Te tracasse pas @Stinouff. Même si ça me fait très plaisir que des gens me montre que mon entourage IRL à tort de me balancer à tout bout de champs "sa sert à rien ça te rapporte pas d'argent", c'est surtout des retours me permettant d'améliorer mes tutos (et ma propre utilisation qui en découle) que j'aime voir (je n'ai pas prétention d'être omniscient, ni sage, ni même instruit; juste un hacker, un sale chômeur, qui passe tout son temps dans ses machines et qui est bien heureux de trouver, parfois, d'autres passionnés sur le net :) )
Si ces tutos t'aident toi ou d'autres, alors c'est cool, c'est le but pas besoin de chercher plus loin :)
Tant qu'on y est, vous avez quoi comme bon flux RSS et chaînes (youtube, etc) de géopolitique/géostratégie européenne et internationale à suivre?
En FR voir anglais sous titré pour les vidéos :)
SVP, pas de propagande. (on ne tombe que sur cela quand on tape géostratégie sur youtube)
Oui ton idée est fort intéressante, je vais très probablement traiter ce sujet prochainement, merci pour ton astuce.
Un serveur DNS consomme beaucoup de ressources? (un RPI type 1B+ serait-il suffisant?)
La communication entre les clients et le serveur DNS est-elle chiffrée? (je vais me retaper la conf de S.Bortzmeyer sur la sécurité des DNS ^ ^ )
Avec ettercap je peux aisément récupérer le flux de données entre server Piwik http (ou https autosigné) et le client. Je n'ai pas encore testé, mais je ne pense pas pouvoir faire pareil quand la communication passe par le VPN (vu que les clés de crypto sont insérées directement dans le fichier de configuration .ovpn)
mais le LAN c'est generalement TON reseau, donc TA securité,
Dans mon cas ça ne l'est pas. C'est compliqué :)
parce que "monter un tunnel SSH qui te permet de monter un tunnel VPN" juste pour simplifier ton usage des tunnels SSH c'est se simplifier la vie ?
tu vas donc faire plusieurs tunnels VPN vers chacun de tes serveurs, donc autant de fichier de config à gerer, sans compter le tunnel SSH pour ouvrir le "serveur VPN" à ta machine local ?
Pour les machines sur le même LAN, pas besoin de tunnels. Pour les messages hors LAN, j'ouvrirai probablement un port dans le NAT.
Le tunneling SSH c'est surtout pour les machines mobiles qui parfois sont sur le même LAN, parfois pas (sachant que dans mon cas l'hairpinning n'est pas fonctionnel)
pourquoi tu passes par un tunnel SSH pour acceder à un serveur local ?
Alors en gros : dans le reverse proxy apache2 j'ai du lui ajouter un paramètre afin qu'apache2 ne vérifie pas le certificat TLS (= faille de sécurité) car certificat autosigné (le certificat trust étant géré par le frontend/reverse proxy).
Comme j'avais pas envie que le premier MITM venu arrive à se taper entre le frontend et l'hébergeur => SSH Tunneling (maintenant remplacé par le VPN).
de reverseproxy
Je suis en IPv4 si je veux publier des sites sur plusieurs machines je suis obligé soit d'ouvrir plusieurs ports sur le NAT (méthode facile) soit passer par le reverse proxy. Sachant que les certificats TLS ne sont valide que pour les ports 80, 443, 8080 et 8443 (avant qu'on viennent encore me dire "meuh moi je l'utilise sur un autre port pour du XMPP" => testez avec un navigateur Web et pas avec un logiciel de XMPP, vous aurez une belle alerte de sécurité que Michu n'est pas capable de passer).
Le VPN a ce niveau ne va rien changer :)
Après je pense l'avoir mis dans le tuto mais les seuls intérêt de faire du tunneling SSH over Tor pour joindre un VPN c'est d'outrepasser l'hairpinning foireux sans modifier le NAT et/ou s'amuser à créer un tunnel de crypto monstrueux.
Il va de soit que je déconseilles cette utilisation (complexe) à ceux qui ont de l'hairpinning fonctionnel.
Oui tu as sans doute raison, IPv6 n'apportera probablement pas beaucoup de bouleversements à ce niveau.
J'aurais du m'en tenir à "le Lan n'est pas sécurisé" :)
Merci pour ton apport en informations ;)
PS: je n'ai toujours pas trouvé comment régler le soucis du sed, si l'un de vous a une idée :) J'ai essayé d'adapter la commande indiquée ici mais not work (sed ne semble pas recevoir le fichier)
Arrête tes délires, ta liberté d'expression, tu l'as : tu peux raconter ce que tu veux (la preuve). Ta liberté d'expression, ça ne donne pas aux autres l'obligation d'apprécier ce que tu écris. Ce que tu aimerais, c'est que tout le monde te remercie de partager tes hauteurs de vue sur des sujets de société, mais si tu ne te prends que des négatifs, c'est que non, les gens n'apprécient pas.
