En cette période un peu... difficile, je vous propose de revenir aux
fondamentaux, à savoir Debian ;-)
Bref, je voudrais installer OpenVPN sur mon serveur OVH.
Après quelques recherches, j'ai trouvé notamment cette documentation :
https://wiki.debian.org/fr/OpenVPN
Les premières étapes (installation du package et génération de la clé
statique) sont OK mais je ne vois pas bien comment remplir le tun0.conf
et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2
En effet, sauf erreur, la première IP est celle de mon serveur et la
seconde est celle du "client". Mais, dans le subnet, je ne maîtrise pas
du tout les adresses IP et leur utilisation.
Auriez-vous une piste ?
Dans l'intervalle, j'ai installé OpenVPN-AS qui marche très bien mais je
préfère les solutions "propres", purement Debian ;-)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
NoSpam
Le 17/03/2020 à 11:32, BERTRAND Joël a écrit :
David BERCOT a écrit :
Bonsoir,
Bonjour,
En cette période un peu... difficile, je vous propose de revenir aux fondamentaux, à savoir Debian ;-) Bref, je voudrais installer OpenVPN sur mon serveur OVH. Après quelques recherches, j'ai trouvé notamment cette documentation : https://wiki.debian.org/fr/OpenVPN Les premières étapes (installation du package et génération de la clé statique) sont OK mais je ne vois pas bien comment remplir le tun0.conf et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2 En effet, sauf erreur, la première IP est celle de mon serveur et la seconde est celle du "client". Mais, dans le subnet, je ne maîtrise pas du tout les adresses IP et leur utilisation. Auriez-vous une piste ?
Utiliser une interface tap ? La question est sérieuse, je n'ai jamais compris l'intérêt d'utiliser l'interface tun. tap se comporte comme une réelle interface réseau avec tous les avantages d'ethernet (contrairement à tun qui ne cause qu'IP). On peut donc faire de la tolérance de panne, de l'agrégation et tout ce qui est supporté par ethernet. Mais il faut router soi-même par derrière.
tap a l'énorme désavantage de faire passer out le trafic y compris arp & co De plus, si les réseaux connectés gèrent des postes sous Windows, la propagation des logiciels malveillants est aisée. J'ai abandonné tap pour tun depuis quelques mois et les routeurs, commutateurs et autres outils de surveillance me disent merci ;) -- Daniel
Le 17/03/2020 à 11:32, BERTRAND Joël a écrit :
David BERCOT a écrit :
Bonsoir,
Bonjour,
En cette période un peu... difficile, je vous propose de revenir aux
fondamentaux, à savoir Debian ;-)
Bref, je voudrais installer OpenVPN sur mon serveur OVH.
Après quelques recherches, j'ai trouvé notamment cette documentation :
https://wiki.debian.org/fr/OpenVPN
Les premières étapes (installation du package et génération de la clé
statique) sont OK mais je ne vois pas bien comment remplir le tun0.conf
et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2
En effet, sauf erreur, la première IP est celle de mon serveur et la
seconde est celle du "client". Mais, dans le subnet, je ne maîtrise pas
du tout les adresses IP et leur utilisation.
Auriez-vous une piste ?
Utiliser une interface tap ?
La question est sérieuse, je n'ai jamais compris l'intérêt d'utiliser
l'interface tun. tap se comporte comme une réelle interface réseau avec
tous les avantages d'ethernet (contrairement à tun qui ne cause qu'IP).
On peut donc faire de la tolérance de panne, de l'agrégation et tout ce
qui est supporté par ethernet. Mais il faut router soi-même par derrière.
tap a l'énorme désavantage de faire passer out le trafic y compris arp &
co De plus, si les réseaux connectés gèrent des postes sous Windows, la
propagation des logiciels malveillants est aisée.
J'ai abandonné tap pour tun depuis quelques mois et les routeurs,
commutateurs et autres outils de surveillance me disent merci ;)
En cette période un peu... difficile, je vous propose de revenir aux fondamentaux, à savoir Debian ;-) Bref, je voudrais installer OpenVPN sur mon serveur OVH. Après quelques recherches, j'ai trouvé notamment cette documentation : https://wiki.debian.org/fr/OpenVPN Les premières étapes (installation du package et génération de la clé statique) sont OK mais je ne vois pas bien comment remplir le tun0.conf et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2 En effet, sauf erreur, la première IP est celle de mon serveur et la seconde est celle du "client". Mais, dans le subnet, je ne maîtrise pas du tout les adresses IP et leur utilisation. Auriez-vous une piste ?
