Raccoon, StrongSwan ou autre ?

12 réponses
Avatar
Olivier
--047d7bd766dec32d3c04e412f1fc
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'envisage d'installer une infra IPSEC.

Mon besoin imm=E9diat est l'accueil de road warrior sur un serveur squeeze
(qui va bient=F4t passer =E0 wheezy).

Mes besoins et contraintes sont:
- le serveur a une IP priv=E9e mais est connect=E9 =E0 un modem-routeur ave=
c IP
fixe dont je ma=EEtrise le param=E9trage,
- les clients sont de type PC portable sous squeeze, tablette/t=E9l=E9phone
sous Android 4.2.ou 4.3, iphone/ipad de diff=E9rentes versions,
- pour les clients de type t=E9l=E9phone ou tablettes, j'aimerai que le
lancement du client IPSEC soit automatique d=E8s que l'utilisateur saisit
dans son navigateur une IP priv=E9e appartenant au VPN.


J'ai lu les infos du site web de StrongSwan.
Ce logiciel m'a l'air tr=E8s complet et tr=E8s bien maintenu.
Par contre, je m'interroge sur la possibilit=E9 de se connecter =E0 Strongs=
wan
depuis un iphone (cf https://wiki.debian.org/HowTo/AndroidVPNServer et le
bug http://code.google.com/p/android/issues/detail?id=3D23124).

Est-il possible de se connecter =E0 Strongswan depuis un iphone ?
Conseillez-vous Raccoon ou StrongSwan?
Je suis novice en IPSEC. Quel type de configuration (cl=E9s partag=E9es, L2=
TP,
...) me conseillez-vous de viser dans un premier temps ?

Slts

--047d7bd766dec32d3c04e412f1fc
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir=3D"ltr"><div><div><div><div><div><div><div><div><div><div><div><di=
v><div>Bonjour,<br><br></div>J&#39;envisage d&#39;installer une infra IPSEC=
.<br><br></div>Mon besoin imm=E9diat est l&#39;accueil de road warrior sur =
un serveur squeeze (qui va bient=F4t passer =E0 wheezy).<br>
<br></div>Mes besoins et contraintes sont:<br></div>- le serveur a une IP p=
riv=E9e mais est connect=E9 =E0 un modem-routeur avec IP fixe dont je ma=EE=
trise le param=E9trage,<br></div>- les clients sont de type PC portable sou=
s squeeze, tablette/t=E9l=E9phone sous Android 4.2.ou 4.3, iphone/ipad de d=
iff=E9rentes versions,<br>
</div>- pour les clients de type t=E9l=E9phone ou tablettes, j&#39;aimerai =
que le lancement du client IPSEC soit automatique d=E8s que l&#39;utilisate=
ur saisit dans son navigateur une IP priv=E9e appartenant au VPN.<br><br><b=
r></div>
J&#39;ai lu les infos du site web de StrongSwan.<br></div>Ce logiciel m&#39=
;a l&#39;air tr=E8s complet et tr=E8s bien maintenu.<br></div>Par contre, j=
e m&#39;interroge sur la possibilit=E9 de se connecter =E0 Strongswan depui=
s un iphone (cf=A0 <a href=3D"https://wiki.debian.org/HowTo/AndroidVPNServe=
r">https://wiki.debian.org/HowTo/AndroidVPNServer</a> et le bug <a href=3D"=
http://code.google.com/p/android/issues/detail?id=3D23124">http://code.goog=
le.com/p/android/issues/detail?id=3D23124</a>).<br>
<br></div>Est-il possible de se connecter =E0 Strongswan depuis un iphone ?=
<br></div>Conseillez-vous Raccoon ou StrongSwan?<br></div>Je suis novice en=
IPSEC. Quel type de configuration (cl=E9s partag=E9es, L2TP, ...)=A0 me co=
nseillez-vous de viser dans un premier temps ?<br>
<br></div>Slts<br><div><br></div></div>

--047d7bd766dec32d3c04e412f1fc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAPeT9jiuXqWj+6wh+BOub5ayTte_qR2AXe6nwwJbYRsNrhF18Q@mail.gmail.com

10 réponses

1 2
Avatar
Bzzz
On Fri, 16 Aug 2013 18:18:43 +0200
Olivier wrote:

Je fais mes besoins immédiats dans l'accueil de road warrior sur
un serveur squeeze (qui va bientôt passer à wheezy).



