Forum Linux.général VPN simple entre serveurs

Posté par  .
Étiquettes : aucune
-1
17
mar.
2010
Bonjour,

J'ai plusieurs serveurs chez un même hébergeur et j'aimerai avoir une possibilité d'adressage privée. Mes serveurs ont tous une IP publique. Je souhaite juste simuler l'existence d'une interface privée, qui, d'un point de vue logique, permet uniquement de joindre mes machines. Bref, je veux un VPN.

Mais pour un cas simple comme celui là, quelle solution choisir?
- J'ai pas besoin de passer NAT, Firewall etc.
- Le plus light possible
- Concerne ~10 serveurs
- Utilisable "comme" une interface réseau (ifconfig)
- C'est un plus si c'est facilement utilisable sous les Ubuntu/Debian récentes.

Pour ma part, j'utilise déjà OpenVPN que je considère comme passe partout.
  • # aliases ?

    Posté par  . Évalué à 3.

    s'ils sont chez le meme hebergeur, il faut juste voir avec lui si tu peux utiliser une classe privée

    par exemple :
    192.168.1.0/28

    qui te donne des IPs de 192.168.1.1 à 192.168.1.14
    http://jodies.de/ipcalc?host=192.168.1.0&mask1=28

    ensuite tu fais des aliases sur tes cartes

    premiere machine :
    ifconfig eth0:0 192.168.1.1 netmask 255.255.255.240

    deuxieme machine :
    ifconfig eth0:0 192.168.1.2 netmask 255.255.255.240

    ...

    si les machines sont sur le meme reseau physique (reseau à plat ou meme switch) ca ne devrait pas poser plus de probleme que ca.
    • [^] # Re: aliases ?

      Posté par  . Évalué à 1.

      L'hébergeur en question propose en option de me les mettre ensemble sur un réseau privée. Ils ont donc blindés en conséquence. Et je trouve le surcoût trop important.
      • [^] # Re: aliases ?

        Posté par  . Évalué à 2.

        en meme temps faut voir quel serait l'interet
        surtout si tu n'as qu'une seule interface reseau sur les machines.
        • [^] # Re: aliases ?

          Posté par  . Évalué à 1.

          De mon point de vue c'est juste pour une facilité d'administration.
  • # un tunnel ssh ?

    Posté par  (site web personnel) . Évalué à 1.

    si c'est des machines unix, des tunnels ssh ?
  • # Pourquoi ?

    Posté par  . Évalué à 5.

    Je ne vais pas t'expliquer comment te passer de ce que tu demandes, non. Mais je suis curieux : pourquoi tu veux faire ça ? Quelles sont les choses que tu y gagnes ? (sérieusement)
    • [^] # Re: Pourquoi ?

      Posté par  . Évalué à 1.

      C'est pas à cause d'une contrainte technique. C'est plutôt l'organisation logique que je recherche.

      J'ai actuellement l'équivalent de ce que je veux mettre en place sur mon réseau. Mais à ce niveau c'est facile de faire la distinction entre réseau interne/réseau externe. Et je souhaite déménager le tout chez un hébergeur en mode location.

      Si j'ai pas un équivalent d'une interface privée, je devrais jouer sur les options de routage (iptables), les contrôles d'accès réseau (tcpwrapper), etc et à chaque fois sur chacune des machines. J'ai le sentiment que le VPN privée me facilitera la gestion.
      • [^] # Re: Pourquoi ?

        Posté par  . Évalué à 2.

        je suis peut-etre bete mais ...

        aujourd'hui tu as une maquette en reseau privé ?
        et tu veux la transposer en production c'est ca ?

        pkoi ne pas utiliser le fichier /etc/hosts de chaque machine
        avec
        IP-A NOM-machine-A
        IP-B NOM-machine-B
        IP-C NOM-machine-C

        ensuite tes services se basent sur les noms plutot que sur les IPs
        ainsi si tu demenage tes serveurs (services) ca continue de fonctionner.

        ensuite je comprend pas ton probleme de jouer de iptables/tcpwrapper....
        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 1.

          Pour être plus précis, j'ai une plateforme de virtualisation en interne et j'aimerai la déplacer sur des serveurs loués.

          Et du coup, j'ai besoin de faire communiquer mes machines virtuelles via un réseau privée. Elles ne doivent pas être directement accessibles par internet.
          • [^] # Commentaire supprimé

            Posté par  . Évalué à 2.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Pourquoi ?

              Posté par  . Évalué à 1.

              Oui voilà c'était ce à quoi je pensais.
      • [^] # Re: Pourquoi ?

        Posté par  . Évalué à 2.

        OK, je comprend un peu mieux.
        Par contre, si (comme j'ai compris) tes machines seront réparties sur plusieurs de tes serveurs, et que ceux-ci ont donc déjà une partie publique, tu devras quand même gérer quels services sont sur quelle interface, afin qu'ils ne soient pas accessibles au public. Tu trouves cette gestion plus facile que des règles iptables ou faire passer les services par un (x)inetd ?
        Je n'ai pas d'avis complètement tranché là-dessus, mais vu que (pour moi) tu devras séparer un minimum les parties publique et privée un peu niveau réseau, je penserais que c'est plus facile de tout gérer par là. Enfin, c'est vrai que ça se discute.
        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 2.

          En effet, je trouve ça plus simple de bosser sur une interface dédiée au réseau local (même si elle n'est que "virtuelle"). Et j'ai horreur de trifouiller avec iptables (PF encore je dis pas).

          Bon vu que IPSec me donne un mal de crâne rien qu'en lisant les tutos, je vais rester sur mon bridge OpenVPN pour le moment, en espérant que j'ai pas trop d'overhead (j'ai pas masse de traffic de tt façon)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.