Différences entre versions de « VPN »

De Cliss XXI
Sauter à la navigation Sauter à la recherche
imported>SylvainBeucler
imported>SylvainBeucler
m (config client)
Ligne 17 : Ligne 17 :
  
 
* [http://pptpclient.sourceforge.net/documentation.phtml pptpclient]: client GNU/Linux [http://guides.ovh.com/OvpnPptp] [http://pptpclient.sourceforge.net/howto-debian.phtml]
 
* [http://pptpclient.sourceforge.net/documentation.phtml pptpclient]: client GNU/Linux [http://guides.ovh.com/OvpnPptp] [http://pptpclient.sourceforge.net/howto-debian.phtml]
* Inclus MS Woe depuis 95OSR2. Failles de sécurité dans la conception ainsi que dans l'implémentation, à réserver en solution de secours.
+
* Inclus dans MS Woe depuis 95OSR2. Failles de sécurité dans la conception ainsi que dans l'implémentation, à réserver en solution de secours.
  
 
Nécessaire:
 
Nécessaire:
Ligne 23 : Ligne 23 :
  
 
Noyau: le support MPPE ne suffit apparemment pas. Il me manque quelque chose d'autre (iptables?).
 
Noyau: le support MPPE ne suffit apparemment pas. Il me manque quelque chose d'autre (iptables?).
 +
 +
Configuration:
 +
# Installer pptpclient:
 +
aptitude install pptpclient
 +
 +
# /etc/ppp/options.pptp est automatiquement créé, sinon cf [http://pptpclient.sourceforge.net/howto-debian.phtml#configure_by_hand]
 +
 +
# Description du VPN distant:
 +
cat <<EOF > /etc/ppp/peers/cliss21
 +
file /etc/ppp/options.pptp
 +
# Username (1st field in /etc/ppp/chap-secrets)
 +
name 'sylvain'
 +
# Remote name (2nd field in chap-secrets, not needed if there's "*")
 +
remotename 'cliss21'
 +
# Use a command instead of a real tty
 +
pty "pptp i.cliss21.org --nolaunchpppd"
 +
EOF
 +
 +
# Fichier de mot de passe:
 +
cat <<EOF > /etc/ppp/chap-secrets
 +
"sylvain"      "cliss21"      "motdepasse"
 +
EOF
  
 
==== Serveur ====
 
==== Serveur ====

Version du 23 février 2007 à 15:21

Outils de référence

IPSec

  • IPSec: utilise de nouveaux protocoles IP (AH/50 et ESP/51). Nécessite un support noyau (natif ou KLIPS(=*swan)) et un démon optionnel pour la gestion de clefs, en principe interopétables.
    • strongSwan
    • Openswan
    • intégré au noyau
    • racoon
    • ... à trier ...
    • Utilisé par L2TP/IPSec, inclus dans Woe (2K et + ?)
    • Pare-feu: protocoles IP 50/AH et 51/ESP, ports 500/udp (isakmp) et 4500/udp (ipsec-nat-t / NAT traversal); 1701/udp l2tp (?)

PPTP

Client

  • pptpclient: client GNU/Linux [1] [2]
  • Inclus dans MS Woe depuis 95OSR2. Failles de sécurité dans la conception ainsi que dans l'implémentation, à réserver en solution de secours.

Nécessaire: 

modprobe ppp-compress-18

Noyau: le support MPPE ne suffit apparemment pas. Il me manque quelque chose d'autre (iptables?).

Configuration: 

# Installer pptpclient:
aptitude install pptpclient

# /etc/ppp/options.pptp est automatiquement créé, sinon cf [3]

# Description du VPN distant:
cat <<EOF > /etc/ppp/peers/cliss21
file /etc/ppp/options.pptp
# Username (1st field in /etc/ppp/chap-secrets)
name 'sylvain'
# Remote name (2nd field in chap-secrets, not needed if there's "*")
remotename 'cliss21'
# Use a command instead of a real tty
pty "pptp i.cliss21.org --nolaunchpppd"
EOF

# Fichier de mot de passe:
cat <<EOF > /etc/ppp/chap-secrets
"sylvain"       "cliss21"       "motdepasse"
EOF

Serveur

  • Configuration serveur: [4]
  • Pare-feu: protocole IP 47/GRE, 1723/tcp
  • Support MPPE inclus dans le noyau Linux depuis v2.6.15

OpenVPN

  • OpenVPN: solution basée sur TLS, ne nécessite aucun support noyau. Non intégré à Woe. Clients et GUI dispos pour GNU/Linux et Woe.
    • Pare-feu: 1194/udp (+ peut-être tcp pour le transport over TCP introduit dans la 1.5)

TCP over TCP

À creuser

  • VTun: Tun/Tap apparemment bien exploité. La documentation du noyau Linux dit qu'il peut faire VPN. Je n'ai rien trouvé dans la doc :/

Vieux

  • FreeS/WAN: abandonné et continué via les forks Openswan et strongSwan.
  • secvpn: construit un VPN à base de SSH et ppp, suivant le VPN HOWTO. TCP over TCP. Vieux.

Liens

Récupérée de « https://doc.cliss21.com/index.php?title=VPN&oldid=1765 »