Journal DynVPN passe en v0.5

Posté par . Licence CC by-sa
3
28
avr.
2014

Bonjour, simplement pour vous annoncer que le système www.DynVPN.com est passé en version 0.5
Vieux journal: http://linuxfr.org/users/nib/journaux/dynvpn-beta

Nous sommes en bêta et content d'avoir des retours sur votre utilisation (bonne ou mauvaise).

Nouveautés:
- refonte de l'interface utilisateur (GUI)
- le p2p entre les noeuds
- et plusieurs bugs fix côté serveur

  • # Freelan

    Posté par (page perso) . Évalué à 3.

    Les + et les - entre les deux ?

    • [^] # Re: Freelan

      Posté par . Évalué à -2.

      Faudrait que quelqu'un essait les deux pour en faire la liste !

      • [^] # Re: Freelan

        Posté par (page perso) . Évalué à 5.

        J'ai testé les 2. Alors les paquets de freelan ne s'installent pas sur mes ubuntu LTS 12.04 ET 14.04, il y a des deps non résolues. C'est sans doute contournable en compilant les sources mais j'ai eu aussi des problèmes.
        Pour dynvpn j'ai pu discuter longuement sur irc avec le dev qui est francophone et qui m'a facilement aidé pour générer un paquet deb pour ma ubuntu LTS 12.04, paquet maintenant disponible sur son site.
        L'installation est très simple et la configuration encore plus car il suffit de générer un node sur l'interface web pour que les clients dnc s'enregistrent et se provisionnent. Le code est ici https://github.com/nicboul/DNDS donc licence GPLv3 et AGPLv3, seul l'interface web n'est pas disponible.

        J'avais testé freelan en prod sur des VM amazon, cela fonctionnait correctement, la configuration est cependant plus complexe car il faut générer des certificats, les déployer sur chaque noeud puis les configurer. Dynvpn est de loin plus simple pour quelqu'un qui ne veut pas se prendre la tête, il y aura cependant à terme une limitation dans le nombre de noeuds gratuit, un business model étant derrière ce projet ce qui pour ma part me rassure sur la pérénité.
        Cependant pour quelqu'un souhaitant etre totalement indépendant et ayant l'envie de mettre les mains dans les configs freelan sera sans doute plus adapté.

  • # Licence, code, sécurité ?

    Posté par (page perso) . Évalué à 4.

    C'est moi où il n'y aucune mention de la licence sur le site ? D'après le précédent journal, c'est du GPL. Pas de lien vers les sources non plus (ok, j'ai trouvé la référence sur l'ancien journal, mais je doute que ça soit ça le sens de la GPL).

    Au niveau techno, le site n'indique rien de très technique. Quelle implémentation de TLS? Vous dites que vous êtes "NAT and firewall" friendly, comment vous faites ? L'information passe par des serveurs tiers accessibles ? Ils tiennent la charge ? Et niveau sécurité ? Quelle confiance peut on leur accorder ?

  • # n2n?

    Posté par . Évalué à 2.

    C'est moi, ou ça fait vraiment penser à du n2n avec une interface web en bonus par dessus?

  • # Pas pu essayer, mais

    Posté par . Évalué à 1.

    Je n'ai pas eu le temps d'essayer concrètement, mais ça a l'air de "juste marcher"®.
    La mise en place est très simple, et c'est ce genre de choses qu'il manque dans le libre (contrairement à n2n qui est relativement difficile à mettre en place pour un non initié, en particulier sous windows).

    Juste plusieurs remarques :
    * Je n'ai pas compris tout de suite qu'il fallait un compte pour que ça marche, c'est peut-être de ma faute.
    * J'avais l'impression que l'on pouvait générer une "provisioning key" et la partager ensuite avec ses contacts mais en fait c'est le serveur qui les génère; est-ce que c'est nécessaire ?
    * Comme dit plus haut, il manque des détails techniques. En particulier on ne voit pas le rôle du serveur (qui je suppose joue le rôle de tracker, mais on ne le voit même pas sur les schémas), et on ne comprend pas à quoi servent ces clés. Comment sont échangées les clés de chiffrement ? Est-ce qu'elles sont dérivées des provisioning keys ? Est-ce que le serveur peut déchiffrer le trafic (même s'il ne passe pas par lui) ? Je suis prêt à payer pour ce genre de service, même si c'est sur un serveur tiers, mais je ne veut pas à avoir à lui faire confiance.
    * Il faudrait des traductions dans plusieurs langues, au moins en français, surtout si vous comptez augmenter votre base d'utilisateurs.
    * Est-ce qu'on peut avoir une idée des tarifs ou est-ce que ce sera à prix libre® ?

    En tout cas bon courage pour la suite !

    • [^] # Re: Pas pu essayer, mais

      Posté par (page perso) . Évalué à 4.