Tu vas te faire chibaver jusqu'à plus soif,
montes plutôt une infrastructure OpenVPN
bcp plus souple.

--
Dodo: je panse donc je suis...
Léo: Hum.... médecin, infirmier ? Un estomac à la rigueur ?
Dodo: ??

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Christophe
Bonjour,

Bzzz a écrit :
On Fri, 16 Aug 2013 18:18:43 +0200
Olivier wrote:

Je fais mes besoins immédiats dans l'accueil de road warrior sur
un serveur squeeze (qui va bientôt passer à wheezy).



Tu vas te faire chibaver jusqu'à plus soif,
montes plutôt une infrastructure OpenVPN
bcp plus souple.




J'aime beaucoup le terme :-) .

Je suis d'accord avec Bzzz sur le fait qu'OpenVPN soit particulièrement
efficace et beaucoup plus simple à mettre en route : A titre perso et
pro, c'est ce que j'utilise partout . Mais le contexte est différent :
Infra sous Linux et Open/FreeBSD sur lequel le paquet OpenVPN est
disponible au bout de quelques commandes.

- les clients sont de type PC portable sous squeeze, tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de différentes versions,



C'est la que le bas blesse (pour le moment en tout cas) :

* PC Portable sous squeeze, pas de soucis : apt-get install openvpn,
copie des fichiers idoines et c'est parti.

* Sur Android, j'ai personnellement testé : Ca marchotte ... si tant est
que le phone soit rooté et qu'on fasse passer ca en TCP (beurk) et en
mode tun (enormes difficultés à fonctionner en tap). De la à utiliser ca
en prod, y'a un énorme pas ...

* Sur iPhone et iPad , je n'ai pas testé personnellement, mais le peu de
témoignage que j'en ai eu, m'ont fait part des pires difficultés à faire
fonctionner OpenVPN dessus (bien pires que sur Android) de part la
nature particulièrement fermée de l'OS. (Ajouter une interface réseau ??
sur laquelle on ne sait pas ce qu'il se passe ???)


A côté de ca , IPSec/L2TP est natif sur les terminaux mobiles
précédemment cités. Mais d'une utilité particulièrement limitée de mon
point de vue (voir la suite).


- le serveur a une IP privée mais est connecté à un modem-routeur avec IP fixe dont je maîtrise le paramétrage



Problème étant que quand il s'agit de faire passer ce genre de protocole
(IPSEC) à travers du NAT (ton serveur étant avec une IP locale), et puis
à travers les réseaux mobiles, les ennuis arrivent a grand pas :( .
Sur les modems-routeurs classiques, tu as bien souvent possibilité de
rediriger le traffic en TCP ou UDP, mais quand ca part dans du AH ou
ESP, ca trouve vite ses limites.

Quel est le modem/routeur en question ?


- pour les clients de type téléphone ou tablettes, j'aimerai que le lancement du client IPSEC soit automatique dès que l'utilisateur saisit dans son navigateur une IP privée appartenant au VPN.



Je crains malheureusement que cela soit utopique :( .





@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Sun, 18 Aug 2013 18:42:12 +0200
Christophe wrote:

> - les clients sont de type PC portable sous squeeze,
> tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de
> différentes versions,

C'est la que le bas blesse (pour le moment en tout cas) :



Ben pourquoi?
Perso, je l'utilise sous 2.3.3 avec featvpn (qui,
entre guillemets ne nécessite PAS un accès root).
Pour les produits de ceux qui nous prennent pour
des pommes, sèpô.

* Sur Android, j'ai personnellement testé : Ca marchotte ...
si tant est que le phone soit rooté



Nan, V. plus haut.

et qu'on fasse passer ca en
TCP (beurk) et en mode tun (enormes difficultés à fonctionner en
tap). De la à utiliser ca en prod, y'a un énorme pas ...



Effectivement, le mode 'tun' est celui nécessité par
featvpn, mais si on a créé les raccourcis vers les svrs
voulus, ça ne pose pas de réel PB d'accès.