Si j'en avais quoi que se soit à faire de mon karma, au lieu de poster mes tutos dans le wiki où personne ne va plusser, je les aurais posté dans les journaux (avec entre 10 et 50 plussages * 3 tutos par semaine, mon karma crèverait le plafond).
les gens n'apprécient pas
D'où une remarque qu'on retrouve souvent sur LinuxFR: il faut remplacer pertinent/inutile par "j'aime"/"je n'aime pas". Perso je m'abstiens de moinsser parce que je n'aime pas.
Il suffit de rééquilibrer la balance entre les sujets techniques et les sujets politiques pour retrouver un karma positif.
En karma négatif tu ne peux poster que dans le forum qui ne doit même pas être lu par un dixième des lecteurs de LinuxFR, si le but est de remonter le karma c'est mal parti (moins efficace que de faire la putaclic dans une dépêche).
Si perso ça ne me dérange pas vraiment, c'est uniquement car je sais que mes tutos sont surtout lu par des visiteurs de google (qui se fichent royalement d'où j'ai posté le tuto, ils veulent juste l'information)
j'ai beau relire, je ne comprend toujours pas pourquoi tu veux te connecter au service OpenVPN quand tu es sur le meme LAN que le serveur qui heberge l'OpenVPN
-le LAN n'est pas un espace sécurisé (surtout quand je passerai en IPv6)
-en finir avec les tunnel SSH qui partent dans tout les sens et qui nécessitent leur lot de configuration
-sécuriser les communications sans passer par TLS (que je n'apprécie pas), se qui va être utile pour les montages WEBDAV/DAVFS2 pour le raid10 gluster et le cluster MySQL (j'attendais le VPN pour me relancer sur ce sujet)
-rediriger les flux du reverse proxy plus proprement (par exemple là j'avais une redirection vers un prestashop, qui transitait par un tunnel SSH et prestashop râlait car pour lui hostname:8443 != hostname)
-faciliter l'accès à mes services (exemple dans firfox je devais taper 127.0.0.1:8080/ pour acceder au service sur server A, 127.0.0.1:8081 pour accéder au service sur server B, maintenant je peux utiliser direct les IP statique dans le VPN que j'ai ajouté en marque page)
-fixer les IP indépendamment du routeur/DHCP
je le redis, si tu arrives à faire un tunnel SSH dans le sens Client -> Serveur
c'est que tu as deja des ports ouverts de l'exterieur vers le serveur,
autant s'en servir pour directement faire le tunnel VPN (reconfigurer openvpn pour ecouter sur le bon PORT.
Non, c'est Tor (via l'Hidden Service) qui se charge d'établir la communication avec un relais sur Internet. Ensuite le client contacte ce relais. A aucun moment il n'y a établissement d'un lien "direct" (au sens TCP/IP) entre le client et le serveur.
Il n'y a pas besoin d'ouvrir le NAT/Firewall pour accéder à un Tor Hidden Service.
PS : dans mon script précédent j'ai un problème avec le sed, il fonctionne tant qu'il n'y a qu'une seule occurrence mais s'il y en a plusieurs il échoue. Si quelqu'un a une astuce je suis preneur :)
Après les disputes autour des sujets sur l'Europe, j'ai remarqué qu'au moins un hater s'est amusé à moinsser plein de mes messages dans mes tutos. (genre même ceux où je remercie des gens pour leur retour d'infos)
Si on affiche le pseudo, je lui rendrai la politesse ;) (note que pour le moment je ne peux pas moinsser/plusser donc ça ne changerait pas grand chose)
Et si je me trompe (que ce n'est pas un hater mais des gens qui trouvaient ces messages inutile), ça enlèverait une partie de la "paranoïa". (là j'ai l'impression que quoi que je poste de toute façon je serais moinssé. J'ai d'ailleurs hésité longuement a continuer à contribuer sur LinuxFR vu que je n'ai pas l'impression d'avoir droit à ma liberté d'expression/penser. Si je continue c'est surtout car partager le savoir gratuitement et au plus grand nombre c'est ma philosophie)
Que penses-tu de cette version ? :) (je ne l'ai pas encore testé)
Explication :
-si réseau connecté et serveur VPN détecté sur LAN, on modifie le fichier hosts afin d'insérer l'IP Lan du serveur en correspondance avec l'hostname du serveur
-si réseau pas connecté et/ou serveur VPN pas sur le même LAN, on modifie le fichier hosts afin d'insérer 127.0.0.1 comme correspondance a l'hostname du serveur
-on lance openvpn qui va se connecter directement au serveur en Lan ou à travers SSH + Tor en Wan
#!/bin/bash
# -> WTFPL - infos script : https://www.0rion.netlib.re/forum4/viewtopic.php?f=79&t=587&p=1252#p1253
# -> code by voxdemonix <-
# -> V0.1 ALPHA <-
vpnHostname="vpn.monSite.netlib.re"
IpVpnLocale="192.168.1.42" # enter your Lan IP, the script push 127.0.0.1 when need Tor
AdresseServerOnion="torOrWanadress.onion"
MacVpnLocal="00:00:00:00:00:00" # l'adresse mac du serveur VPN/SSH (tapez ifconfig dans un terminal sur votre server pour la voir)
UserLocalForSshTunneling="myLocalUser" # l'user a utiliser sur votre ordinateur pour le montage du tunnel (celui qui a exporté sa clés)
UserRemoteForSshTunneling="proxy-ssh" # l'user a utiliser côté server ( /!\ n'utilisez jamais root !)
