avoir reçu l'autorisation.
Eric Masson
--
et sinon, quand on s'interesse a un media que l'on ne maitrise pas, on essaye de le comprendre d'abord. (Suivi par l'intégralité du message initial de 45 lignes.)
-+-BM in : GNU - La maîtrise est un long apprentissage petit scarabé -+-
"Salus" == Salus <salus1@netcourrier.com> writes:
Salus> Mmmmm, pas sur pour OpenVPN. Avec cette application, tu ne seras
Salus> pas oblige de recompiler ton kernel. C'est, somme toute, pour un
Salus> gros deploiement, un avantage certain.
Ben, sur Open, ipsec est dans le kernel GENERIC, il suffit de modifier 2
sysctl's pour activer esp et/ou ah, isakmpd est dans le système de base.
Salus> Si c'est pour faire du VPN entre vous seulement, OpenVPN est une
Salus> solution en route endeans une heure.
OpenVPN n'est pas dans la conf standard d'un quelconque os, il faut donc
l'installer sur chaque machine qui fera office d'endpoint. De plus il
faut se farcir les docs d'un truc non standard qui n'est interopérable
qu'avec lui même, ou est le gain ?
Salus> Si maintenant tu dois interconnecter des sites dont tu n'es pas
Salus> membre de l'equipe IT, IPSEC...
Ben tu fais pas, tu laisses l'équipe faire ce qu'elle considère correct
ou encore tu la conseilles mais tu évites de modifier une conf sur un
lan sans en avoir reçu l'autorisation.
Eric Masson
--
et sinon, quand on s'interesse a un media que l'on ne maitrise pas,
on essaye de le comprendre d'abord.
(Suivi par l'intégralité du message initial de 45 lignes.)
-+-BM in : GNU - La maîtrise est un long apprentissage petit scarabé -+-
Salus> Mmmmm, pas sur pour OpenVPN. Avec cette application, tu ne seras Salus> pas oblige de recompiler ton kernel. C'est, somme toute, pour un Salus> gros deploiement, un avantage certain.
Ben, sur Open, ipsec est dans le kernel GENERIC, il suffit de modifier 2 sysctl's pour activer esp et/ou ah, isakmpd est dans le système de base.
Salus> Si c'est pour faire du VPN entre vous seulement, OpenVPN est une Salus> solution en route endeans une heure.
OpenVPN n'est pas dans la conf standard d'un quelconque os, il faut donc l'installer sur chaque machine qui fera office d'endpoint. De plus il faut se farcir les docs d'un truc non standard qui n'est interopérable qu'avec lui même, ou est le gain ?
Salus> Si maintenant tu dois interconnecter des sites dont tu n'es pas Salus> membre de l'equipe IT, IPSEC...
Ben tu fais pas, tu laisses l'équipe faire ce qu'elle considère correct ou encore tu la conseilles mais tu évites de modifier une conf sur un lan sans en avoir reçu l'autorisation.
Eric Masson
--
et sinon, quand on s'interesse a un media que l'on ne maitrise pas, on essaye de le comprendre d'abord. (Suivi par l'intégralité du message initial de 45 lignes.)
-+-BM in : GNU - La maîtrise est un long apprentissage petit scarabé -+-
Shrom
"Benjamin Pineau" a écrit dans le message de news:
2) quels sont les points auxquels il faut faire attention ?
Rien de particulier, lire la doc et hop ;) Ah si, bien paramétrer son mtu, et peut être s'assurer que le pmtu puisse se
faire correctement. Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet
bien sûr ...
Vu que le cahier des charges sur l'utilisation du VPN n'est pas encore bien défini, j'opte évidemment pour IPSEC avec ISAKMP qui permettra aussi bien d'interconnecter deux réseaux que de laisser un utilisateur nomade se connecter.
Je me lance dans les tests sous peu, si j'ai quelques problèmes, je n'hésiterai pas à faire appel au groupe à moins que fr.comp.securite soit miueux adapté ?
Merci de ces réponses.
"Benjamin Pineau" <ben@zouh.org-nospam> a écrit dans le message de
news:slrnbrilus.rp3.ben@zouh.net1.nerim.net...
2) quels sont les points auxquels il faut faire attention ?
Rien de particulier, lire la doc et hop ;)
Ah si, bien paramétrer son mtu, et peut être s'assurer que le pmtu puisse
se
faire correctement.
Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer
IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est
généralement plus complet. Ce n'est que mon avis très subjectif sur le
sujet
bien sûr ...
Vu que le cahier des charges sur l'utilisation du VPN n'est pas encore bien
défini, j'opte évidemment pour IPSEC avec ISAKMP qui permettra aussi bien
d'interconnecter deux réseaux que de laisser un utilisateur nomade se
connecter.
Je me lance dans les tests sous peu, si j'ai quelques problèmes, je
n'hésiterai pas à faire appel au groupe à moins que fr.comp.securite soit
miueux adapté ?
"Benjamin Pineau" a écrit dans le message de news:
2) quels sont les points auxquels il faut faire attention ?
Rien de particulier, lire la doc et hop ;) Ah si, bien paramétrer son mtu, et peut être s'assurer que le pmtu puisse se
faire correctement. Et puis éviter les outils de vpn userland (openvpn, vtun, ...). Préférer IPsec, qui est standard, intéropérable, fonctionne plus bas niveau, et est généralement plus complet. Ce n'est que mon avis très subjectif sur le sujet
bien sûr ...
Vu que le cahier des charges sur l'utilisation du VPN n'est pas encore bien défini, j'opte évidemment pour IPSEC avec ISAKMP qui permettra aussi bien d'interconnecter deux réseaux que de laisser un utilisateur nomade se connecter.
Je me lance dans les tests sous peu, si j'ai quelques problèmes, je n'hésiterai pas à faire appel au groupe à moins que fr.comp.securite soit miueux adapté ?
