Ben voila, je suis occupé a me pencher sur des VPNs, j'ai une pettite préfèrence pour du ppp over SSH, car simple a implémenter et pas mal pour tout ce qui est routing et firewall... J'ai aussi essayé pptpd mais je trouve ca relativement puant ... Vtun fonctionne pas mal mais la vitesse de connexion se déteriore petit a petit...
 
Quels sont vos avis?

IPSEC vu que je bosse dessus.
Le truc qui est pas mal c est que c bas dans la pile et protege les protocole situe au dessus sans faire grand chose

Moi j'utilise CIPE:
http://sites.inka.de/sites/bigred/devel/cipe.html
 
J'en suis très content:
* Existe sous Win et Linux (entre autres)
* Gère très bien les VPN entre IP dynamiques
* Crypto au niveau du kernel donc pas besoin de 25000 softs en plus
* Très facile à mettre en place

La boite pour laquelle je bosse (Alcatel) utilise IPSEC aussi

ipsec aussi, et pis du propriétaire comme checkpoint, mais j'suis pas fan de ce système.
 
j'voudrais bien me mettre au pppoe over ssh mais ça me semble trop leger, je me trompe peut-être.

[citation=306267,1]j'voudrais bien me mettre au pppoe over ssh mais ça me semble trop leger, je me trompe peut-être.
[/citation]
 
ben je sais pas trop, c'est entre autre pour ca que j'ai fait ce topic. Car c'est vraiment tellement simple à implémenter que ej voulais voir quels étaient les désavantages/avantages par rapport à ipsec

IPSec
+Normalisé
+Modulable
+Ideal pour sécurisé les flux IP
+De plus en plus répendu.
+Encapsulation des paquets (bas niveau)
-Lourd
 
L2TP
+Normalisé
+Encapsulation de bas niveau
-De moins en moins utilisé, plus de recherche ou presque -> la mode est à IPSec
-Authentification basé sur PPP... possibilité de mettre du RADIUS -> bof si pas de RADIUS.
-Chiffrement RC4 -> bof
 
Couche haute : SSL et co
+Ideal pour les flux web
-Incompatibilité entre différente implémentation
-Non adapté pour véhiculer tt type de flux -> consommation CPU très importante.
-Sécurité uniquement sur la partie data. Pas de sécurité au niveau des couches inférieures (plan d'adressage visible par ex)
 
 
Donc -> IPSec pour faire des VPN sur IP et SSL pour sécurisé des appli web.

ssh != ssl
 
enfin même si ça se ressemble un peu jp'ense pas que ce soit tout a fait identique, mais c'est vrai que ssh reste sur les couches hautes.

 
SSL/TLS c'est une librairie.
SSH -> shell sécurisé qui s'appuie sur la librairie SSL.
 
Il me semble que c'est ça.

 
Parrait sympa... mais c'est un protocole de couche haute (voir mon post).

 
VPN-1... je l'ai déployé et je me suis mis une balle !  
N'empeche qu'en théory il passe bien avec d'autres implémentations IPSec (Cisco, microsoft... pour freeswan (open source) je sais pas).

 
c'est cohérent

 
j'le trouve merdique, m'enfin...
 
sinon radius c'est sympa

Tt dépend ce que tu veux faire... mais à mon avis le top c'est de coupler RADIUS (ou autres proto d'authenfication forte) avec des certificats.  
 
Mais c'est vrai, je suis d'accord avec toi, RADIUS est très bien.

bah je dirais que les certificats n'ont plus aucun interet quand tu as déjà une authentification forte, en plus par défaut le timeout est de 30 minutes, ça laisse pas le temps de s'emmerder

Et dans la pratique ?

 
En faite, je suis stagiaire ds une boite donc je n'ai pas une grande expérience sur ce produit...
Ce que je peux dire, c'est que VPN-1 associé à secure-client (partie cliente de VPN-1, 100% propriétaire) marche très bien.
Il est meme possible de télécharger les regles de filtrages à mettre sur le client avant de monter le tunnel. La mise à jour automatique est également possible.
Par contre VPN-1 est une veritable usine à gaz, vraiment.    
 
Par contre pour faire "plaisir" au linuxien... FireWall-1/VPN-1 peut etre installer sur un OS nommé Secure plateforme... Qui n'est rien de plus qu'une RedHat epurée à l'extreme (y a meme plus les commandes de base type ls).