* Sur iPhone et iPad , je n'ai pas testé personnellement, mais le
peu de témoignage que j'en ai eu, m'ont fait part des pires
difficultés à faire fonctionner OpenVPN dessus (bien pires que sur
Android) de part la nature particulièrement fermée de l'OS.
(Ajouter une interface réseau ?? sur laquelle on ne sait pas ce
qu'il se passe ???)



Mauvaise policy, changer policy (pas de pomme:)

> - le serveur a une IP privée mais est connecté à un
> modem-routeur avec IP fixe dont je maîtrise le paramétrage

Problème étant que quand il s'agit de faire passer ce genre de
protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP
locale), et puis à travers les réseaux mobiles, les ennuis
arrivent a grand pas :( . Sur les modems-routeurs classiques, tu
as bien souvent possibilité de rediriger le traffic en TCP ou UDP,
mais quand ca part dans du AH ou ESP, ca trouve vite ses limites.



Héhé, (gros) avantage OpenVPN: il suffit de forwarder
le port utilisé vers le svr interne.

Quel est le modem/routeur en question ?


> - pour les clients de type téléphone ou tablettes, j'aimerai que
> le lancement du client IPSEC soit automatique dès que
> l'utilisateur saisit dans son navigateur une IP privée
> appartenant au VPN.

Je crains malheureusement que cela soit utopique :( .



Ça doit pouvoir se réaliser en écrivant un plugin
spécifique (mais seul FF permettra cela… et sa
dispo n'est valide que pour les toutes dernières
versions d'android:(

--
Schnaps : Nan mais cette nuit c'était horrible ! J'avais la diarrhà ©e et mon
bébé arrêtait pas de gueuler :( En plus ma chatte était malade >.<
* Beurdiii viens de se connecter
Schnaps : Ils ont criés toute la nuit, j'ai des griffures jusque dans le dos
et l'anus défoncé
Beurdiii : ...
Schnaps : On parlait de ma chatte et de mon bébé hein ._.
Beurdiii : 0.O
Schnaps : J'vais me suicider je revient

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Olivier
--001a11c24df06c7a7504e45197c5
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Le 18 août 2013 19:22, Bzzz a écrit :

On Sun, 18 Aug 2013 18:42:12 +0200
Christophe wrote:

> > - les clients sont de type PC portable sous squeeze,
> > tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de
> > différentes versions,
>
> C'est la que le bas blesse (pour le moment en tout cas) :

Ben pourquoi?
Perso, je l'utilise sous 2.3.3 avec featvpn (qui,
entre guillemets ne nécessite PAS un accès root).
Pour les produits de ceux qui nous prennent pour
des pommes, sèpô.

> * Sur Android, j'ai personnellement testé : Ca marchotte ...
> si tant est que le phone soit rooté

Nan, V. plus haut.

> et qu'on fasse passer ca en
> TCP (beurk) et en mode tun (enormes difficultés à fonctionner en
> tap). De la à utiliser ca en prod, y'a un énorme pas ...

Effectivement, le mode 'tun' est celui nécessité par
featvpn, mais si on a créé les raccourcis vers les svrs
voulus, ça ne pose pas de réel PB d'accès.




C'est là toute la question :
- j'ai essayé sans succès avec le client officiel d'OpenVPN sur Android ,
- vu le peu de moyens de diagnostic que je connais sur Android (en
existe-t-il ?), j'ai décidé d'essayer IPSec.


> * Sur iPhone et iPad , je n'ai pas testé personnellement, mais le
> peu de témoignage que j'en ai eu, m'ont fait part des pires
> difficultés à faire fonctionner OpenVPN dessus (bien pires que sur
> Android) de part la nature particulièrement fermée de l'OS.
> (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce
> qu'il se passe ???)

Mauvaise policy, changer policy (pas de pomme:)

> > - le serveur a une IP privée mais est connecté à un
> > modem-routeur avec IP fixe dont je maîtrise le paramétrage
>
> Problème étant que quand il s'agit de faire passer ce genre de
> protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP
> locale), et puis à travers les réseaux mobiles, les ennuis
> arrivent a grand pas :( . Sur les modems-routeurs classiques, tu
> as bien souvent possibilité de rediriger le traffic en TCP ou UDP,
> mais quand ca part dans du AH ou ESP, ca trouve vite ses limites.