portEntree="1194" # le port sur le pc local, par défaut 1194
portSortie="1194" # le port sur le serveur, par défaut 1194
fichierOVPN="myUser.ovpn" # le nom de votre fichier de configuration .ovnp
if [ ! "$SUDO_USER" ]; then
echo "!!! i need root !!!"
exit 0
fi
# boucle qui permet d'attendre que le réseau soit connecté
stop="0"
while [ $stop -lt 1 ]
do
sleep 120 # temps d'attente entre chaque tentative (si le réseau n'est pas connecté après cette boucle le VPN sera connecté à travers Tor)
_IP=$(hostname -I) || true
if [ "$_IP" ]; then
#printf "My IP address is %s\n" "$_IP"
stop=1
fi
done
ping $IpVpnLocale -c 2 >> /dev/null 2>&1
macRecover=$(arp -n | grep -i -o $MacVpnLocal)
# NOTE : SE SERAIT PAS MAL DE REMPLACER PAR UN IF NOT
if [ "$macRecover" == "$MacVpnLocal" ]; then
# echo "local"
# su $UserLocalForSshTunneling -c "autossh -M 0 -q -N -o 'ServerAliveInterval 60' -o 'ServerAliveCountMax 3' -L $portEntree:127.0.0.1:$portSortie $UserRemoteForSshTunneling@$IpVpnLocale -f"
else
# echo "tor/wan"
# on initie un tunnel SSH transitant par Tor
su $UserLocalForSshTunneling -c "autossh -M 0 -q -N -o 'ServerAliveInterval 60' -o 'ServerAliveCountMax 3' -L $portEntree:127.0.0.1:$portSortie $UserRemoteForSshTunneling@$AdresseServerOnion -f"
IpVpnLocale="127.0.0.1"
fi
sleep 10
#on modifie le fichier /etc/hosts afin de faire correspondre l'hostame de notre VPN avec l'IP pour le joindre
sed -i -- "s/$(cat /etc/hosts | grep $vpnHostname)/ /g" /etc/hosts
echo "$IpVpnLocale $vpnHostname" >> /etc/hosts
# sur Ubuntu et Raspbian ajoutez --route-nopull à la commande suivante si vous ne voulez pas forcer le trafic à passer par le VPN
openvpn --daemon --cd /etc/openvpn --config $fichierOVPN
Ou que les gens cessent de confondre pertinent/inutile avec j'aime/je n'aime pas :D
Perso je trouverais pas mal qu'on fasse comme sur facebook : afficher la liste de qui a Plusser/Moinsser histoire que les gens assument et qu'on repère les haters :P
Est-ce que ça veut dire qu’il faudrait qu’on ne le moinsse pas autant quand il écrit des trucs qui ne plaisent pas, qu’il devrait se censurer ou qu’il devrait utiliser deux pseudos différents
C'est le coté mal foutu de LinuxFR : si on est contributeur on doit se taire ou putacliquer :P (enfaite karma negatif vous pouvez que commenter (partout) ou poster dans les forums)
Si non en effet, je postais dans le wiki (que personne ne lit a part des visiteurs venant de google, donc JAMAIS de plussage pour mes contrib), ca me permettait de continuer d'éditer, d'ajouter des infos et des corrections mais la c'est en attente de karma :D
Pour ta compréhension typiquement le cas d'utilisation c'est un serveur VPN derriere un NAT/Firewall injoignable depuis le WAN.
Comme l'hairpinning est foireux dans mon cas, je suis obligé d'avoir une configuration differente en LAN qu'en WAN. Puis avec cette methode pas besoin d'ouvrir le NAT :)
Je pense réutiliser la methode pour connecter deux VPN :)
s'il est sur le meme LAN, pourquoi monter un tunnel SSH ?
Je me suis penché sur la question (il faut encore que je test, j'éditerai le tuto), en placant un sed qui modifie /etc/hosts dans le if qui choisit si on passe par le Lan ou Tor.
tu dois pouvoir directement te connecter en VPN
Peut etre en configurant un proxy torefication mais je ne sais pas encore comment faire et je suppose que ca revient au meme (ssh faisant role de proxy) :)
Le client fonctionne sans problème avec Debian Jessie et Raspbian. Par contre sur Ubuntu 16.04 j'arrive à me connecter au VPN, à ping les machines connectées au VPN mais je perd l'accès au LAN et au WAN.
