Journal Installation de VPN redondants sous OpenBSD 3.8

Posté par  (site Web personnel) .
Étiquettes : aucune
0
5
fév.
2006
Suite à la sortie d'OpenBSD 3.8, mon école a donné à trois élèves dont moi, l'étude et la mise en place de serveurs VPN redondants sous OpenBSD, en utilisant Pfsync, SAsync, Carp, IPsec et Isakmpd.

Soit en majeure partie les points forts de cette nouvelle version d'OpenBSD (dépêche LinuxFr sur sa sortie).

Voici le site comportant nos contraintes et objectifs, ainsi qu'une documentation (la plus détaillée possible) sur la mise en place.

Vous voulez tester chez vous ? il vous suffit de 2 machines, quelques cartes réseau et de connaître quelqu'un d'autre sur Internet.

La documentation est ouverte à toute remarques ou critiques (constructives bien entendu :) )


voici les liens où vous pourrez trouver toutes les informations nécessaire:

http://itinet.fr/vpnredondants/

( et un miroir au cas ou: http://www.coqueblin.com/guillaume/vpn/ )
  • # Macromedia Flash obligatoire

    Posté par  . Évalué à 6.

    > La documentation est ouverte à toute remarques ou critiques (constructives bien entendu :) )
    [...]
    > http://itinet.fr/vpnredondants/

    Peut-être un lien pour les utilisateur ne disposant pas du lecteur flash ? parceque là, je crois qu'on va être nombreux à ne pas pouvoir lire ta page (par exemple: tout les utilisateurs d'OpenBSD ;) mais aussi les utilisateurs de linux sur !i386 etc.).
    • [^] # Re: Macromedia Flash obligatoire

      Posté par  . Évalué à 4.

      D'autant que même avec flash, il semble falloir certaines polices spécifiques.
      Franchement une doc en Flash, on a vu quand même plus pratique (ne serait-ce que pour imprimer).

      Une doc avec docbook, latex, html, ou un simple traitement de texte serait-elle envisageable ?
    • [^] # Re: Macromedia Flash obligatoire

      Posté par  . Évalué à 3.

      Si tu n'as pas encore rendu ton projet, il y a pleins de fautes dans le flash.
    • [^] # Re: Macromedia Flash obligatoire

      Posté par  (site Web personnel) . Évalué à 2.

      en effet désolé de l'oubli, la version html est dispo ici:

      http://eskimo.photo02.free.fr/vpn/html/

      beaucoup moins sexy, mais tout aussi fonctionnelle :)
      • [^] # Re: Macromedia Flash obligatoire

        Posté par  (site Web personnel) . Évalué à 7.

        > beaucoup moins sexy

        Ca c'est parce que personne chez vous ne maîtrise les CSS, ni est un bon graphiste. Ca n'a pas besoin de tourner et de clignoter de partout pour être sexy. CSSZenGarden ?

        > mais tout aussi fonctionnelle :)

        Et même plus (accessibilité, impression, rapidité, indexation, etc...)
      • [^] # Re: Macromedia Flash obligatoire

        Posté par  (site Web personnel) . Évalué à 5.

        La page objectifs est d'un beau noir ... sur ma debian sarge.

        http://eskimo.photo02.free.fr/vpn/html/index2.php

        Plus un lien pdf qui ne marche pas

        http://eskimo.photo02.free.fr/vpn/html/documents/vpn_redonda(...)

        Bon, je reviendrais dans quelques jours ;-)
        • [^] # Re: Macromedia Flash obligatoire

          Posté par  . Évalué à 8.


          La page objectifs est d'un beau noir


          En fait pour la majorité des pages on a un texte noir sur fond noir, et des liens d'un joli bleu foncé sur noir => Ca doit être ça, la sécurité par l'obscurité :)
          • [^] # Re: Macromedia Flash obligatoire

            Posté par  . Évalué à 3.

            noir c'est noir... :p

            il y a pas mal de fautes d'orthographe, et des phrases pas très bien construites :

            - le nom complet de PF, c'est Packet Filter et pas Packet Filtering,
            - "balance de charge", pour load balancing... je mettrais plutôt équilibrage de charge,
            -dans le pdf, à la page du lexique, le terme "haute disponibilité" et son descriptif est répété deux fois; ARP au lieu de CARP dans le descriptif du terme CARP et unE plage d'adresse,
            - ...

