Quelle(s) alternative(s) à OpenVPN préférez-vous?
Est-ce compatible (client) avec les OS actuels (GNU/Linux, Android, Wincaca, etc) et ce autant sur x64 que sur ARM ?
Est-ce multi-thread ?
Quels sont les débits maximales (que vous avez vu, osef du théorique) ?
Est-ce limité (par exemple L2TP qui semble limité à un client par IP Wan) ?
Est-ce que ça a été audité ?
Est-ce implémenté dans des routeurs (exemple OpenWRT) ?
# faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 3.
ipsec est pas mal aussi, dispo sur les NAS ou la freebox
ipsec : oui, meme si j'ai pas testé sur le smartphone
pourquoi faire ? parce que c'est mode ?
ca depend de tellement de chose (debit de ton point de depart, de ton serveur vpn, de ta destination, de ce que tu feras streamvideo, ftp, ou juste web)
exemple mon PC en wifi (150Mbps) qui est derriere mon telephone en 4G (150/150Mbps) qui monte un VPN avec la maison qui est en fibre (100/5Mbps) pour se connecter à netflix….
ben j'aurais finalement que 100Mbps pour lire la video (les 100mbps de la fibre)
mais pour faire du FTP "sortant" par la fibre, je n'aurais que 5mbps meme si je suis en 4G
lire les documentations des VPNS
on peut imaginer que oui si c'est
cf le mode d'emploi OpenWRT
bref de mon coté j'aurais une seule question,
es-tu allé lire des trucs de base ? comme :
- la doc openwrt
- les infos sur les differents modes de vpn (https://fr.wikipedia.org/wiki/Réseau_privé_virtuel)
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 0. Dernière modification le 31 octobre 2017 à 15:27.
Ils donnent trop peu d'informations (genre softether n'indique pas s'il est multithread, ne met pas en évidence qu'ils ne sont jamais sorti de la version beta, qu'il n'y a aucun package dans les distro, etc).
De plus passer son temps a lire les docs de toutes les alternatives à chaque fois que l'on souhaite utiliser un type de logiciel nécessiterait plus d'une vie humaine :P
Un bon retour d'utilisation vaut toute la doc du monde.
Suffit de connecter deux clients avec mémoire SSD/Flash et le VPN au même switch gigabit et de lancer un gros upload entre les deux client puis d'observer le débit max.
Avec OpenVPN c'est tellement bas que c'est pitoyable.
Parce que se qui limite OpenVPN, c'est le mono-processus qui pourris complètement la bande passante voir casse les tunnels entre les autres clients quand un consomme tout le cœur du CPU (pendant que les autres cœurs glandent).
J'ai de très sérieux doute sur le fait que ne serait-ce que la moitié des logiciels de VPN ont été audité :P (en tout cas, aucun ne semble le mettre en avant)
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 2. Dernière modification le 31 octobre 2017 à 17:29.
sauf que cela ne represente en rien la realité, faire un VPN entre deux machines qui sont sur le meme reseau gigabit ne vaut rien.
par contre je fais du VPN avec la maison ou le bureau (equipé en fibre), je suis derriere ma box ADSL à la campagne,
et je n'ai pas de probleme de debit pour recuperer mes fichiers qui sont sur la NAS à la maison.
Debit ADSL : 20Mbps
Debit FTP over OpenVPN : 2MiB/s sur un fichier de 5Go
je te laisse faire les conversions
evidemment avec openvpn, il faut jouer des options tcp/udp, compression ou non, ainsi que du niveau de chiffrement
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 1. Dernière modification le 31 octobre 2017 à 17:43.
Ça, c'est ton point de vue.
Perso j'estime que le réseau LAN (même en entreprise) n'est pas digne de confiance.
De plus le VPN offre de la souplesse (IP fixe et accessible que la machine soit mobile ou statique, sur le même LAN ou pas, et ce sans être visible sur le grand nain ternet).
Le miens tourne à 13Mo/s et je trouve ça beaucoup, beaucoup, beaucoup trop lent. (Je veux dépasser les 100Mo/s).
Ça ne change rien, le processus monte à 100% (voir plus) alors que les autres cœurs du processeur glandent complet. (c'est trop "géniale" de voir 1 cœur bosser à +100% tandis que les 7 autres cœurs sont à 0,1%)
Et quand le processus arrive à 100%, toutes les liaisons vers les clients (connecté à ce processus) se mettent à lagger voir deviennent inaccessible. (je le vois très bien dans mes stats HaProxy chaque fois que j'upload un fichier vers un des vhost)
C'est un problème connu d'OpenVPN que les devs ne semblent pas capable de corriger.
