Forum général.général Tunnel SSH, VPN? Je m'y perds!

Posté par  .
Étiquettes : aucune
0
30
jan.
2005
Bonjour,

Voici brievement ma situation : j'habite dans une résidence équipée d'un réseau local, connecté à internet. Seulement la partie internet tombe souvent en rade, et est super-restrictif.
Avec deux autres personnes du réseau, on s'est dit qu'on va se payer une adsl et la partagée via se réseau pour éviter ce genre de desagrément. Le problème est que si jamais on apprend que j'ai une connection adsl, je vais me faire couper la connection au réseau (sécurité oblige il parait).

Pour éviter de se faire trop remarquer, l'idée était de faire passer les donc par un canal crypté (j'imagine que des switch pourraient permettre de détecter des paquets qui ne viennent pas du réseau local). Et là c'est le drame : en cherchant sur le net j'ai trouvé tout plein de mots : tunnel ssh, openvpn, IPsec, vtun etc...

Alors, si j'ai bien compris, le tunnel ssh ne redirige qu'un port donné (dans ce cas je m'en sortirais plus pour configurer), openvpn et vtun sont fait pour relier deux réseaux locaux, ce qui n'est pas trop le cas ici puisque je veux que plusieurs ordinateurs puissent se connecté sur un seul.

Idéalement, je voudrait créer une interface (/dev/tun par exemple). Tout ce qui rentre dans cette passerelle passe dans un boyau crypté qui finit dans le /dev/tun de l'ordinateur avec l'adsl. Ce dernier balance tout en vrac sans se poser plus de question dans le modem adsl :)

J'espere que mes explications sont pas trop floues. Ce que je voudrait c'est un nom, pour que je puisse mieux cibler mes recherches...
  • # pas besoin de vpn a mon avis

    Posté par  . Évalué à 1.

    bonjour

    tout depend de comment est foutu le lan de l'immeuble.
    ca m'etonnerais beaucoup qu'il y ait de l'espionnage au niveau du switch.

    les machines du lan peuvent elles communiquer entre elles directement?
    si c'est le cas, tu peux directement partager une connexion internet avec ta machine juste avec quelques regles iptables qui vont bien (pour router seulement tes comparses, et pour proteger ta machine du lan et d'internet)

    ils devront juste utiliser ton IP comme passerelle par defaut et desactiver la config du proxy si c'est le cas.
    le proxy ou routeur de l'immeuble ne verra plus rien venant d'eux.

    sinon tu peux faire effectivement un vpn par dessus le lan, mais c'est plus complexe et pas toujours evident de faire communiquer des clients et serveurs VPN d'origine differente, et ca se verra quand meme (c'est juste ce qui passe dessus qui est protégé)
    • [^] # Re: pas besoin de vpn a mon avis

      Posté par  . Évalué à 2.

      Merci pour les informations

      En fait on est réparti sur différents immeubles, donc j'imagine que le cablage est assez compliqué. Il faut déclarer son adresse MAC (sinon rien ne passe), j'en ai donc déduit qu'ils surveillent ce qu'on fait. D'apres les légendes d'ici, plus d'une personne s'est fait coupé sa connection à cause d'un partage de connection interdit. En plus on m'a dit que des switch (ou routeurs) peuvent être configurés pour prévenir l'admin, quand ils voient des paquets louches. Utilisant abondamment le ssh, je doute que je genre de paquets sera classé comme louche.

      Sinon, on a l'avantage d'etre tous sous linux (Ne pas rigoler : la principale motivation était de faire du rsync pour gentoo et de pouvoir se connecter à Jabber)
    • [^] # Re: pas besoin de vpn a mon avis

      Posté par  . Évalué à 3.

      Dans la mesure où les paquets seraient SNATés, on ne peut pas voir directement qu'ils proviennent d'Internet. Y'aurait juste le TTL qui pourrait être suspect, mais ça se règle avec un coup de mangle dans iptables. Le dernier truc visible serait l'utilisation de ports habituellement utilisés uniquement sur Internet et pas sur un LAN. Personnelement le seul VPN crypté que j'ai pratiqué est CIPE, basé sur UDP et très simple à mettre en place, et discret en l'occurence.
  • # hum...

    Posté par  (site web personnel) . Évalué à 6.

    C'est bien de vouloir profiter de tout mais moins bien de vouloir faire rentrer le loup dans la bergerie.
    Tu as conscience de ce que tu peut faire avec une connexion internet mal protégée a tout les autres locataires
    qui naivement pensent qu'ils sont proteger par le système d'acces de leur immeuble (ou plutot cite universitaire non,
    je me trompe ?).
    C'est stupide Si tu veut une connexion adsl et bien informe les administrateurs de ton reseau afin qu'ils t'isolent toi et
    les personnes qui souhaitent patager cet acces grace par exemple a l'utilisation des vlan sur les switchs.

