Forum général.général VPN over SSH

Posté par  .
Étiquettes : aucune
1
4
mar.
2010

Cher Forum,


Je cherche à mettre en place un VPN sur SSH pour l’architecture suivante :




                ---------  ------------------------|


  /\/\/\/\/\    | DMZ   |  | LAN1  || LAN2         |


 <          >   |       |  |  SSH  ||              |


 < Internet > --|-->PN0

 <          >   |       |  |       ||   |   |   |  |


  \/\/\/\/\/    |       |  |       ||   N1  N2 ... |


                ---------  ------------------------|

Les connexions à la machine passerelle N0 ne peuvent se faire que par SSH et doivent permettre un accès aux machines Nn avec la contrainte qu’un même utilisateur puisse ouvrir plusieurs connexions, on ne peut donc lui attribuer une interface ou une adresse connue d’avance.
J’ai expérimenté deux solutions, mais aucune n’a aboutie.


La première est d’utiliser la possibilité de tunneling de niveau 3 offerte par ssh (option –w et interface tun), mais celle-ci pose les problèmes suivants :

  • impossibilité de récupérer le numéro de l’interface distante (côté serveur) lorsque celle-ci n’est pas spécifiée (-w 0 :) afin de la configurer

  • pas de possibilité de déterminer une adresse unique en locale (côté client)


    • La deuxième est d’utiliser ppp sur ssh (utilitaire pppd, voir [http://www.faqs.org/docs/Linux-mini/ppp-ssh.html]), mais je n’ai pas réussi à paramétrer pppd afin qu’il fournisse une adresse local unique (côté client) en fonction par exemple de l’interface ppp utilisée.


    Est-ce que quelqu’un aurait déjà mise en place une telle solution et pourrais me fournir une piste.


    Merci d'avance

    • # Mais encore ???

      Posté par  (site web personnel) . Évalué à 2.

      Bonjour,

      Tu cherches à faire quoi exactement ?

      Permettre à des utilisateurs nomades d'accéder au réseau N ?
      Si c'est pour ce genre d'utilisation, alors 'openvpn' fera l'affaire ...
      Mais même avec ton schéma et tes explications, je ne comprend pas exactement ton besoin.

      Les connexions à la machine passerelle N0 ne peuvent se faire que par SSH et doivent permettre un accès aux machines Nn avec la contrainte qu’un même utilisateur puisse ouvrir plusieurs connexions
      Peux tu en dire un peu plus ?

      Cordialement.

    • # ppp sur ssh

      Posté par  (site web personnel) . Évalué à 1.

      Salut,

      J'ai une solution de vpn sur ssh avec ppp qui tourne actuellement. La machine serveur est en fait un routeur qui tourne sous openwrt.

      Si j'ai bien compris ton problème, c'est que le script vpn-pppssh ne permet que de créer un tunnel point à point avec toujours les même adresses IP ce qui au final ne permet de connecter qu'une seule machine en même temps. Est-ce que c'est ça ?

      Je me suis pas trop penché sur ta question mais juste par curiosité, je ne sais pas si c'est possible mais est-ce qu'il serait envisageable de faire tourner un serveur vpn (openvpn par exemple) et pour que les clients puissent se connecter, simplement utiliser ssh -L pour ouvrir les ports (avec pourquoi pas une règle iptables pour rendre le truc transparent pour des clients vpn classiques).

    • # VPN over SSH

      Posté par  . Évalué à 1.

      Merci de vos réponses,

      Je ne peux pas installer un OpenVPN (ou autre) car je ne peux accéder à la machine N0 que par rebond ssh sur la machine P que je ne peux modifier. De plus la plupart du temps cette connexion ssh simple (sans VPN) suffit, mais dans quelques rares cas il faut pouvoir accéder à une ou plusieurs machines situées derrières N0.

      Il est vrai que l’on peut faire du OpenVPN sur du SSH mais cette empilage de couche ne me semble pas aller dans le bon sens.

      Maxime : pour la solution ppp sur ssh, il ne me manque que l’attribution dynamique d’une adresse IP au client.

    Suivre le flux des commentaires

    Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.