Utiliser une interface tap ? La question est sérieuse, je n'ai jamais compris l'intérêt d'utiliser l'interface tun. tap se comporte comme une réelle interface réseau avec tous les avantages d'ethernet (contrairement à tun qui ne cause qu'IP). On peut donc faire de la tolérance de panne, de l'agrégation et tout ce qui est supporté par ethernet. Mais il faut router soi-même par derrière.
tap a l'énorme désavantage de faire passer out le trafic y compris arp & co De plus, si les réseaux connectés gèrent des postes sous Windows, la propagation des logiciels malveillants est aisée. J'ai abandonné tap pour tun depuis quelques mois et les routeurs, commutateurs et autres outils de surveillance me disent merci ;) -- Daniel
Erwan David
Le 18/03/2020 à 21:12, Damien TOURDE a écrit :
Bonjour, En effet, tap c'est de la propagation de L2, et tun, de L3. C'est pas le même usage, mais il faut bien avoir en tête que tout le broadcast dans le domaine (de broadcast...), va transiter avec tap. De même que tout le reste de l'ARP. Sur un gros réseau, ça risque de faire beaucoup d'overhead. Pensez aussi à votre Chromecast et votre imprimante qui floodent constamment (en multicast et broadcast). Sur ces réseaux d'overlay, on est généralement en UDP, mais le TCP est aussi possible pour OpenVPN avec l'overhead qui va avec aussi. A mon sens, le tun répond a tous les usages courants. Et pour le tap, il faut en avoir besoin, mais aussi en comprendre les contraintes. Pour resumer, le tun c'est du routage classique, le tap c'est du "câble VPN". PS: je pense également que le multicast ne passe pas au travers d'une interface tun, je veux bien un avis sur la question.
Dans mon souvenir, ça passe, mais le multicats routé. Et le routage multicast c'est assez complexe. Donc ça passe si on fait du pim ou autre protocole de routage multicast sur l'interface tun, et ça c'est pas standard du tout
Le 18/03/2020 à 21:12, Damien TOURDE a écrit :
Bonjour,
En effet, tap c'est de la propagation de L2, et tun, de L3.
C'est pas le même usage, mais il faut bien avoir en tête que tout le
broadcast dans le domaine (de broadcast...), va transiter avec tap.
De même que tout le reste de l'ARP.
Sur un gros réseau, ça risque de faire beaucoup d'overhead.
Pensez aussi à votre Chromecast et votre imprimante qui floodent
constamment (en multicast et broadcast).
Sur ces réseaux d'overlay, on est généralement en UDP, mais le TCP est
aussi possible pour OpenVPN avec l'overhead qui va avec aussi.
A mon sens, le tun répond a tous les usages courants.
Et pour le tap, il faut en avoir besoin, mais aussi en comprendre les
contraintes.
Pour resumer, le tun c'est du routage classique, le tap c'est du "câble
VPN".
PS: je pense également que le multicast ne passe pas au travers d'une
interface tun, je veux bien un avis sur la question.
Dans mon souvenir, ça passe, mais le multicats routé. Et le routage
multicast c'est assez complexe. Donc ça passe si on fait du pim ou autre
protocole de routage multicast sur l'interface tun, et ça c'est pas
standard du tout
Bonjour, En effet, tap c'est de la propagation de L2, et tun, de L3. C'est pas le même usage, mais il faut bien avoir en tête que tout le broadcast dans le domaine (de broadcast...), va transiter avec tap. De même que tout le reste de l'ARP. Sur un gros réseau, ça risque de faire beaucoup d'overhead. Pensez aussi à votre Chromecast et votre imprimante qui floodent constamment (en multicast et broadcast). Sur ces réseaux d'overlay, on est généralement en UDP, mais le TCP est aussi possible pour OpenVPN avec l'overhead qui va avec aussi. A mon sens, le tun répond a tous les usages courants. Et pour le tap, il faut en avoir besoin, mais aussi en comprendre les contraintes. Pour resumer, le tun c'est du routage classique, le tap c'est du "câble VPN". PS: je pense également que le multicast ne passe pas au travers d'une interface tun, je veux bien un avis sur la question.
Dans mon souvenir, ça passe, mais le multicats routé. Et le routage multicast c'est assez complexe. Donc ça passe si on fait du pim ou autre protocole de routage multicast sur l'interface tun, et ça c'est pas standard du tout