Je suis actuellement en train de chercher comment corriger ce problème (n'hésitez pas à participer, je n'ai qu'une vie).
Voila c'est corrigé.
Via Interface Graphique :
Dans la barre des icônes cliquez sur le Gestionnaire Réseau (Network Manager) => Modification des connexions => Cliquez sur votre connexion VPN (si vous ne l'avez pas encore créé : Ajouter => Importer une configuration VPN enregistrée => Paramètres IPv4 => Routes => Cochez "Utiliser cette connexion uniquement pour les ressources de son réseau".
A moins qu'ils piratent le navigateur, les sites web n'ont pas la possibilité de récupérer la liste des logiciels lancé sur ta machine.
Et à part récupérer la liste des logiciels lancé sur ta machine, je ne pense pas qu'il existe un autre moyen de savoir si kazam est en train de filmer :P
Faisant parti de ces 25%, ce n'est pas par flegme que je ne me suis pas rendu à mon bureau de vote ce week-end. Merci par conséquent de ne pas donner une signification à un acte que vous ne comprenez visiblement pas.
Toi peut-être, mais le groupe des abstentionnistes est hétéroclite. Hors il est difficile, voir impossible, de tirer un "message", une "pensée", une "philosophie" venant d'un groupe aussi hétéroclite.
On ne peut pas dire "tout les abstentionnistes" ou même "la majorité des abstentionnistes" veulent ceci ou cela. (surtout qu'il y a plein de gens qui n'ont pas voté pour X ou Y raisons)
"Ne vote pas pour tes convictions mais tais-toi et vote"
Voter contre, c'est une conviction non? En plus ça a permis a écolo de prendre le pouvoir une fois :)
PS: je conseil le visionnage des vidéos super intéressantes de Science4All, des statistiques expliquées à mon chat et de ScienceÉtonnante qui expliquent vraiment bien (et politiquement neutre) pourquoi les présidents français sont toujours mal accueilli et pas représentatif de se que pense la population.
Intéressant, d'autres appellent ça une forme de dictature.
Parce que l'abstention est un vrai message. Il est le message que 25% des votants ne veulent pas participer (pour diverses raisons mais ils ne veulent pas).
Le seul message c'est "j'ai la flemme".
En Belgique on t'enseigne que si tu es contre ceux en place, alors vote pour un petit parti non extrémistes qui n'a aucune chance de gagner. (les votes blancs étant ici attribué au vainqueur si je ne m'abuse)
PS: faut pas croire qu'il n'y a obligatoirement qu'un seul vainqueur. Les nationalistes flamands (des potes à Lepen) ont fait exprès de rester dans l'opposition pendant plusieurs années afin de pouvoir se la jouer "regardez, tout est de la faute de ceux en place et surtout pas la notre".
Je suis en train de tester le tuto dans tout les sens :
Le client fonctionne sans problème avec Debian Jessie et Raspbian. Par contre sur Ubuntu 16.04 j'arrive à me connecter au VPN, à ping les machines connectées au VPN mais je perd l'accès au LAN et au WAN.
Je suis actuellement en train de chercher comment corriger ce problème (n'hésitez pas à participer, je n'ai qu'une vie).
J'ai rédigé un tuto sur comment connecter le client OpenVPN au démarrage de la machine, je reposte dans un nouveau topic où je le poste ici même? (j'ai peur qu'on me reproche encore de faire trop long ^ ^ ).
Notez que si vous voulez aidez à l'améliorer, par exemple en utilisant un service plutôt que rc.local, vous êtes le bienvenu.
Petite question si quelqu'un lit ce thread :
Peut-on utiliser un répartiteur de charge avec OpenVPN? (genre déployer le VPN sur deux raspberry pi et si l'un plante tout continue de fonctionner) Si oui, quel logiciel conseillez-vous ?
Pour ceux qui ne le savent pas, on peut aussi faire un serveur VPN avec Yunohost. Néanmoins ce dernier (vpn sur yunohost) est, pour le moment, buggé (mais pas abandonné).
Comme PiVPN et Yunohost ne sont pas totalement pareil, voici se que j'ai remarqué :
VPN sur Yunohost
Yunohost apporte l'avantage du LDAP pré-installé et gérable depuis une WEBUI.
Les clients peuvent télécharger le fichier de config directement depuis la WEBUI en se loggant.
Par contre les fichiers de configuration (.conf et .ovpn) que yunohost fournis aux utilisateurs sont éronné (un problème avec "user" et "group", corrigeable en éditant les fichiers manuellement après téléchargement).
L'installeur de Yunohost refuse de fonctionner si on est loggé sur l'utilisateur "pi" se qui pose problème lorsqu'on veut l'installer sur raspberry pi.
PiVPN
Déjà il fonctionne !
Très simple d'utilisation.
Pas d'interface graphique.
On a plus de choix lors de l'installation (taille des clés, faut-il télécharger la Diffie-Hellman ou la générer) que Yunohost.