J'espère qu'ils ont qd même pensé à "renforcer" la pile IP ...

 
A vrai dire je ne sais pas.    
 
Au faite pkoi tu dis ça... la pile IP sur GNU/Linux est "foireuse" ?  

y'a mieux, celle des xxxBSD notamment ... pour un fw cé important ...
Pis bon, j'ai qq priori de tout ce qui vient de Red Hat ...
EDIT : Bon bah je viens de voir qu'au niveau de la partie Grsecurity>Network Protections, on peut demander à avoir une pile IP dont le comportement se rapproche de celui de OpenBSD ...

Je m'en doute si la pile TCP/IP est un foireuse... sur un FW sa laisse à désirer...
 
Quels sont ces types de vulnérabilités.
Est ce qu'elles sont facilement utilisable ? Ds quelle condition ? T'es sur que les derniers kernels ne corrige pas les bugs ?
 
Grsecurtity, si j'ai compris c'est un patch noyau pour améliorer la sécurité...
Quelle confience peut on avoir en ce truc ? J'aurais tendance à avoir plus confiance envers les developpeurs du noyau que ceux du patch.    
 
Qu'est ce qu'elle a de plus la pile des BSD par rapport à celle de Linux ?
 
 
Oui je sais... je pose trop de questions... mais j'aimerais en savoir plus sur ces patch noyau... et sur les vulnérabilités de la pile TCP/IP de Linux.  

en meme tps, la pile ip de win xp a ete pompee de celle des bsd, et on voit le resultat

 
C'est vrai !  
 
On m'a toujours dit (s'était avant Win XP) que la pile TCP/IP des Windobe était une mer** et qu'elle s'appuyait énormément sur des proto de couche supérieur proprio (et mal fait).
 
TCP/IP est normalisée et les spécifications sont très précises, les différentes implémentations ne doivent donc pas etre si différentes les une des autres ? !
 
Pour Microsoft sa m'étonne pas qu'il est fait un truc à leur sauce...
Ce qui me fait halluciné c'est lorsque Microsoft ds Office 2003, il est possible de faire des sauvegardes au format XML (ds un but de portabilité...). Mais l'XML de Microsoft est proprio...
C'est vraiment du n'importe quoi !  
On dirait qu'ils veulent la jouer Open ! Mais en pratique c'est tt autre chose.  
 
 
Si qq1 à des infos par rapport aux questions que je me suis posé ds mon post précédement... ça m'interresse énormément !  

Salut
 
Alors, moi j'ai qq questions aussi relatives aux VPN.
 
J'ai mon lan sur une ADSL chez nerim avec IP fixe et IPv6.
Je vais emménager à la mi septembre à l'INSA à Lyon (une école) et pour les premières années, on dispose de 6 modems 33.6 par étage pour accéder par la connexion interne à internet (ip dynamique). Je souhaite accéder à mon lan avec mon portable et avoir mon Ipv6 (je peux déléguer un /64 de ma /48).
Schéma du réseau : http://www.jeanb-net.com/reso.png
 
Quelle solution envisagée ?
tunnel IPIP, connexion VPN IPsec ... ?
Pour mon IPv6, il vaut mieux faire un tunnel IPv6 over 4 dans mon VPN ou à l'extérieur ou puis-je mettre directement l'ipv6 nativement dans mon VPN, car l'ipv6 over 4 over VPN ça va faire perdre pas mal de MTU.
 
PS : mon kenrel est patché USAGI pour avoir de meilleurs fonctions IPsec en IPv4 et une meilleure pile IPv6.
Le laptop est XP + Debian ^^

IPsec

Qqn a un bon tutos pour implémenter un VPN IPsec avec le serveur sous linux patché usagi et un linux en client et un win aussi ???
 
J'ai trouvé ça http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html mais c légèrement passé ... (la version fr est au même point)

J'ai fais du VPN IPSec sous linux... mais uniquement en IPV4.
 
Quand tu parles de meilleure fonctionnalitée IPSec avec IPV6... sur quoi te bases tu ?
En quoi IPV6 est il meilleur ? Comptes tu faires de la QoS ou ce genre de chose ?
 
IPV6 over IPV4 -> Tu vas pas avoir un debit terrible ?
 
Quel est l'intéret de mettre de l'IPV6 sur ton réseau (personnel à mon avis) ?
 