            sinon, pour le contenu, c'est super intéressant, et les illustrations sont très explicites. merci beaucoup, je vais garder les documents.

            phil

            ps : pdf, flash... adobe sponsorise les écoles écoles d'info ? ;))
            • [^] # Re: Macromedia Flash obligatoire

              Posté par  (site Web personnel) . Évalué à 1.

              merci beaucoup, enfin quelqu'un qui s'interesse au contenu et pas au contenant (note que la nouvelle version html est dans les fourneaux, et que la version flash va subir un petit coup de maquillage aussi).
              je prends en compte les modifications de suite, merci.

              sinon pour adobe, c'est juste que c'est un projet décole, et pour le site, le flash est ce qu'il y a de plus tape-a-l'oeil, donc ca plait, et le pdf c'est parce que je n'ai pas eu le temps de convertir le .docx proprement en html ou OOo.

              Mis a part ceci, il n'est pas impossible qu'on ai des partenariats avec eux, comme pour d'autres écoles, cisco, oracle, microsoft, ibm, hp ....
              • [^] # Re: Macromedia Flash obligatoire

                Posté par  (site Web personnel) . Évalué à 3.

                > merci beaucoup, enfin quelqu'un qui s'interesse au contenu et pas
                > au contenant (note que la nouvelle

                Désolé de n'avoir pas été plus positif plus haut, mais c'est plutôt parce que je ne pouvais pas vraiment lire le contenu que sur le contenu. Au niveau du contenu, si on a dégainé super vite c'est justement parce qu'on est vachement intéressé. Bref, un peu de forme et je suis sur que votre site va être visité par pas mal d'administrateur système.
              • [^] # Re: Macromedia Flash obligatoire

                Posté par  . Évalué à 6.

                > merci beaucoup, enfin quelqu'un qui s'interesse au contenu et pas au contenant

                Bin ... c'est parce qu'on s'interesse au contenu que le contenant nous à dépité ! ;) En effet (en tout cas pour moi) le contenu n'était tout bonnement pas accessible (donc ç'aurait été très difficile de le juger) !

                > sinon pour adobe, c'est juste que c'est un projet décole, et pour le site, le flash est ce qu'il y a de plus tape-a-l'oeil, donc ca plait,

                Si ta document s'adresse à des admins unix (et à qui d'autres ?) tu te trompe très fortement. Cherche un peu sur internet les sites dédiés aux admins (et à commencer par la doc officiel de l'OS que tu utilise, par exemple): tu ne trouvera pas de doc tape à l'oeil (et encore moins en flash !). De même, si tes profs sont aussi des utilisateurs d'OpenBSD, je crois que tu regrettera qu'ils ne puissent pas accéder aux documents.
                Ce qui "plait", comme tu dit, pour ce genres de papiers universitaires c'est plutot l'utilisation de latex ou docbook, pas l'utilisation du générateur html/pdf sous Ms Word ... Les admins unix sont généralement ... des unixiens ! (et idem pour le texte en noir sur fond noir, qui montre que ça n'a pas été testé sous unix+firefox, ou les erreurs "ipconfig" à la place de "ifconfig" dans les docs ...). Bref, en tant qu'admin unix professionel, je peut te dire que ça ne fait pas très sérieux, contrairement à ce que tu semble penser. Autre preuve: les réactions des gens intéréssés ici. Sinon, le minimum de bienseance consiste à mettre un lien vers le site "version html" sur la page d'acceuil, en dessous du flash.

