OpenVPN

Le
David BERCOT Avatar par défaut
Bonsoir,

En cette période un peu difficile, je vous propose de revenir aux
fondamentaux, à savoir Debian ;-)

Bref, je voudrais installer OpenVPN sur mon serveur OVH.
Après quelques recherches, j'ai trouvé notamment cette documentation :
https://wiki.debian.org/fr/OpenVPN

Les premières étapes (installation du package et génération de la clé
statique) sont OK mais je ne vois pas bien comment remplir le tun0.conf
et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2
En effet, sauf erreur, la première IP est celle de mon serveur et la
seconde est celle du "client". Mais, dans le subnet, je ne maîtrise pas
du tout les adresses IP et leur utilisation.

Auriez-vous une piste ?

Dans l'intervalle, j'ai installé OpenVPN-AS qui marche très bien mais je
préfère les solutions "propres", purement Debian ;-)

Merci d'avance.

David.
Vos réponses
Trier par : date / pertinence
NoSpam Avatar par défaut
Le #26540328
Le 17/03/2020 à 11:32, BERTRAND Joël a écrit :
David BERCOT a écrit :
Bonsoir,

Bonjour,
En cette période un peu... difficile, je vous propose de revenir aux
fondamentaux, à savoir Debian ;-)
Bref, je voudrais installer OpenVPN sur mon serveur OVH.
Après quelques recherches, j'ai trouvé notamment cette documentation :
https://wiki.debian.org/fr/OpenVPN
Les premières étapes (installation du package et génération de la clé
statique) sont OK mais je ne vois pas bien comment remplir le tun0.conf
et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2
En effet, sauf erreur, la première IP est celle de mon serveur et la
seconde est celle du "client". Mais, dans le subnet, je ne maîtrise pas
du tout les adresses IP et leur utilisation.
Auriez-vous une piste ?

Utiliser une interface tap ?
La question est sérieuse, je n'ai jamais compris l'intérêt d'utiliser
l'interface tun. tap se comporte comme une réelle interface réseau avec
tous les avantages d'ethernet (contrairement à tun qui ne cause qu'IP).
On peut donc faire de la tolérance de panne, de l'agrégation et tout ce
qui est supporté par ethernet. Mais il faut router soi-même par derrière.

tap a l'énorme désavantage de faire passer out le trafic y compris arp &
co De plus,  si les réseaux connectés gèrent des postes sous Windows, la
propagation des logiciels malveillants est aisée.
J'ai abandonné tap pour tun depuis quelques mois et les routeurs,
commutateurs et autres outils de surveillance me disent merci ;)
--
Daniel
Erwan David Avatar par défaut
Le #26540463
Le 18/03/2020 à 21:12, Damien TOURDE a écrit :
Bonjour,
En effet, tap c'est de la propagation de L2, et tun, de L3.
C'est pas le même usage, mais il faut bien avoir en tête que tout le
broadcast dans le domaine (de broadcast...), va transiter avec tap.
De même que tout le reste de l'ARP.
Sur un gros réseau, ça risque de faire beaucoup d'overhead.
Pensez aussi à votre Chromecast et votre imprimante qui floodent
constamment (en multicast et broadcast).
Sur ces réseaux d'overlay, on est généralement en UDP, mais le TCP est
aussi possible pour OpenVPN avec l'overhead qui va avec aussi.
A mon sens, le tun répond a tous les usages courants.
Et pour le tap, il faut en avoir besoin, mais aussi en comprendre les
contraintes.
Pour resumer, le tun c'est du routage classique, le tap c'est du "câble
VPN".
PS: je pense également que le multicast ne passe pas au travers d'une
interface tun, je veux bien un avis sur la question.

Dans mon souvenir, ça passe, mais le multicats routé. Et le routage
multicast c'est assez complexe. Donc ça passe si on fait du pim ou autre
protocole de routage multicast sur l'interface tun, et ça c'est pas
standard du tout
Publicité
Poster une réponse
Anonyme Avatar par défaut