Héhé, (gros) avantage OpenVPN: il suffit de forwarder
le port utilisé vers le svr interne.




La doc de StrongSwan et autre n'insiste pas sur la compatibilité avec le
NAT.
J'espère que qu'il y a des solutions à cela.



> Quel est le modem/routeur en question ?




Une box d'opérateur mais s'il le faut, je n'hésiterai pas à la rempla cer
par quelque chose de mieux.

>
>
> > - pour les clients de type téléphone ou tablettes, j'aimerai que
> > le lancement du client IPSEC soit automatique dès que
> > l'utilisateur saisit dans son navigateur une IP privée
> > appartenant au VPN.
>
> Je crains malheureusement que cela soit utopique :( .

Ça doit pouvoir se réaliser en écrivant un plugin
spécifique (mais seul FF permettra cela… et sa
dispo n'est valide que pour les toutes dernières
versions d'android:(




Il m'avait sembler lire que c'était possible (sur iOS, si ma mémoire es t
bonne).
À étudier de plus près sur Android.


--
Schnaps : Nan mais cette nuit c'était horrible ! J'avais la diarrhée et mon
bébé arrêtait pas de gueuler :( En plus ma chatte était malade
>.<
* Beurdiii viens de se connecter
Schnaps : Ils ont criés toute la nuit, j'ai des griffures jusque dans l e
dos
et l'anus défoncé
Beurdiii : ...
Schnaps : On parlait de ma chatte et de mon bébé hein ._.
Beurdiii : 0.O
Schnaps : J'vais me suicider je revient

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--001a11c24df06c7a7504e45197c5
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail _quote">Le 18 août 2013 19:22, Bzzz <span dir="ltr">&lt;<a href="mail to:" target="_blank"></a>&gt;</span> a écrit :<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><div>On Sun, 18 Aug 2013 18:42:12 +0200<br>
Christophe &lt;<a href="mailto:" target="_blank"> tuxnet.org</a>&gt; wrote:<br>
<br>
&gt; &gt; - les clients sont de type PC portable sous squeeze,<br>
&gt; &gt; tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de<br >
&gt; &gt; différentes versions,<br>
&gt;<br>
&gt; C&#39;est la que le bas blesse (pour le moment en tout cas) :<br>
<br>
</div>Ben pourquoi?<br>
Perso, je l&#39;utilise sous 2.3.3 avec featvpn (qui,<br>
entre guillemets ne nécessite PAS un accès root).<br>
Pour les produits de ceux qui nous prennent pour<br>
des pommes, sèpô.<br>
<div><br>
&gt; * Sur Android, j&#39;ai personnellement testé : Ca marchotte ...<br>
&gt; si tant est que le phone soit rooté<br>
<br>
</div>Nan, V. plus haut.<br>
<div><br>
&gt; et qu&#39;on fasse passer ca en<br>
&gt; TCP (beurk) et en mode tun (enormes difficultés à fonctionner en<b r>
&gt; tap). De la à utiliser ca en prod, y&#39;a un énorme pas ...<br>
<br>
</div>Effectivement, le mode &#39;tun&#39; est celui nécessité par<br>
featvpn, mais si on a créé les raccourcis vers les svrs<br>
voulus, ça ne pose pas de réel PB d&#39;accès.<br></blockquote><div>< br></div><div>C&#39;est là toute la question :<br></div><div>- j&#39;ai e ssayé sans succès avec le client officiel d&#39;OpenVPN sur Android,<br >
- vu le peu de moyens de diagnostic que je connais sur Android (en existe-t -il ?), j&#39;ai décidé d&#39;essayer IPSec.<br></div><blockquote class ="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rg b(204,204,204);padding-left:1ex">