Comme ce n'est qu'un ensemble de script, on dispose d'une installation normale d'openvpn se qui permet de suivre les autres tuto sur le net pour apporter telle ou telle modification
Posté par EauFroide .
En réponse à la page de wiki Découvrir-LinuxFr.
Évalué à -3 (+0/-0).
Dernière modification le 06 mai 2017 à 18:36.
Sur Ubuntu par défaut les paquets sont plus récents et plus de pilotes/drivers sont pré-intégrés.
Debian est un peu plus complexe (rien que pour trouver quelle image télécharger (perso j'utilise la netinstall).
Si tu veux une distro un peu hype : Voyager OS (c'est une xubuntu avec quelques skins, scripts et conky pré-intégré)
Après c'est très très similaire (ubuntu étant basé sur debian), tellement similaire que tu risques d'avoir une guerre de troll de chapelle à la suite de ta réponse ^ ^
[^] # Re: 317 commentaires cumulés
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à -1. Dernière modification le 09 mai 2017 à 23:44.
Te tracasse pas @Stinouff. Même si ça me fait très plaisir que des gens me montre que mon entourage IRL à tort de me balancer à tout bout de champs "sa sert à rien ça te rapporte pas d'argent", c'est surtout des retours me permettant d'améliorer mes tutos (et ma propre utilisation qui en découle) que j'aime voir (je n'ai pas prétention d'être omniscient, ni sage, ni même instruit; juste un hacker, un sale chômeur, qui passe tout son temps dans ses machines et qui est bien heureux de trouver, parfois, d'autres passionnés sur le net :) )
Si ces tutos t'aident toi ou d'autres, alors c'est cool, c'est le but pas besoin de chercher plus loin :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Tant qu'on est a parler politique
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à -3. Dernière modification le 09 mai 2017 à 22:48.
Tant qu'on y est, vous avez quoi comme bon flux RSS et chaînes (youtube, etc) de géopolitique/géostratégie européenne et internationale à suivre?
En FR voir anglais sous titré pour les vidéos :)
SVP, pas de propagande. (on ne tombe que sur cela quand on tape géostratégie sur youtube)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: sans tunnel en Lan, avec Tunnel en WAN/Tor
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -2.
Oui ton idée est fort intéressante, je vais très probablement traiter ce sujet prochainement, merci pour ton astuce.
Un serveur DNS consomme beaucoup de ressources? (un RPI type 1B+ serait-il suffisant?)
La communication entre les clients et le serveur DNS est-elle chiffrée? (je vais me retaper la conf de S.Bortzmeyer sur la sécurité des DNS ^ ^ )
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: sans tunnel en Lan, avec Tunnel en WAN/Tor
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -2.
Avec ettercap je peux aisément récupérer le flux de données entre server Piwik http (ou https autosigné) et le client. Je n'ai pas encore testé, mais je ne pense pas pouvoir faire pareil quand la communication passe par le VPN (vu que les clés de crypto sont insérées directement dans le fichier de configuration .ovpn)
Dans mon cas ça ne l'est pas. C'est compliqué :)
Pour les machines sur le même LAN, pas besoin de tunnels. Pour les messages hors LAN, j'ouvrirai probablement un port dans le NAT.
Le tunneling SSH c'est surtout pour les machines mobiles qui parfois sont sur le même LAN, parfois pas (sachant que dans mon cas l'hairpinning n'est pas fonctionnel)
Alors en gros : dans le reverse proxy apache2 j'ai du lui ajouter un paramètre afin qu'apache2 ne vérifie pas le certificat TLS (= faille de sécurité) car certificat autosigné (le certificat trust étant géré par le frontend/reverse proxy).
Comme j'avais pas envie que le premier MITM venu arrive à se taper entre le frontend et l'hébergeur => SSH Tunneling (maintenant remplacé par le VPN).
Je suis en IPv4 si je veux publier des sites sur plusieurs machines je suis obligé soit d'ouvrir plusieurs ports sur le NAT (méthode facile) soit passer par le reverse proxy. Sachant que les certificats TLS ne sont valide que pour les ports 80, 443, 8080 et 8443 (avant qu'on viennent encore me dire "meuh moi je l'utilise sur un autre port pour du XMPP" => testez avec un navigateur Web et pas avec un logiciel de XMPP, vous aurez une belle alerte de sécurité que Michu n'est pas capable de passer).
Le VPN a ce niveau ne va rien changer :)
Après je pense l'avoir mis dans le tuto mais les seuls intérêt de faire du tunneling SSH over Tor pour joindre un VPN c'est d'outrepasser l'hairpinning foireux sans modifier le NAT et/ou s'amuser à créer un tunnel de crypto monstrueux.
Il va de soit que je déconseilles cette utilisation (complexe) à ceux qui ont de l'hairpinning fonctionnel.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: sans tunnel en Lan, avec Tunnel en WAN/Tor
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -2.