                Sinon, voici une petite série de corrections:

                - Document "Howto détaillé d'installation de la solution" :

                Lexique, Sasync: "lors d'un crash" -> "lors d'une indisponibilité", car Sasync & pfsync sont aussi très utiles lorsque l'on veut faire des interuptions volontaires (par exemple pour upgrader l'OS de sa passerelle, ce qui est très important pour maintenir un bon niveau de sécurité, on peut maintenant ne pas interompre le service).
                Lexique, CARP: "balance de charge" (pas français) -> "répartition de charge" (nb: cette erreur est présente à d'autres endroits du document).
                Lexique, Pf: Pf n'est pas un fichier de configuration !! cf. la page de man pf. pf est "le firewall d'OpenBSD dont le fichier de configuration est /etc/pf.conf".
                Lexique, "Haute Disponibilité" est définis deux fois. Ensemble du document: s/Packet Filtering/Packet Filter/

                Page 14, creation et paramétrage des interfaces: la méthode préconisée et maintenable sous OpenBSD est d'utiliser /etc/hostname.ifname (cf la page de man hostname.if), y compris pour les interfaces CARP et pfsync. C'est d'ailleur ainsi que le documentent les auteurs de pf et carp, sur http://www.countersiege.com/doc/pfsync-carp/ et dans la page de man de pfsync(4).
                Par exemple dans ton cas, ca donnerai un fichier /etc/hostname.carp1 contenant quelque chose comme:
                inet 10.0.0.10 netmask 0xffffff00 vhid 1 carpdev rl0 pass itivpn description iternal
                etc. pour les autres interfaces (hostname.carp2, hostname.pfsync0, hostname.xl0, hostname.rl0, ...).

                Page 15: s/ipconfig/ifconfig/ ; attention, cette erreur trahis un manque d'aisance en environement unix. Ipconfig est une commande windows...
                Page 19-25: cf. ma remarque dans l'autre poste, concernant ipsec.conf
                Page 26: la méthode recommandée (et moins bidouille) pour lancer isakmpd est de placer : isakmpd_flags=-v4 dans /etc/rc.conf.local (pas d'utiliser un shell script). La bonne préconisée (openbsdiste) de lancer d'initialiser les interfaces, (dont psync0 et carp*), c'est de créer des fichiers hostname.if (comme dit plus haut). Et la bonne façon de lancer pf, c'est de mettre pf=YES dans /etc/rc.conf.local (dans ce cas il sera automatiquement initialisé, pas la peine d'en remettre une couche dans rc.local).
                Bref, l'ensemble des manips dans /etc/rc.local ne sont pas très openbsdistes, et on pourrait s'en passer.
                Page 29: à quoi sert ce fichier /etc/pf.vpn.conf (il n'est jamais appellé depuis tes scripts) ? pourquoi ne pas placer toute ta conf dans /etc/pf.conf ? D'ailleur ton fichier pf.conf n'est pas indiqué dans le document (page 17: le fichier pf.conf n'est pas présent en fin de document). Au passage, on pourrai grandement simplifier ce ruleset, en factorisant les regles concernant GATEWAY* et NETWORK*.
                Pages 32-42: cf. mon autre post sur ipsec.conf. La config de isakmpd prend plus d'un tiers de ta doc (p. 19-25 et 32-42) est n'est quasiment pas réutilisable (elle correspond à un besoin réseau très spécifique, le genre de choses qui change à chaque install). L'utilisation de ipsec.conf (et des clefs générées automatiquement) prendrait maximum une page dans ton document...

                - Document pdf "Etude finale" :

                Mêmes remarques concernant le glossaire.
                Cf. la remarque dans l'autre post concernant la puissance.
                page 14: 3.8 n'est plus une version "testing".
    • [^] # Re: Macromedia Flash obligatoire

      Posté par  . Évalué à 1.

      peut-être voulait-il en fait faire de la pub pour un nouveau créateur de contenu flash entièrement libre et sous linux *bsd ?

      bon, en tout cas ton histoire de vpn c'est intéressant, je vais regarder cela, mais plutôt dans la version html ;)

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Vidéo

    Posté par  (site Web personnel) . Évalué à 2.

    Marrante la vidéo[1].

    Ça me rappelle prince of persia. Un moment, on a une potion qui inverse le haut et le bas. Ça complique un peu la mission (on avait aussi shift+i).

    Bon où est ma dosbox ?

    [1] http://eskimo.photo02.free.fr/vpn/html/documents/demo.avi
    • [^] # Re: Vidéo

      Posté par  (site Web personnel) . Évalué à 1.

      désolé, je viens de m'en rendre compte et j'ai pas encore eu le temps de la réencoder dans un format un peu plus ... libre et moins contraignant. ... ce qui ne saurait tarder
  • # utilisation ipsecctl & ipsec.conf

    Posté par  . Évalué à 3.