<div><br>
&gt; * Sur iPhone et iPad , je n&#39;ai pas testé personnellement, mais l e<br>
&gt; peu de témoignage que j&#39;en ai eu, m&#39;ont fait part des pires< br>
&gt; difficultés à faire fonctionner OpenVPN dessus (bien pires que sur <br>
&gt; Android) de part la nature particulièrement fermée de l&#39;OS.<br >
&gt; (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce<br>
&gt; qu&#39;il se passe ???)<br>
<br>
</div>Mauvaise policy, changer policy (pas de pomme:)<br>
<div><br>
&gt; &gt; - le serveur a une IP privée mais est connecté à un<br>
&gt; &gt; modem-routeur avec IP fixe dont je maîtrise le paramétrage<br >
&gt;<br>
&gt; Problème étant que quand il s&#39;agit de faire passer ce genre de <br>
&gt; protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP< br>
&gt; locale), et puis à travers les réseaux mobiles, les ennuis<br>
&gt; arrivent a grand pas :( . Sur les modems-routeurs classiques, tu<br>
&gt; as bien souvent possibilité de rediriger le traffic en TCP ou UDP,<b r>
&gt; mais quand ca part dans du AH ou ESP, ca trouve vite ses limites.<br>
<br>
</div>Héhé, (gros) avantage OpenVPN: il suffit de forwarder<br>
le port utilisé vers le svr interne.<br></blockquote><div><br></div><div> La doc de StrongSwan et autre n&#39;insiste pas sur la compatibilité avec le NAT.<br></div><div>J&#39;espère que qu&#39;il y a des solutions à c ela.<br>
</div><div> </div><blockquote class="gmail_quote" style="margin:0pt 0 pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div><br>
&gt; Quel est le modem/routeur en question ?<br></div></blockquote><div><br ></div><div>Une box d&#39;opérateur mais s&#39;il le faut, je n&#39;hés iterai pas à la remplacer par quelque chose de mieux. <br></div><blockquo te class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div>
&gt;<br>
&gt;<br>
&gt; &gt; - pour les clients de type téléphone ou tablettes, j&#39;aime rai que<br>
&gt; &gt; le lancement du client IPSEC soit automatique dès que<br>
&gt; &gt; l&#39;utilisateur saisit dans son navigateur une IP privée<br>
&gt; &gt; appartenant au VPN.<br>
&gt;<br>
&gt; Je crains malheureusement que cela soit utopique :( .<br>
<br>
</div>Ça doit pouvoir se réaliser en écrivant un plugin<br>
spécifique (mais seul FF permettra cela… et sa<br>
dispo n&#39;est valide que pour les toutes dernières<br>
versions d&#39;android:(<br></blockquote><div><br></div><div>Il m&#39;avait sembler lire que c&#39;était possible (sur iOS, si ma mémoire est bonn e).<br></div><div>À étudier de plus près sur Android.<br></div><block quote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1 px solid rgb(204,204,204);padding-left:1ex">

<br>
--<br>
Schnaps : Nan mais cette nuit c&#39;était horrible ! J&#39;avais la diarr hée et mon<br>
          bébé arrêtait pas de gueuler :( En plus ma chatte était malade &gt;.&lt;<br>
* Beurdiii viens de se connecter<br>
Schnaps : Ils ont criés toute la nuit, j&#39;ai des griffures jusque dans le dos<br>
          et l&#39;anus défoncé<br>
Beurdiii : ...<br>
Schnaps : On parlait de ma chatte et de mon bébé hein ._.<br>
Beurdiii : 0.O<br>
Schnaps : J&#39;vais me suicider je revient<br>
<div><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:" target ="_blank"></a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org" target="_blank"></a><br>
</div>Archive: <a href="http://lists.debian.org/ nubis.defcon1" target="_blank">http://lists.debian.org/20130818192249.311 </a><br>
<br>
</blockquote></div><br></div></div>

--001a11c24df06c7a7504e45197c5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAPeT9jjZ1cp3SG3+9tmccRhOCYTcmg3MMrb5=
Avatar
Bzzz
On Mon, 19 Aug 2013 21:03:10 +0200
Olivier wrote:

C'est là toute la question :
- j'ai essayé sans succès avec le client officiel d'OpenVPN sur
Android,
- vu le peu de moyens de diagnostic que je connais sur Android (en
existe-t-il ?), j'ai décidé d'essayer IPSec.



Heu t'es nœnœud ou bien?
J'ai parlé de *featvpn* spécifiquement dédié aux droids _non-rootés_.

La doc de StrongSwan et autre n'insiste pas sur la compatibilité
avec le NAT.
J'espère que qu'il y a des solutions à cela.