Oui tu as sans doute raison, IPv6 n'apportera probablement pas beaucoup de bouleversements à ce niveau.
J'aurais du m'en tenir à "le Lan n'est pas sécurisé" :)
Merci pour ton apport en informations ;)
PS: je n'ai toujours pas trouvé comment régler le soucis du sed, si l'un de vous a une idée :) J'ai essayé d'adapter la commande indiquée ici mais not work (sed ne semble pas recevoir le fichier)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: sans tunnel en Lan, avec Tunnel en WAN/Tor
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -2.
Tout les fans d'IPv6 vantent la disparition du NAT (il sera donc plus probable qu'au moins une machine se fasse véroler).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: 317 commentaires cumulés
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à 4.
Si j'en avais quoi que se soit à faire de mon karma, au lieu de poster mes tutos dans le wiki où personne ne va plusser, je les aurais posté dans les journaux (avec entre 10 et 50 plussages * 3 tutos par semaine, mon karma crèverait le plafond).
D'où une remarque qu'on retrouve souvent sur LinuxFR: il faut remplacer pertinent/inutile par "j'aime"/"je n'aime pas". Perso je m'abstiens de moinsser parce que je n'aime pas.
En karma négatif tu ne peux poster que dans le forum qui ne doit même pas être lu par un dixième des lecteurs de LinuxFR, si le but est de remonter le karma c'est mal parti (moins efficace que de faire la putaclic dans une dépêche).
Si perso ça ne me dérange pas vraiment, c'est uniquement car je sais que mes tutos sont surtout lu par des visiteurs de google (qui se fichent royalement d'où j'ai posté le tuto, ils veulent juste l'information)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: sans tunnel en Lan, avec Tunnel en WAN/Tor
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -3. Dernière modification le 09 mai 2017 à 15:45.
-le LAN n'est pas un espace sécurisé (surtout quand je passerai en IPv6)
-en finir avec les tunnel SSH qui partent dans tout les sens et qui nécessitent leur lot de configuration
-sécuriser les communications sans passer par TLS (que je n'apprécie pas), se qui va être utile pour les montages WEBDAV/DAVFS2 pour le raid10 gluster et le cluster MySQL (j'attendais le VPN pour me relancer sur ce sujet)
-rediriger les flux du reverse proxy plus proprement (par exemple là j'avais une redirection vers un prestashop, qui transitait par un tunnel SSH et prestashop râlait car pour lui hostname:8443 != hostname)
-faciliter l'accès à mes services (exemple dans firfox je devais taper 127.0.0.1:8080/ pour acceder au service sur server A, 127.0.0.1:8081 pour accéder au service sur server B, maintenant je peux utiliser direct les IP statique dans le VPN que j'ai ajouté en marque page)
-fixer les IP indépendamment du routeur/DHCP
Non, c'est Tor (via l'Hidden Service) qui se charge d'établir la communication avec un relais sur Internet. Ensuite le client contacte ce relais. A aucun moment il n'y a établissement d'un lien "direct" (au sens TCP/IP) entre le client et le serveur.
Il n'y a pas besoin d'ouvrir le NAT/Firewall pour accéder à un Tor Hidden Service.
PS : dans mon script précédent j'ai un problème avec le sed, il fonctionne tant qu'il n'y a qu'une seule occurrence mais s'il y en a plusieurs il échoue. Si quelqu'un a une astuce je suis preneur :)
(le but c'est de supprimer dans /etc/hosts toutes les lignes contenant la string dans $vpnHostname )
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Résultats
Posté par EauFroide . En réponse au journal Résultats des elections, qui est le vrai vainqueur ?. Évalué à -2.
UKIP a aussi profité du découpage administratif en UK (voir CGP Grey - Why the UK Election Results are the Worst in History)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: 317 commentaires cumulés
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à 0.
Après les disputes autour des sujets sur l'Europe, j'ai remarqué qu'au moins un hater s'est amusé à moinsser plein de mes messages dans mes tutos. (genre même ceux où je remercie des gens pour leur retour d'infos)
Si on affiche le pseudo, je lui rendrai la politesse ;) (note que pour le moment je ne peux pas moinsser/plusser donc ça ne changerait pas grand chose)
Et si je me trompe (que ce n'est pas un hater mais des gens qui trouvaient ces messages inutile), ça enlèverait une partie de la "paranoïa". (là j'ai l'impression que quoi que je poste de toute façon je serais moinssé. J'ai d'ailleurs hésité longuement a continuer à contribuer sur LinuxFR vu que je n'ai pas l'impression d'avoir droit à ma liberté d'expression/penser. Si je continue c'est surtout car partager le savoir gratuitement et au plus grand nombre c'est ma philosophie)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # sans tunnel en Lan, avec Tunnel en WAN/Tor
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -3. Dernière modification le 09 mai 2017 à 14:29.