    Juste un petit complément d'infos: depuis une ou deux versions d'OpenBSD, la nouvelle façon en vogue (en fait, encouragée par les mainteneurs) de construire un vpn simple comme le tien, c'est d'utiliser ipsecctl(8) et ipsec.conf(5) et de le laisser configurer/piloter isakmpd.

    Au résultat, on obtient un fichier de conf /etc/ipsec.conf d'une dizaine de lignes au lieu d'un isakmpd.conf + keynote + ... de centaines de lignes.
    On peut aussi laisser le système générer les clefs RSA au premier démarage (à la manière d'OpenSSH, il le fait automatiquement, tout seul, si aucune clef n'est trouvée).

    Ça pourrait être doublement interessant dans le cas de ta démonstration, car tu pourrai ainsi gagner en clarté, en réduisant la configuration à l'essentiel de ton sujet (sasyncd, la redondance, la haute disponibilité, ...), tout en réduisant la partie "paramétrage et mise en place des tunnels ESP et serveurs de clefs IKE", (moins interessante à mon avis: on trouve des centaines de docs sur ça, et c'est une partie que chacun devra adapter à son environement réseau), à quelques lignes de configuration très claires et simples. Bref, aller à l'essentiel de ton sujet: la haute disponibilité.

    Et faire confiance au mainteneur d'ipsecctl (qui est aussi le mainteneur d'isakmpd) pour faire un bon paramétrage automatique d'isakmpd n'est pas forcément une mauvaise chose.

    Autre détail: mieux vaut utiliser "current" (la version HEAD du cvs d'OpenBSD, ou mieux, un snapshot) car des problèmes très importants ont étés corrigés dans sasyncd(8) depuis la release 3.8. Actuellement "current" est très proche du feature freeze, et au grand public pour tests est en cours depuis presque un mois, c'est donc stable.

    Dernier point: la partie sur les spécifications matérielles sont assez vagues (tu parle d'une machine d'"au moins 1Ghz"). Tu ne dit pas non plus quel volume de traffic tu doit gérer, mais attention, IPsec est gourmand. Si tu doit travailler à la vitesse du fast ethernet (ou pire, du gigabit), ça va être très difficile avec un pentium 1Ghz ! la commande "openssl speed" te montrera la vitesse de (de)chiffrement atteignable, selon l'algo, sur ta machine.

    Le man ipsec.conf(5): http://www.openbsd.org/cgi-bin/man.cgi?query=ipsec.conf
    Les snapshots de current: ftp://ftp.openbsd.org/pub/OpenBSD/snapshots
  • # flash et html :)

    Posté par  (site Web personnel) . Évalué à 1.

    voila, la version html vient d'etre quelque peu relookée, je ne l'ai pas testé sous firefox, mais ca sera de toute facon beaucoup plus lisible que ca avait pu l'etre avant.

    http://itinet.fr/vpnredondants/

    merci a tous pour vos commentaires que je n'attendais pas aussi complets.

    J'ai pris en compte la majeure partie des modifications de mises en page, de fautes ou de coquilles dans la documentation (pas toutes les modifications dans tous les documents, mais je referais une relecture dans la semaine pour m'assurer qu'il n'y en a presque plus. Je n'ai pas corrigé les fautes dans le flash.

    Et mis à part le grand merci à herodiade pour ses explications, que je vais essayer de mettre en oeuvre, et modifier la doc en conséquence, je ne pense pas confondre "ipconfig" et "ifconfig", ou en tout cas je l'espere, je ne pense pas etre forcement bon en réseau ou en systeme, mais en tout cas juste assez pour ne pas faire ce genre d'erreur.
    a mon humble avis elle s'est glissée entre un "cmd" windows et un "putty". La coquille quoi, taper sans réfléchir ou vérifier :)

    merci encore.
    • [^] # Re: flash et html :)

      Posté par  (site Web personnel) . Évalué à 2.

      C'est sans comparaison. Merci.

      La vidéo demo.avi est facilement lu par mplayer sous ma debian sarge ;-) Pas besoin de vmware. Dans certain cas d'ailleurs, pas besoin de vmware, qemu suffit largement à la tache et en plus il est libre (sauf kqemu malheureusement).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.