    De plus je serai surpris si la construction d'une ligne adsl sur ton immeuble n'informe pas le service qui s'occupe
    de celui-ci et s'il est spécifié dans le contrat de location que tu n'a pas le droti d'ouvrir une ligne adsl sans les informer
    tu va avoir des ennuis.
    • [^] # Re: hum...

      Posté par  . Évalué à 1.

      T'as tout à fait raison. Quitte à sacrifier l'adsl ou le réseau local, ce serait l'adsl parce que sinon j'aurais des problemes pour bosser.

      C'est vrai que la question qui se pose c'est est-ce que je suis assez compétent pour rendre la connexion sure. Je suis derrière un pare-feu qui ne laisse rentrer que du ssh, mais il peut toujours m'échapper une manière pour que quelqu'un s'introduise sur mon ordinateur. Ensuite, que va-t-il faire ayant le controle de mon PC? Je sais pas trop, mais il peut toujours y avoir un risque, je l'avoue. Mais tout ça ça me semble peu risqué. En plus je sais pas si je serais vraiment une faille dans un réseau dont l'admin donne un accès en lecteur au shadow...
      • [^] # Re: hum...

        Posté par  (site web personnel) . Évalué à 2.


        Tunnel SSH, VPN? Je m'y perds!
        (...)
        Et là c'est le drame : en cherchant sur le net j'ai trouvé tout plein de mots : tunnel ssh, openvpn, IPsec, vtun etc...


        est-ce que je suis assez compétent pour rendre la connexion sure.


        Etant donné que tu dis ne rien y connaitre, je ne pense pas que la réponse laisse le moindre doute...
    • [^] # Re: hum...

      Posté par  . Évalué à 3.

      C'est bien de vouloir profiter de tout mais moins bien de vouloir faire rentrer le loup dans la bergerie.
      Tu as conscience de ce que tu peut faire avec une connexion internet mal protégée a tout les autres locataires
      qui naivement pensent qu'ils sont proteger par le système d'acces de leur immeuble (ou plutot cite universitaire non,
      je me trompe ?).

      Qui peut faire le plus de dégâts? Un Linux ou un windows virusé? Le coup du réseau blindé de firewalls et d'antivirus compromis par un laptop virusé à la maison puis ramené au boulot, c'est du vécu, donc ton histoire de laisser entrer le loup dans la bergerie à cause d'un Linux connecté à l'ADSL me fait bien rire...

      De plus je serai surpris si la construction d'une ligne adsl sur ton immeuble n'informe pas le service qui s'occupe
      de celui-ci et s'il est spécifié dans le contrat de location que tu n'a pas le droti d'ouvrir une ligne adsl sans les informer
      tu va avoir des ennuis.

      Y a des chances effectivement. Faudrait se renseigner de façon discrète.
      • [^] # Re: hum...

        Posté par  . Évalué à 2.

        Qui peut faire le plus de dégâts? Un Linux ou un windows virusé?

        Là comme ca je en sais pas, mais une chose est sûre, si je devais me debrouiller pour avoir accés à une machine dans un LAN qui n'est pas le miens pour y faire vraiment le méchant, j'essayerais tant qu'a faire d'avoir un Linux.

        ton histoire de laisser entrer le loup dans la bergerie à cause d'un Linux connecté à l'ADSL me fait bien rire...

        Comprends pas, c'est quoi qui te fais rire ? tu trouves que le risque est faible ? Si le Linux en question, qui sera directement connecté à l'internet, se fait compromettre, le loup (le linux piraté) sera bien dans la bergerie (le Lan), non ?
        • [^] # Re: hum...

          Posté par  . Évalué à 3.

          Je voulais dire que sur un réseau dans lequel on ne contrôle pas les va et vient des ordis, il a forcément des risques de compromissions involontaires par l'intérieure, et parmi ces risques, celui apporté par un Linux connecté à l'ADSL est absolument négligeable comparé à celui apporté par un windows utilisé chez un particulier non-averti puis réintroduit sur le réseau.
  • # Proxy => routeur

    Posté par  . Évalué à -3.

    Tu chopes le mot de passe de l'admin réseau (ça devrait pas être trop dur), et puis tu vire toutes les restrictions sur les proxy.
    T'auras 10Mb/s, tu économiseras 30E/mois, et ça tombera probablement moins souvent en rade.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.