Je te conseil de te mettre en IPV4+un linux (celui que tu veux) en config mini+FreesWAN sur le serveur.
Et ça va roxer.
 
IPV6 c'est bien beau... mais qui l'utilise réellement en interne ? Avant que tu le monde passe en IPV6 de l'eau aura passé sous les ponts !  

Ceci est les premiers mot du site du projet.
IPsec est une fonction intégrée au protocole IPv6 qui a été ensuite backportée sur l'IPv4, mais moi je veux utiliser les 2 car bon je n'aurais pas d'IPv6 native sur ma connexion à lyon.
 

Il est pas meilleur, enfin un peu qd même   Et pour la QoS non, même si j'execute déjà le script wondershapper htb sur ma linux box.
 

L'header d'encapsulation ne fait que 20 octets donc on perd pas trop en débit.
 

Ben, tout simplement pour accéder à chaque machine depuis le net vu que on a pas de NAT en IPv6. Ca me sert à expérimenter, à apprendre, et à gratifier mon FAI de me proposer ce service gratuitement
 
 

Ok, tu n'as pas une url où c expliqué ? A part si ça change pas grand chose par rapport au noyaux 2.0 et 2.2 comme g mis le tuto plus haut.
 

 
Beaucoup plus de monde que tu le crois et presque tous les FAI en font ^^

IPv6, c'est quand même pas le genre de truc qui se met en place pour le plaisir sur un LAN!
C'est lourd à mettre en plae, les OS son pas tous au point pour ca, et quand même, IPv6 over v4, ca reste de l'encapsulation, et forcemment, y'a des incidences en termes de débit, charge, etc...
 
Après, c'est que qu'il va bien falloir faire le grand saut, mais bon, au niveau des équipements de réseau actif,c 'est pareil, c'est pas encore terrible!!
 
Perso, pour le moment, je vois pas vraiment l'avantage, sauf de supprimer le NAT, mais alors ca pose des problèmes de routeurs (compatibilité) et quel intérêt de supprimer le NAT, sauf d'apprendre un peu???

On n'est plus en 2003 hein... Pour avoir fait des RFP/RFI et tester du matos pour vérifier le support d'IPv6 Cisco, Alcatel (pour ne citer qu'eux) sont très bon actuellement. Il reste quelques petits problèmes par ci par la mais c'est hautement exploitable... Des équipements routant nativement du v6 sont en production et tourne très bien et ils ne sont pas cantonnés aux labos ou à des labos/réseaux de recherche...

Faut un peu vivre avec son temps.

intéret de supprimer un NAT : faire réellement des communications peer à peer. Le NAT n'est *pas* naturel dans un réseau. Ca complexifie les infrastructures... Et qu'on me parle pas de sécurité. seulement un type de NAT offre un faux semblant de sécurité et ce n'est pas l'objectif du NAT. Pour cela il y a des firewalls et avec ou sans NAT, le principe d'un firewall est identique. Les politiques de vivons mieux, vivons cachés, c'est un peu des politiques d'autruches... Faut être conscient des risques et les gérer comme il se doit.

Intéret à passer IPv6 : suppression de cette horreur de NAT/NAPT, simplifier les réseaux (problème de recouvrement d'adresse), ne plus s'enquiquiner avec des économies d'adresses V4. Actuellement ca commence à être un vrai probleme notament pour la VoIP et l'explosion de terminaux mobiles. Regarde un peu ce qui se dit à l'IETF et notament les articles/doc de joff houston.

>> De toute manière ceci n'est pas le sujet du topic. Merci d'éviter de remonter des topics mort pour raconter n'importe quoi surotut pour ton premier post.

IPSec, mais faut avouer qu'avec OpenBSD/PF c'est vraiment de la tarte.
un lien vers ppp over ssh, jamais essayé. pourquoi pas le mode vpn de ssh 4.3 directement ?
vtun c'est criminel d'utiliser ça.

edit: ok, pwnd

Suis je le seul à utiliser OpenVPN parce que c'est simple et que ça juste marche ?

Peut être parce qu'en 2003 il n'était pas aussi répandu que maintenant
 
Sinon, je l'ai jamais utilisé mais là où je bosse ils l'ont mis en place pour les nomades Linux. Les nomades windows ont le client VPN cisco (IPsec).