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 3. Dernière modification le 31 octobre 2017 à 17:58.
donc tu fais du VPN entre ton PC qui a une IP DHCP sur le LAN de l'entreprise,
et un serveur VPN de l'entreprise pour acceder au LAN de l'entreprise,
et toutes les machines de l'entreprise font pareil ou c'est juste toi pour te rajouter des emmerdes ?
parce que si ce n'est que toi, tu sais que le flux entre ton serveur VPN et la destination de ta demande (serveur email, serveur de fichier, serveur intranet) sera de toute facon en clair, ou au mieux en https ? donc exactement pareil que si tu n'avais pas le VPN.
et pour l'IP fixe, au sein de l'entreprise, tu peux figer les adresses d'un DHCP, cela s'appelle une reservation d'IP, cela se base sur l'adresse MAC.
alors evidemment si tu changes de machines tous les jours, il faut refaire cette reservation, ou avoir 5 reservations et donc 5 IPs pour chacune de tes machines… mais en meme temps avec le VPN il te faut 5 config VPN et 5 IPs aussi, ou alors tu ne connectes jamais les 5 machines en meme temps, etc
bref, y en a qui semble avoir compris à quoi sert un VPN (acronyme de Virtual Private Network : Reseau Privé Virtuel)
ca sert à se connecter d'un reseau public à un reseau privé dans le sens "de l'exterieur de l'entreprise/maison à l'interieur" pour acceder au ressource interne quand on est à l 'exterieur
et qui aime bien couper les cheveux en 4,
ca me rappelle un autre mec sur ce forum qui voulait faire, en local sur son LAN, des VPNs entre ses serveurs, pour ensuite faire du cluster de disque genre glusterfs ou drbd au travers du vpn local, le tout sur des raspberry donc debit USB reseau et USB disque vite limité, sans compter l'overhead du vpn
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 1. Dernière modification le 31 octobre 2017 à 18:08.
Je ne suis pas en entreprise. Je ne suis pas un professionnel de l'informatique, je n'ai et n'aurai définitivement pas le même cahier des charges.
Le but n'est pas d'accéder au LAN (pour quoi faire?) vérolé par la Box, mais de faire communiquer entre elles des machines, peu importe leur situation géographique ou que le logiciel qu'elles utilisent utilise de la crypto ou non.
Et en prime, cadeau bonus, ça permet de n'exposer aucune machine ni sur le LAN (port fermé), ni sur le WAN.
Les destinations restent à l'intérieur des VPN ;)
Pas que en entreprise, n'importe quel routeur bas de gamme peu faire ça. (j'ai eu des cours réseau même si j'aime bien faire croire que non :D )
J'ai testé et ça fonctionne sans soucis (par contre limité à moins de 15Mo/s). Ça évite les bugs lié à TLS avec glusterfs mais faut apprécier cette lenteur.
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 2.
hmm, ta machine doit quand meme acceder au moins à ta passerelle puis à celle de l'operateur, etc jusqu'a ton serveur VPN,
donc en dehors du VPN pour y faire passer les requetes pour joindre ton serveur VPN, puis pour maintenir la liaison.
ce n'est qu'ensuite, une fois le flux monter que les autres communications passent DANS le VPN
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 1.
Je ne comprends pas trop se que tu veux dire.
Entre le client et le frontend oui c'est de la liaison normale. (exemple http/https)
Par contre entre les clients du VPN (par exemple du frontend vers un serveur web), les communications sont chiffrées par le VPN.
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 2.
elles sont :
- chiffrées entre le point du tunnel sur la machine frontend et le point de tunnel du serveur VPN
- dechiffrées sur le serveur VPN
- rechiffrées pour repartir dans l'autre tunnel VPN entre le serveur vpn et le serveur web
ce qui peut expliqué la charge CPU sur le serveur VPN dans le cas d'une communication interclient.
un flux https au travers d'un routeur serait uniquement chiffré entre le frontend et le serveur web, sans dechiffrage/rechiffrage sur la passerelle
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 1. Dernière modification le 31 octobre 2017 à 20:04.
Ce qui explique que j'ai préféré prendre une machine doté de 8 coeurs plus tôt qu'un vulgaire routeurs VPN avec un proco cadencé a 200-300Mhz comme il en pleut sur amazon :P
D'où ma déception envers OpenVPN (qui semble super utilisé) qui n'est toujours pas capable d'utiliser les capacités d'un CPU en 2017.
D'où mon envie de chercher une alternative sans, encore, perdre un nombre trop élevé d'heures de ma courte vie d'humain. :D
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 2.
essaie le vpn basé sur IPSEC
via openswan, strongswan, etc
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 1.
Si tu as un retour d'expérience je suis preneur :)
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par NeoX . Évalué à 2.
c'est ce que j'installes pour des tunnels reseau à reseau chez mes clients.
par contre cela demande de connaitre :
l'IP publique de chaque partie
mais aussi les IPs internes qui seront dispos de chaque coté
si ca ne matche pas entre les deux extremités du tunnel, le tunnel ne monte carrement pas
avantage, c'est tres pratique quand tu veux que dans le VPN ne passe que les flux depuis/vers ton serveur web,
ben tu declares que lui dans les ressources de ton VPN
j'imagine que pour un tunnel "any -> chez toi" il doit y avoir un reglage special
[^] # Re: faire une recherche sur le web, lire des documentations
Posté par TutoMaker . Évalué à 1.
Merci je suis en train de jeter un œil (sur libreswan) mais les infos ont l'air difficile à récupérer.
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Commentaire supprimé
Posté par elkhabbaz . Évalué à 1. Dernière modification le 03 avril 2021 à 22:26.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Serveur VPN libre moderne
Posté par TutoMaker . Évalué à 1.
Ah? Au plaisir de faire un heureux ^ ^
Je ferai un article retour d'expérience quant à OpenVPN d'ici peu :)
Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.