      De ce que je peux dire de mon usage la provisioning key permet au client dnc de s'authentifier auprès du serveur du projet, puis de récupérer son ip et les certificats automatiquement :

      ~/.dynvpn$ ls -lh
      total 16K
      -rw------- 1 fred fred 1,2K avril 28 17:13 certificate.pem
      -rw-rw-r-- 1 fred fred 0 avril 28 17:10 dynvpn.conf
      -rw-r--r-- 1 fred fred 10 avril 28 17:13 dynvpn.ip
      -rw------- 1 fred fred 1,7K avril 28 17:13 privatekey.pem
      -rw------- 1 fred fred 1,2K avril 28 17:13 trusted_cert.pem

      Tu n'as pas à partager ta provisioning key, si tu veux qu'un contact puisse accéder à ton réseau virtuel tu dois ajouter un node dans ton réseau virtuel puis lui fourni la clé. A terme il semble que l'on pourra créer des groupes partagés entre différents utilisateurs, mais le dev pourra en dire plus.
      Concernant le P2P si les nodes n'arrivent à communiquer entre eux directement le trafic passera par le serveur du service, tout en étant chiffré bien entendu.

      • [^] # Re: Pas pu essayer, mais

        Posté par . Évalué à 1.

        En gros il joue le rôle d'autorité de certification ?
        Mais dans ce cas il a tout ce qu'il faut pour se faire passer pour ton correspondant, non ?
        Bon, il y a peut-être un mécanisme qui protège contre ça, mais il faut faire attention quand on dit "tout est chiffré", il faut surtout savoir pour qui.

        • [^] # Re: Pas pu essayer, mais

          Posté par (page perso) . Évalué à 2.

          En effet si son serveur se fait hacker l'attaquant pourrait usurper l'identité d'un node, mais c'est le prix du risque en échange de la simplicité. L'auteur souhaitant créer une entreprise j'espère qu'il a mis en oeuvre des contre mesures adequat. Pour ma part je privilégie pour l'instant la simplicité et je ne pense pas qu'il y ait plus de risque que d'autres services VPN totalement proprio.

          • [^] # Re: Pas pu essayer, mais

            Posté par . Évalué à 2.

            Pas forcément hackéw piraté. Il faut avoir confiance dans le serveur, et même si ce sont des gens biens, on a déjà vu des agences gouvernementales faire pression sur ce genre de services.
            Ça fait trois morceaux de confiance à donner, c'est déjà beaucoup.

            À part ça, il faudrait mettre libcap2-bin comme paquet recommandé ou suggéré (pour ne pas avoir besoin des droits root) et trouver un moyen pour ne pas avoir à réinstaller dynvpn si on n'avait pas installé avant.

            • [^] # Re: Pas pu essayer, mais

              Posté par . Évalué à 2.

              Oui, le paquet va avoir en dépendance libcap2-bin, afin de déscendre automatiquement l'outil setcap. C'est quelque chose que nous avons oublié de faire, merci pour le rappel :)

          • [^] # Re: Pas pu essayer, mais

            Posté par . Évalué à 2.

            Du coup il faudrait peut-être ajouter un moyen de vérifier les certificats des autres participants, et aussi de voir les autres participants pour voir qui est connecté ou non et à quelle ip (en utilisant les noms donné via l'interface web).

            • [^] # Re: Pas pu essayer, mais

              Posté par . Évalué à 2.

              Il y a un feature qui va arriver éventuellement qui se nomme "les présences" et qui va permettre de voir via la page web et le client: le status des nodes de ton réseaux et qui est en p2p avec qui (histoire de s'assurer que le p2p a bien fonctionné).

              Cela va donner une bonne vue d'ensemble sur ce qui se passe sur son propre réseau.

              Merci

          • [^] # Re: Pas pu essayer, mais

            Posté par . Évalué à 2.

            Bonjour,

            le mécanisme n'est pas présent aujourd'hui, mais tu vas pouvoir révoquer une node dans le cas où quelqu'un volerait ton ordinateur, ce qui va rendre invalide son certificat et donc il ne pourra pas se connecter.

  • # on vous lis

    Posté par . Évalué à 2.

    Salut à tous,

    Merci pour vos commentaires et vos questions, cela va nous permettre de s'améliorer !

    C'est vrai que le site est plutôt laconique pour le moment, et que la suite logique du comment le tout fonctionne n'est pas très clair !

    Il y a des questions qui ont été soulevées par beaucoup d'entre vous, et nous allons faire en sorte que le site internet y répondent directement. C'est évident qu'un système qui dit encrypter l'information et qui n'explique pas derrière ce qui se passe, ça ne met pas les gens en confiance. Nous allons ajouter l'information technique et non technique.

    Pour répondre à la question de la license, le client est sous GPLv3 et la partie disponible côté serveur est sous AGPLv3

    Bonne journée :-)

  • # Ça manque d'explications

    Posté par (page perso) . Évalué à 2.

    … mais en fouillant sur le site j'ai réussi à me faire une idée de ce que c'est. Ceci dit c'est dommage.

    Si je comprends bien, c'est un nœud pour établir des VPN entre différentes machines, sans devoir avoir une machine dédiée accessible publiquement. Je ne savais pas que ce genre de chose existait, mais c'est une bonne idée.

    Par contre, pourquoi faut-il absolument utiliser le client maison ? Une solution déjà existante n'aurait-elle pas suffit (openVPN, ou n2n déjà cité) ?

    Il existe deux catégories de gens : ceux qui divisent les gens en deux catégories et les autres.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.