Bonjour.
Je viens de découvrir ce site, et à la vue de la tâche qui m'incombe, je sens que je vais y passer un bon moment ces 10 prochains mois.
Je m'explique : je suis en 2nde année de BTS Informatique de Gestion option Administrateur de Réseau Locaux d'Entreprise, et, ce matin à 8h, on m'a charger ainsi que l'un de mes collègue, de monter un VPN entre 2 sites distants. Même si l'offre est alléchante, elle n'en reste pas moins une entrée en matière dans le monde Linux assez.... brutale.
Voilà ma question : quelle distribution, outils et docs dois-je utiliser ?
J'aurais pu poser cette question dans le forum "débutant", mais j'imagine que les professionnels de Linux ne vont y faire un tour qu'une fois par an, a Noël, pour se donner bonne conscience en contentant les "débutants" (même si j'en suis un mais bon en tant que futur professionnel (enfin j'éspère), on peut bien s'entraider :))
Donc voilà. Je n'attend pas que l'on me fasse mon projet (ou est l'interet ?) mais juste un éclairage sur la distribution à choisir et le logiciel. D'aprés ce que j'ai vu (je me suis renseigné sur le net, ça aussi ça fait parti du travail), Debian Woody et OpenVPN semble un bon choix. Mais c'est quoi Woody ? Debian je connais mais woody... Ou puis-je télécharger Debian Woody et OpenVPN ? Ou trouver une bonne documentation ?
Ah oui j'oubliais l'architecture du VPN :
[Réseau Local Windows] -- [Switch] -- [Serveur Linux VPN] -- [Passerelle] ~~ [Internet] ~~ [Serveur Linux VPN] -- [Switch] -- [Réseau Local Windows]
Mais en réalité ce sera :
[Réseau Local Windows] -- [Switch] -- [Serveur Linux VPN] -- [Cable croisé] -- [Switch] -- [Réseau Local Windows]
Voilà donc j'attend votre aide avec impatience :)
Merci de votre attention.
# Conseils:
Posté par LaBienPensanceMaTuer . Évalué à 1.
OpenSwan (http://www.openswan.org/(...)).
Les points à maitriser:
1/ Patch kernel
2/ Compil' kernel
3/ Le principe des VPN
Sinon, avec les 2.6 est arrivé une implémentation de l'IPSEC dans le kernel. La mise en place de tunnel VPN s'en voit grandement facilité (mais on utilise à priori plus openswan mais les outils Kame). Je te conseille de cette solution qui me semble plus accessible pour un débutant. De plus il me semble qu'il y a un article dans le MISC de ce mois ci.
Dernier conseil, ton premier schema d'archi risque de poser des problèmes. En effet, si la passerelle derrière laquelle ton serveur VPN se trouve fait du NAT, alors un simple VPN ne fonctionnera pas. Il te faudra mettre en oeuvre du nat traversal.
Je n'ai aucune idée de la mise en oeuvre du natt en 2.6, mais je me souviens que celle ci necessite l'application d'un second patch et une conf un poil plus tordu sur le couple 2.4 + OpenSwan.
Pour faciliter le truc, Serveur VPN en frontal serait l'idéal.
La woody est la dernière distribution "stable" de chez Debian (3.0) sous peu devrait sortir la sarge.
Je ne sais pas si OpenVPN est présent dans la liste des paquets debian. J'ai pour ma part packagés OpenSwan pour la stable, tu le trouveras à l'adresse:
http://yanluo.net/~binarym/(...)
Ce paquet ne contient que les utilitaires userland, il te faudra donc patcher ton kernel à coté. De plus, ce paquet à été fait à la va vite et est loin d'être parfait.
Donc pour moi, le couple Debian Woody + OpenSwan (compilé à la main ou packagé) me semble être la meilleure solution.
Pour ce qui est de l'installation de paquets sous Debian, il existe de nombreuses docs un peu partout. Pour ce qui est de la compilation de programme, idem.
# Projet VPN Linux
Posté par moudj . Évalué à 2.
plein d'infos là : http://www.ixus.net(...)
> Mais c'est quoi Woody ? Debian je connais mais woody...
C'est une version de Debian.
Si tu connais Debian, tu connais leur site donc tout est marqué là :
http://www.debian.org/releases/(...)
Mais elle a trois ans.
Prend plutôt la Sarge si tu penches pour Debian.
http://ftp.acc.umu.se/pub/cd-images/debian-weekly/i386/(...)
[^] # Re: Projet VPN Linux
Posté par earxtacy . Évalué à 1.
http://openvpn.sourceforge.net(...)
tu n'as pas a patcher pour te soucier de traverser du NAT comme avec ipsec.
[^] # Re: Projet VPN Linux
Posté par LaBienPensanceMaTuer . Évalué à 1.
"OpenVPN is not compatible with IPSec, IKE, or dedicated hardware VPNs."
Si par dedicated hardware VPN ils font allusion a Cisco et consors, je ne saurait que vivement te conseiller d'utiliser OpenSwan qui lui est vraiment très interopérable.
Ok, pour le moment il ne s'agit qu'un VPN Linux <-> Linux, mais je pense que quitte à se prendre la tête sur un soft, autant que cela soit le plus polyvalent. Tout réapprendre lorsque ton patron te dira "Fais moi un VPN entre Cisco et Linux" me semble dommage.