Il y a des raisons "logiques" à cela: c'est _justement_ là où
le bât blesse: StSw n'a pas de solt stable par rapport à
ce PB.

Il m'avait sembler lire que c'était possible (sur iOS, si ma
mémoire est bonne).
À étudier de plus près sur Android.



Ne confondont point: c'est du ressort du browser et en aucun
cas de l'OS (sauf si certaines applis doivent directement
accéder à un svr dans le VPN, mais là, il me semble que là  ,
on verse dans le hors sujet).

--
Boby : Aha, et moi j'nique ta mère !
Nico : Oh non papa.. T'es crade..

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Christophe
Bzzz a écrit :

Perso, je l'utilise sous 2.3.3 avec featvpn (qui,
entre guillemets ne nécessite PAS un accès root).
Pour les produits de ceux qui nous prennent pour
des pommes, sèpô.

* Sur Android, j'ai personnellement testé : Ca marchotte ...
si tant est que le phone soit rooté



Nan, V. plus haut.




Ca se trouve sur le play store ton truc ?

et qu'on fasse passer ca en
TCP (beurk) et en mode tun (enormes difficultés à fonctionner en
tap). De la à utiliser ca en prod, y'a un énorme pas ...



Effectivement, le mode 'tun' est celui nécessité par
featvpn, mais si on a créé les raccourcis vers les svrs
voulus, ça ne pose pas de réel PB d'accès.



En ce qui me concerne, OpenVPN sans tap est juste rédhibitoire. (tout
comme OpenVPN sans udp comme transport).



* Sur iPhone et iPad , je n'ai pas testé personnellement, mais le
peu de témoignage que j'en ai eu, m'ont fait part des pires
difficultés à faire fonctionner OpenVPN dessus (bien pires que sur
Android) de part la nature particulièrement fermée de l'OS.
(Ajouter une interface réseau ?? sur laquelle on ne sait pas ce
qu'il se passe ???)



Mauvaise policy, changer policy (pas de pomme:)



Hmm , pas faux , tu n'empêchera malheureusement le marketing de
l'emporter sur la technique.

Créer du besoin ou il y en a pas, confondre clients et patients atteints
du "Syndrome de Stockholm". J'en passe.

Mais ce n'est pas le sujet, et malheureusement, ces produits font partie
du marché (forte pénétration, dans tous les sens du terme), et il est
également malheureusement nécessaire d'en tenir compte (Au grand
désespoir de tous) .

Ca me rappelle la guerre IE VS le reste du monde (qui dure depuis une
bonne -voire deux- décennies).

Tu peux dire qu'IE c'est une merde sans nom, c'est pas faux. Mais quand
un de tes clients a plus de 60 % de visiteurs sur son site public avec
IE, et que c'est sa principale source de revenus, tu ne peux pas renier
en disant juste "c'est d'la merde c'truc, veux même pas en entendre
parler, dites à vos client d'utiliser FF/Chrome/Whatever !" (ou putain
le rêve ! :) ).

J'avoue sans état d'âme penser comme toi d'un point de vue technique,
mais la réalité du terrain dans certains cas, est tout autre .


Problème étant que quand il s'agit de faire passer ce genre de
protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP
locale), et puis à travers les réseaux mobiles, les ennuis
arrivent a grand pas :( . Sur les modems-routeurs classiques, tu
as bien souvent possibilité de rediriger le traffic en TCP ou UDP,
mais quand ca part dans du AH ou ESP, ca trouve vite ses limites.



Héhé, (gros) avantage OpenVPN: il suffit de forwarder
le port utilisé vers le svr interne.



Je suis d'accord la dessus aussi. Reste que si tu veux connecter un
Cisco ou un Juniper sur ton infra, je te souhaite bien du courage !

(je t'accorde que le problème ne se pose pas , si tu maîtrise la chaîne
de bout en bout ...)

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Christophe
Olivier a écrit :


La doc de StrongSwan et autre n'insiste pas sur la compatibilité avec le
NAT.
J'espère que qu'il y a des solutions à cela.



Sans adresse IP publique sur la machine, je ne dis pas que ca soit
infaisable, mais c'est chaud bouill' quand même ...



