Je me trouve confronté à un "petit" problème que je n'arrive pas à
résoudre.
Je dois connecter une machine sous windows (2000 en l'occurrence, mais
le même problème se pose avec un XP ou un 2003) par VPN chez notre
fournisseur.
Actuellement pour des tests d'évolution de notre appli, j'utilise le
client VPN Cisco pour faire la connection et tout se passe le mieux du
monde, sauf qu'une fois le client lancé, la machine ne peut plus faire
autre chose et surtout n'accepte plus de connexions distantes, ce qui
est génant pour un "Serveur" (hébergement d'une application FileMaker
sur serveur FileMaker Advanced).
À terme, la machine de test partira en salle blanche chez notre
hébergeur et nous aurons un routeur VPN Cisco qui s'occupera de tout ça,
mais en attendant, il faut faire fonctionner sans. Et de toute façon,
même dans notre baie, on a un routeur OpenBSD, donc la question se pose
pour pf (l'architecture avec un routeur VPN Cisco fontionne déjà en prod
chez des clients et ça va bien).
Le contexte :
- Une application FMP sur machine Windows qui utilise les services du
point suivant.
- Une application développée par notre fournisseur sous windows et qui a
besoin de se connecter en VPN chez ledit fournisseur.
- Un réseau derrière un routeur OpenBSD/pf sur une connexion adsl.
Mon idée :
Je lance une connection VPN sur le routeur openBSD et je dis à pf que
tout ce qui est à destination de 172.16.X.X (adresse privée à atteindre
chez le fournisseur) doit passer par ladite connexion.
Mais là j'ai 2 questions :
- Est-ce possible ? (vu ma compréhension des VPN, j'ai un doute, mais
d'autres clients VPN, comme celui de Checkpoint ne font pas chier
comme ça et laissent la machine "atteignable", je subodore donc que ça
peut fonctionner)
- Existe-t-il un "client" VPN permettant à OpenBSD de se connecter à un
Cisco, tout en laissant le reste du réseau communiquer ? J'ai vu qu'il
existait "vpnc" sensé faire ça, mais vu la (absence de) doc j'ai du
mal à capter si ça répondrait bien à mon besoin ou pas...
- Si les 2 réponses précédentes sont "Oui", comment mettre ça en ½uvre
et dire à pf de rediriger ça ?
Si, la réponse est non, il va falloir que je continue à jouer avec le
client Cisco, et ça me gonfle.
Normalement, tu n'auras même pas à te fatiguer, si tu tournes au moins avec une 3.8, il y a ifstated qui pourra s'en occuper pour toi (la bidouille consistant à recompiler ifwatchd doit dater d'une configuration basée sur une 3.5 ou une 3.6, vu que je devais aussi patcher pour avoir le support pppoe kernel)
Bon, je regarderai ça en même temps. Et je viens de vérifier, c'est une 3.8, donc ça devrait le faire.
Bon, eh bien merci à toi aussi.
Pas de quoi, ça donnera l'occasion de se taper une mousse si on se croise sur une sortie frm ;)
Avec plaisir :)
-- CHC
Eric Masson <emss@free.fr> writes:
'Re,
'Re itou,
Normalement, tu n'auras même pas à te fatiguer, si tu tournes au moins
avec une 3.8, il y a ifstated qui pourra s'en occuper pour toi (la
bidouille consistant à recompiler ifwatchd doit dater d'une
configuration basée sur une 3.5 ou une 3.6, vu que je devais aussi
patcher pour avoir le support pppoe kernel)
Bon, je regarderai ça en même temps.
Et je viens de vérifier, c'est une 3.8, donc ça devrait le faire.
Bon, eh bien merci à toi aussi.
Pas de quoi, ça donnera l'occasion de se taper une mousse si on se
croise sur une sortie frm ;)
Normalement, tu n'auras même pas à te fatiguer, si tu tournes au moins avec une 3.8, il y a ifstated qui pourra s'en occuper pour toi (la bidouille consistant à recompiler ifwatchd doit dater d'une configuration basée sur une 3.5 ou une 3.6, vu que je devais aussi patcher pour avoir le support pppoe kernel)
Bon, je regarderai ça en même temps. Et je viens de vérifier, c'est une 3.8, donc ça devrait le faire.
Bon, eh bien merci à toi aussi.
Pas de quoi, ça donnera l'occasion de se taper une mousse si on se croise sur une sortie frm ;)
Avec plaisir :)
-- CHC
Christophe Cuq
Eric Masson writes:
Christophe Cuq writes:
'Lut,
Pour le Checkpoint, non, je l'utilise régulièrement pour me connecter chez un client et il ne m'a jamais cassé les pieds de ce point de vue là.
C'est pour cela que je disais que c'était une mesure administrative ;)
Ah ok, j'avais pas capté ça, je croayis que c'était un paramétrage de base du client...
Si les admins de la passerelle sur laquelle tu te connectes sont paranos, c'est une des mesures activées, j'ai le cas pour la connexion chez un client dans l'agroalimentaire (Client vpn-1).
Ah eh bien chez le mien dans le domaine paramédical, ça n'est pas activé :)
J'ai quand même une clé secure-id, avec les chiffres qui tournent toutes les 2 minutes (Fort Knox est moins protégé que leur réseau), mais ils n'ont pas activé ce machin sur le client Checkpoint...
Un parano de base trouvera toujours une justification pour l'activation du biniou...
Et moi qui passe pour un parano quand je dis qu'il vaudrait mieux utiliser scp/sftp que ftp...
-- CHC
Eric Masson <emss@free.fr> writes:
Christophe Cuq <christophe@cuq.org> writes:
'Lut,
Pour le Checkpoint, non, je l'utilise régulièrement pour me connecter
chez un client et il ne m'a jamais cassé les pieds de ce point de vue là.
C'est pour cela que je disais que c'était une mesure administrative ;)
Ah ok, j'avais pas capté ça, je croayis que c'était un paramétrage de
base du client...
Si les admins de la passerelle sur laquelle tu te connectes sont paranos,
c'est une des mesures activées, j'ai le cas pour la connexion chez un
client dans l'agroalimentaire (Client vpn-1).
Ah eh bien chez le mien dans le domaine paramédical, ça n'est pas activé
:)
J'ai quand même une clé secure-id, avec les chiffres qui tournent toutes
les 2 minutes (Fort Knox est moins protégé que leur réseau), mais ils
n'ont pas activé ce machin sur le client Checkpoint...
Un parano de base trouvera toujours une justification pour l'activation
du biniou...
Et moi qui passe pour un parano quand je dis qu'il vaudrait mieux
utiliser scp/sftp que ftp...
Pour le Checkpoint, non, je l'utilise régulièrement pour me connecter chez un client et il ne m'a jamais cassé les pieds de ce point de vue là.
C'est pour cela que je disais que c'était une mesure administrative ;)
Ah ok, j'avais pas capté ça, je croayis que c'était un paramétrage de base du client...
Si les admins de la passerelle sur laquelle tu te connectes sont paranos, c'est une des mesures activées, j'ai le cas pour la connexion chez un client dans l'agroalimentaire (Client vpn-1).
Ah eh bien chez le mien dans le domaine paramédical, ça n'est pas activé :)
J'ai quand même une clé secure-id, avec les chiffres qui tournent toutes les 2 minutes (Fort Knox est moins protégé que leur réseau), mais ils n'ont pas activé ce machin sur le client Checkpoint...
Un parano de base trouvera toujours une justification pour l'activation du biniou...
Et moi qui passe pour un parano quand je dis qu'il vaudrait mieux utiliser scp/sftp que ftp...