Après, je ne connais pas OpenVPN, donc je ne peux pas argumenter plus sur mon choix.
# Dernière question ^^
Posté par Leusha . Évalué à 1.
Par contre la dernière version stable de Debian c'est la 3.0 nan ?
Est ce que la dernière version de OpenSwan est compatible avec ?
# Heu...
Posté par Leusha . Évalué à 1.
Elle est compatible avec OpenSwan ?
La je vais devoir telecharger une distrib et je crois que la sarge n'est pas en version finale alors je ne sais pas si je prend la woody (3.0) ou la sarge.
[^] # Re: Heu...
Posté par moudj . Évalué à 2.
c'est moi :-)
> Elle est compatible avec OpenSwan ?
jamais testé, aucune idée.
> La je vais devoir telecharger une distrib et je crois que la sarge n'est pas en version finale alors je ne sais pas si je prend la woody (3.0) ou la sarge.
La Sarge est à deux doigts de passer en stable.
elle est stable.
# vtun ?
Posté par Mathieu Bouju . Évalué à 1.
rapide à mettre en oeuvre, simple, plutôt utilisé...
# Ouki merci :)
Posté par Leusha . Évalué à 1.
Je ne pensais pas que mon thread aurait autant de succés... J'me suis dit que parler sur le forum général comme un débutant me vaudrais au mieux un kick et au pire une lapidation en public à coup de cd-rom d'installation de windows millenium :)
Franchement vous êtes super (je dis ça parceque je sens que je vais devoir squatter ce forum pendant un bon moment :)).
ma décision est prise : Debian 3.0-r2 (Woody) et OpenSwan.
En effet j'ai lu que la Sarge n'était pas encore stable (théoriquement elle l'est surement mais même un débutant comme moi sait qu'une version n'est stable que lorsque c'est officiellement annoncé, et jusqu'à présent je n'ai vu aucun site officiel l'annoncer donc...).
Quand je vois que cette décision a necessité 6h de recherche, je me dis que sans votre aide ça m'aurait pris quelque mois... ^^
Pour Vtun, je préfère pas. Le but de ce projet est de nous former au VPN sous Linux. Au fur et a mesure de mes recherches, j'ai appris que FreeS/Wan était arrété en version finale et corrigé (reste un patch encore à faire), et que le projet OpenSwan n'était rien d'autre que le successeur de FreeS/Wan, qui n'est autre que la référence en entreprise d'aprés ce que j'ai compris (Compatible avec une majorité de hardware dont Cisco et comme des collegues à moi bossent actuellement sur Cisco Works, je me dis que ça doit etre un point clé en entreprise ; et surtout le fameux IPSEC, indispensable parait il :)). En définitive, à la fin de ce projet, j'irai dans une entreprise pour concevoir un VPN, voilà pourquoi je voulais le produit le plus performant et le plus utilisé, et je pense que OpenSwan est en passe de le devenir.
Et là comme j'ai encore la flemme de faire précédent, je remercie chaleureusement celui qui a dit qu'il avait lu sur le site officiel que OpenVPN n'était pas compatible avec tous les hardwares. Effectivement il n'est même pas compatible avec Cisco (et Fluke je crois), ce qui franchement, est bien dommage, surtout quand on sait que Cisco est LA référence en matière de routage etc... (et fluke aussi car des camarades de classes bossent actuellement sur un analyseur réseau genre usine à gaz (et oui on fait plein de truc en ce moment ndlr), et apparemment Fluke est aussi une référence en la matière).
En gros ça manque de compatibilité tout ça.
Enfin bon voilà, Debian + OpenSwan me parait être un bon investissement pour ceux qui recherchent la sécurité, l'adaptabilité, la compatibilité et surtout qui n'ont pas froid aux yeux (va falloir configurer tout ça maintenant) :))
Bon la j'ai plus de doigts, alors je vais vous laisser.
Encore merci de tout coeur.
Je vais vraiment me coucher moins con moi ce soir, et c'est pas tous les soirs comme ça croyiez moi.
J'espere gagner bientot ma place sur le forum expert :))
Pour ceux qui sont arrivés jusqu'au bout, félicitation, je ne vous ai surement rien appris, mais dans le cas contraire, si vous pouviez me dire ce que vous pensez de mon analyse, je serais evalué dessus dans peu de temps.
Merci Merci Merci Merci Merci Merci Merci Merci Merci :))
[^] # Re: Ouki merci :)
Posté par LaBienPensanceMaTuer . Évalué à 1.
De plus, une fois que t'as compris, OpenSwan n'est pas plus compliqué que n'importe quoi.
Si t'as un souci n'hesite pas à reposter (en ayant bien pris soin de chercher par toi meme avant ;p ).
# Projet VPN
Posté par patrickh . Évalué à 1.
http://people.via.ecp.fr/~alexis/formation-linux/formation-linux.ht(...)
Pour les VPN, et bien d'autre chose concernant le réseau, il y a le Linux Advanced Routing & traffic Control Howto (certaine partie sont obsolètes).
http://www.linuxfr-france.org.invalid/prj/inetdoc/guides/Advanced-routing-How(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.