Quel est le modem/routeur en question ?




Une box d'opérateur mais s'il le faut, je n'hésiterai pas à la remplacer
par quelque chose de mieux.




Une box d'opérateur ? ou de FAI ?

Change vite surtout si il y a un acronyme de fruit dessus.

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Tue, 20 Aug 2013 20:28:14 +0200
Christophe wrote:

Ca se trouve sur le play store ton truc ?



œuf corse

En ce qui me concerne, OpenVPN sans tap est juste rédhibitoire.
(tout comme OpenVPN sans udp comme transport).



La seule diff, c'est que les svrs ne sont pas atteignables
par ping.

Hmm , pas faux , tu n'empêchera malheureusement le marketing de
l'emporter sur la technique.



Un admin digne de ce nom ne devrait pas se laisser
faire par sa hiérarchie…

Tu peux dire qu'IE c'est une merde sans nom, c'est pas faux. Mais
quand un de tes clients a plus de 60 % de visiteurs sur son site
public avec IE, et que c'est sa principale source de revenus, tu
ne peux pas renier en disant juste "c'est d'la merde c'truc, veux
même pas en entendre parler, dites à vos client d'utiliser
FF/Chrome/Whatever !" (ou putain le rêve ! :) ).



Meuhsi: il suffit d'envoyer un écran disant "vs utilisez ie 4.0
qui est une merde; d'ailleurs _tous_ les ie sont des merdes,
donc, à partir du 2013-9-1, tous les ie seront désacivés

Je suis d'accord la dessus aussi. Reste que si tu veux connecter
un Cisco ou un Juniper sur ton infra, je te souhaite bien du
courage !



Connecter du Cisco confine à la maladie mentale, étant donné
"certaines" failles apparues il y a moins de 10 ans.

--
<Flesh> Comme dirait mon ami muet :
<Sephiroth> Eh ben quoi ??
<Sephiroth> ???
<Sephiroth> Eh oh ?!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Pascal Hambourg
Salut,

Christophe a écrit :

Problème étant que quand il s'agit de faire passer ce genre de protocole
(IPSEC) à travers du NAT (ton serveur étant avec une IP locale), et puis
à travers les réseaux mobiles, les ennuis arrivent a grand pas :( .
Sur les modems-routeurs classiques, tu as bien souvent possibilité de
rediriger le traffic en TCP ou UDP, mais quand ca part dans du AH ou
ESP, ca trouve vite ses limites.



C'est pour pallier à ce type de problème qu'il existe NAT-T, une
encapsulation d'IPSec dans UDP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
David Cure
--0FM4RQAc0jwHekq5
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable


Bonjour,

[Réponse tardive mais comme je n'ai pas vu cette info dans les
réponse, je la donne]

Le Sun, Aug 18, 2013 at 06:42:12PM +0200, Christophe ecrivait :

>- les clients sont de type PC portable sous squeeze, tablette/tél éphone sous Android 4.2.ou 4.3, iphone/ipad de différentes versio ns,

* Sur Android, j'ai personnellement testé : Ca marchotte ... si tant
est que le phone soit rooté et qu'on fasse passer ca en TCP (beurk)
et en mode tun (enormes difficultés à fonctionner en tap). De l a à
utiliser ca en prod, y'a un énorme pas ...



on parle d'Android 4.x plus haut : depuis cette version les API
VPN sont dispos dans le SDK et il y a donc un client OpenVPN qui utilise
ces APIs et qui ne necessite plus d'être root -> OpenVPN for Android e st
celui que j'utilise en UDP (TCP fonctionne aussi).

David.

--
Chronique, Articles, Projets "libre" -> http://www.cure.nom.fr/
@tdjfr on Identi.ca / Twitter / Diaspora
Association FINIX : Finistere *nix -> http://www.Finix.EU.Org/
"Le temps est sans importance, seule la vie est importante" L5E

--0FM4RQAc0jwHekq5
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iD8DBQFSG1iLx5Qtjcby22cRAjEAAKC/XJRFSha1UEeqnlerIF8xQBcriACeLmav
qow/qXa04diK74/jvrZJayM =JCMa
-----END PGP SIGNATURE-----

--0FM4RQAc0jwHekq5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2