Que penses-tu de cette version ? :) (je ne l'ai pas encore testé)
Explication :
-si réseau connecté et serveur VPN détecté sur LAN, on modifie le fichier hosts afin d'insérer l'IP Lan du serveur en correspondance avec l'hostname du serveur
-si réseau pas connecté et/ou serveur VPN pas sur le même LAN, on modifie le fichier hosts afin d'insérer 127.0.0.1 comme correspondance a l'hostname du serveur
-on lance openvpn qui va se connecter directement au serveur en Lan ou à travers SSH + Tor en Wan
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: 317 commentaires cumulés
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à -1.
Ou que les gens cessent de confondre pertinent/inutile avec j'aime/je n'aime pas :D
Perso je trouverais pas mal qu'on fasse comme sur facebook : afficher la liste de qui a Plusser/Moinsser histoire que les gens assument et qu'on repère les haters :P
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: 317 commentaires cumulés
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à 1.
C'est le coté mal foutu de LinuxFR : si on est contributeur on doit se taire ou putacliquer :P (enfaite karma negatif vous pouvez que commenter (partout) ou poster dans les forums)
Si non en effet, je postais dans le wiki (que personne ne lit a part des visiteurs venant de google, donc JAMAIS de plussage pour mes contrib), ca me permettait de continuer d'éditer, d'ajouter des infos et des corrections mais la c'est en attente de karma :D
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: j'ai pas tout compris ?
Posté par EauFroide . En réponse au message [Tuto/HowTo] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Évalué à -3.
Pour ta compréhension typiquement le cas d'utilisation c'est un serveur VPN derriere un NAT/Firewall injoignable depuis le WAN.
Comme l'hairpinning est foireux dans mon cas, je suis obligé d'avoir une configuration differente en LAN qu'en WAN. Puis avec cette methode pas besoin d'ouvrir le NAT :)
Je pense réutiliser la methode pour connecter deux VPN :)
Je me suis penché sur la question (il faut encore que je test, j'éditerai le tuto), en placant un sed qui modifie /etc/hosts dans le if qui choisit si on passe par le Lan ou Tor.
Peut etre en configurant un proxy torefication mais je ne sais pas encore comment faire et je suppose que ca revient au meme (ssh faisant role de proxy) :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# 317 commentaires cumulés
Posté par EauFroide . En réponse au journal Pour la fondation de « PolitiqueFR.org ». Évalué à -3. Dernière modification le 09 mai 2017 à 00:59.
J'avoue que quand je vois tout les commentaires dans les topics troll et les trois commentaires et demi que j'ai dans mes tutos, je suis jaloux :D
Enfaîte, pour rendre actif les tutos faut ajouter des trolls :D
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Essais et correction des bugs/erreurs
Posté par EauFroide . En réponse au message [Tuto/HowTo] Monter un serveur VPN avec PiVPN sur Raspbian. Évalué à -2. Dernière modification le 08 mai 2017 à 20:00.
Voila c'est corrigé.
Via Interface Graphique :
Via Ligne de Commandes :
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Non
Posté par EauFroide . En réponse au message Un site peut-il détecter qu'une capture vidéo est lancée sur le PC ?. Évalué à 1.
A moins qu'ils piratent le navigateur, les sites web n'ont pas la possibilité de récupérer la liste des logiciels lancé sur ta machine.
Et à part récupérer la liste des logiciels lancé sur ta machine, je ne pense pas qu'il existe un autre moyen de savoir si kazam est en train de filmer :P
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Résultats
Posté par EauFroide . En réponse au journal Résultats des elections, qui est le vrai vainqueur ?. Évalué à 0. Dernière modification le 08 mai 2017 à 15:01.
Toi peut-être, mais le groupe des abstentionnistes est hétéroclite. Hors il est difficile, voir impossible, de tirer un "message", une "pensée", une "philosophie" venant d'un groupe aussi hétéroclite.
On ne peut pas dire "tout les abstentionnistes" ou même "la majorité des abstentionnistes" veulent ceci ou cela. (surtout qu'il y a plein de gens qui n'ont pas voté pour X ou Y raisons)
Voter contre, c'est une conviction non? En plus ça a permis a écolo de prendre le pouvoir une fois :)
PS: je conseil le visionnage des vidéos super intéressantes de Science4All, des statistiques expliquées à mon chat et de ScienceÉtonnante qui expliquent vraiment bien (et politiquement neutre) pourquoi les présidents français sont toujours mal accueilli et pas représentatif de se que pense la population.
Ici c'est la dictature de l'argent :P
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Résultats
Posté par EauFroide . En réponse au journal Résultats des elections, qui est le vrai vainqueur ?. Évalué à -2. Dernière modification le 08 mai 2017 à 14:18.
Le seul message c'est "j'ai la flemme".
