Journal VPN : besoins d'avis, conseils

Posté par  (site web personnel) .
Étiquettes : aucune
0
10
mar.
2004
Salut journal,

J'ai besoin de monter un VPN entre 2 réseaux constitués de machines Windows et Linux. Ces 2 réseaux sont déjà protégés par 2 firewalls sous Linux. Un de ces réseaux dispose d'une DMZ où se trouve un serveur Windows 2000 hébergeant une application métier et Oracle.

Je souhaite que les machines des 2 réseaux locaux se voient directement comme si il s'agissait d'un seul réseau et je souhaite que la DMZ ne soit accessible qu'aux machines du VPN. Par ailleurs, l'ensemble des machines doit avoir accès à Internet (http et ftp uniquement).

Ce VPN pourra évoluer dans un second temps pour une inter-connexion avec d'autres réseaux de l'entreprise. Il n'y aura pas par contre d'utilisateur itinérant (commerciaux avec portables par exemple).

Ma question : quelle solution utiliser, quelle distribution me conseillez vous, quel matériel ?

Je préférerai que l'architecture du VPN repose sur Linux si possible, sinon du matériel dédié type CISCO.

Merci journal :)
  • # Re: VPN : besoins d'avis, conseils

    Posté par  (Mastodon) . Évalué à 1.

    Niveau matériel, j'ai deja vu du cisco pix vpn, interconnecté sur des clients windows avec un soft proprio.
    Mais pour deux réseau, du pix a pix semble etre la meilleur solution.

    Niveau soft, il y a freeswan sous GNU/linux, pareil je sais qu'entre deux Freeswan monté sur 2 parrefeux ca dialogue bien, maitenant si tu diversifie les protocols de communication ca devient plus difficile.
    • [^] # Re: VPN : besoins d'avis, conseils

      Posté par  . Évalué à 3.

      pix c'est pas terrible, faut oser le dire.

      Avec freeswan de linux aucuns problèmes...
      • [^] # Re: VPN : besoins d'avis, conseils

        Posté par  . Évalué à 1.

        pix c'est pas terrible, faut oser le dire.

        Hem. Un argument au moins ? parce qu'a priori, je ne trouve pas ça (faire un VPN de pix à pix) particulièrement difficile, ni peu sûr. Si cela peut être intégré à du matériel réseau, c'est pas plus mal.

        Si ? Non ?
        • [^] # Re: VPN : besoins d'avis, conseils

          Posté par  . Évalué à 3.

          alors croire qu'un VPN en mode PSK est sécurisé, c'est un peu utopique. La meilleure sécurité est un chiffrement fort et des certificats X509.

          De plus, le PIX est un exemple de l'illogisme réseau : qu'est elle cette notion de NAT same address (pour pouvoir faire transiter un paquet d'une interface à une autre (en interne), il faut nater le paquet avec la même adresse).

          De plus, le mélange de l'interface IPsec avec les autres interfaces ne permet pas une gestion simple des VPNs. L'interface IPsec (virtuelle) doit apparaître (comme sous Linux) comme une interface supplémentaire sur laquelle on applique des règles de filtrage spécifiques.

          Voila mes arguments.... J'utilise des pix tous les jours, et à chaque manipulation je me demande pourquoi ils ont trifouillé le truc de cette manière....

          Matthieu
  • # Re: VPN : besoins d'avis, conseils

    Posté par  . Évalué à 4.

    Tu peux regarder du côté de OpenVPN ( http://openvpn.sourceforge.net/(...) ) ; depuis la version 1.5, il marche aussi sous Windows, si besoin est (jamais essayé). Le chiffrement se fait avec OpenSSL et la communication à travers les drivers TUN/TAP (sous Linux, ne pas oublier un "modprobe tun" avant de lancer le démon).

    Le tout est encapsulé sur UDP, ce qui est très simple à gérer au niveau des pare-feu (il suffit d'ouvrir un port UDP de chaque côté, pour la communication entre les 2 démons OpenVPN).

    Je l'ai déjà utilisé avec succès pour relier 2 réseaux IP distants (interface tunX), mais aussi pour créer un réseau Ethernet (interface tapX, cf http://openvpn.sourceforge.net/bridge.html(...) ). On peut ensuite faire passer n'importe quoi au dessus (attention, comme j'utilisais 2 connexions ADSL en PPPoE, il y avait quelques problèmes de MTU, que je devais mettre à 1300/1350 pour les machines qui devaient communiquer à travers).

    L'intérêt d'une telle solution est la simplicité à mettre en oeuvre (aucun besoin de matériel dédié/spécifique, multi-plateforme, basé sur UDP -donc facile à gérer au niveau des pare-feu), surtout quand il n'y a pas de postes itinérants.
    • [^] # Re: VPN : besoins d'avis, conseils

      Posté par  (site web personnel) . Évalué à 2.

      Effectivement, je vais voir ce que vaut OpenVPN. Peut tu préciser les problèmes de MTU STP, car je vais justement utiliser 2 connexions ADSL en PPPoE.

      Merci
      • [^] # Re: VPN : besoins d'avis, conseils

        Posté par  . Évalué à 1.

        Peut tu préciser les problèmes de MTU STP, car je vais justement utiliser 2 connexions ADSL en PPPoE.

        Dans le cas des 2 réseaux IP interconnectés, je n'avais pas de problèmes (c'est ce que j'utilisais entre 2 sites au boulot) ; il suffisait d'adapter le MTU avec l'option --link-mtu (cf. le man, ici en français : http://lehmann.free.fr/openvpn/OpenVPNMan/(...) ).
        J'avais uniquement le problème dans le cas du pont Ethernet : j'avais beau modifier les paramètres d'OpenVPN, il y avait toujours le gel des communications entre 2 machines de part et d'autre du VPN si le MTU de ces machines était réglé sur 1500 (Ethernet par défaut ; en descendant à 1300, ça allait mieux). Mais bon, le pont entre 2 points distants n'est pas très utile, je l'ai utilisé uniquement pour pouvoir jouer à Warcraft 3 ;)
    • [^] # Re: VPN : besoins d'avis, conseils

      Posté par  . Évalué à 1.

      +1 OpenVPN
    • [^] # Re: VPN : besoins d'avis, conseils

      Posté par  . Évalué à 1.

      Au fait, il y a un article sur la mise en place d'un VPN avec OpenVPN dans le Linux Mag n°40 (juin 2002). Ça date un peu, mais le principe reste le même (attention, entre la version 1.1 utilisée dans cet article et la version 1.5 actuelle, le nom de certaines options a changé).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.