En Belgique on t'enseigne que si tu es contre ceux en place, alors vote pour un petit parti non extrémistes qui n'a aucune chance de gagner. (les votes blancs étant ici attribué au vainqueur si je ne m'abuse)
PS: faut pas croire qu'il n'y a obligatoirement qu'un seul vainqueur. Les nationalistes flamands (des potes à Lepen) ont fait exprès de rester dans l'opposition pendant plusieurs années afin de pouvoir se la jouer "regardez, tout est de la faute de ceux en place et surtout pas la notre".
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Essais et correction des bugs/erreurs
Posté par EauFroide . En réponse au message [Tuto/HowTo] Monter un serveur VPN avec PiVPN sur Raspbian. Évalué à -3.
Je suis en train de tester le tuto dans tout les sens :
Le client fonctionne sans problème avec Debian Jessie et Raspbian. Par contre sur Ubuntu 16.04 j'arrive à me connecter au VPN, à ping les machines connectées au VPN mais je perd l'accès au LAN et au WAN.
Je suis actuellement en train de chercher comment corriger ce problème (n'hésitez pas à participer, je n'ai qu'une vie).
J'ai rédigé un tuto sur comment connecter le client OpenVPN au démarrage de la machine, je reposte dans un nouveau topic où je le poste ici même? (j'ai peur qu'on me reproche encore de faire trop long ^ ^ ).
Notez que si vous voulez aidez à l'améliorer, par exemple en utilisant un service plutôt que rc.local, vous êtes le bienvenu.
Pour les ubbers hackers, les hardcores bidouilleurs : j'ai fini de rédiger le pire cauchemar des grandes oreilles et une solution au harpinning en IPv4: [Tuto/HowTo] [GNU/Linux] Accéder à son VPN depuis le réseau Tor via SSH Tunneling. Il reste à l'essayer/corriger/améliorer (je le testerai quand j'aurai le temps).
Petite question si quelqu'un lit ce thread :
Peut-on utiliser un répartiteur de charge avec OpenVPN? (genre déployer le VPN sur deux raspberry pi et si l'un plante tout continue de fonctionner) Si oui, quel logiciel conseillez-vous ?
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# PiVPN vs Yunohost
Posté par EauFroide . En réponse au message [Tuto/HowTo] Monter un serveur VPN avec PiVPN sur Raspbian. Évalué à -2. Dernière modification le 07 mai 2017 à 19:15.
Pour ceux qui ne le savent pas, on peut aussi faire un serveur VPN avec Yunohost. Néanmoins ce dernier (vpn sur yunohost) est, pour le moment, buggé (mais pas abandonné).
Comme PiVPN et Yunohost ne sont pas totalement pareil, voici se que j'ai remarqué :
VPN sur Yunohost
Yunohost apporte l'avantage du LDAP pré-installé et gérable depuis une WEBUI.
Les clients peuvent télécharger le fichier de config directement depuis la WEBUI en se loggant.
Par contre les fichiers de configuration (.conf et .ovpn) que yunohost fournis aux utilisateurs sont éronné (un problème avec "user" et "group", corrigeable en éditant les fichiers manuellement après téléchargement).
L'installeur de Yunohost refuse de fonctionner si on est loggé sur l'utilisateur "pi" se qui pose problème lorsqu'on veut l'installer sur raspberry pi.
PiVPN
Déjà il fonctionne !
Très simple d'utilisation.
Pas d'interface graphique.
On a plus de choix lors de l'installation (taille des clés, faut-il télécharger la Diffie-Hellman ou la générer) que Yunohost.
Comme ce n'est qu'un ensemble de script, on dispose d'une installation normale d'openvpn se qui permet de suivre les autres tuto sur le net pour apporter telle ou telle modification
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: dépêche ?
Posté par EauFroide . En réponse au message [Tuto/HowTo] Monter un serveur VPN avec PiVPN sur Raspbian. Évalué à -3.
Merci à toi pour ton retour positif :) N'hésites pas à rapporter toute amélioration/question qui te passerait à l'esprit :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Il faut faire un choix
Posté par EauFroide . En réponse au message Cherche site d'entre aide francophone. Évalué à -3.
Tu as raison, il faudrait vraiment que je me décide à sortir et aller visiter les hackerspaces du coin :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: dépêche ?
Posté par EauFroide . En réponse au message [Tuto/HowTo] Monter un serveur VPN avec PiVPN sur Raspbian. Évalué à 0.
ou dans le wiki :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: demande de renseignement
Posté par EauFroide . En réponse à la page de wiki Découvrir-LinuxFr. Évalué à -3 (+0/-0). Dernière modification le 06 mai 2017 à 18:36.
Sur Ubuntu par défaut les paquets sont plus récents et plus de pilotes/drivers sont pré-intégrés.
Debian est un peu plus complexe (rien que pour trouver quelle image télécharger (perso j'utilise la netinstall).
Si tu veux une distro un peu hype : Voyager OS (c'est une xubuntu avec quelques skins, scripts et conky pré-intégré)
Après c'est très très similaire (ubuntu étant basé sur debian), tellement similaire que tu risques d'avoir une guerre de troll de chapelle à la suite de ta réponse ^ ^
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat