Différences entre versions de « VPN »
Sauter à la navigation
Sauter à la recherche
imported>SylvainBeucler m (config client) |
imported>SylvainBeucler m (→Serveur : configuration poptop) |
||
| Ligne 51 : | Ligne 51 : | ||
* Pare-feu: protocole IP 47/GRE, 1723/tcp | * Pare-feu: protocole IP 47/GRE, 1723/tcp | ||
* Support MPPE inclus dans le noyau Linux depuis v2.6.15 | * Support MPPE inclus dans le noyau Linux depuis v2.6.15 | ||
| + | |||
| + | Configuration serveur: | ||
| + | # Installer PoPToP: | ||
| + | aptitude install pptp-linux | ||
| + | |||
| + | # Authoriser l'accès vers sylvain@cliss21 pour toute adresse IP | ||
| + | # (recopier le chap-secrets du client et ajouter une '*' à la fin) | ||
| + | cat <<EOF >> /etc/ppp/chap-secrets | ||
| + | sylvain cliss21 motdepasse * | ||
| + | EOF | ||
| + | |||
| + | # Configurer le nom du serveur distant | ||
| + | sed -i -e 's/^name .*$/name cliss21/' /etc/ppp/pptp-options | ||
=== OpenVPN === | === OpenVPN === | ||
Version du 23 février 2007 à 16:25
Outils de référence
IPSec
- IPSec: utilise de nouveaux protocoles IP (AH/50 et ESP/51). Nécessite un support noyau (natif ou KLIPS(=*swan)) et un démon optionnel pour la gestion de clefs, en principe interopétables.
- strongSwan
- Openswan
- intégré au noyau
- racoon
- ... à trier ...
- Utilisé par L2TP/IPSec, inclus dans Woe (2K et + ?)
- Pare-feu: protocoles IP 50/AH et 51/ESP, ports 500/udp (isakmp) et 4500/udp (ipsec-nat-t / NAT traversal); 1701/udp l2tp (?)
PPTP
Client
- pptpclient: client GNU/Linux [1] [2]
- Inclus dans MS Woe depuis 95OSR2. Failles de sécurité dans la conception ainsi que dans l'implémentation, à réserver en solution de secours.
Nécessaire:
modprobe ppp-compress-18
Noyau: le support MPPE ne suffit apparemment pas. Il me manque quelque chose d'autre (iptables?).
Configuration:
# Installer pptpclient: aptitude install pptpclient # /etc/ppp/options.pptp est automatiquement créé, sinon cf [3] # Description du VPN distant: cat <<EOF > /etc/ppp/peers/cliss21 file /etc/ppp/options.pptp # Username (1st field in /etc/ppp/chap-secrets) name 'sylvain' # Remote name (2nd field in chap-secrets, not needed if there's "*") remotename 'cliss21' # Use a command instead of a real tty pty "pptp i.cliss21.org --nolaunchpppd" EOF # Fichier de mot de passe: cat <<EOF > /etc/ppp/chap-secrets "sylvain" "cliss21" "motdepasse" EOF
Serveur
- Configuration serveur: [4]
- Pare-feu: protocole IP 47/GRE, 1723/tcp
- Support MPPE inclus dans le noyau Linux depuis v2.6.15
Configuration serveur:
# Installer PoPToP: aptitude install pptp-linux # Authoriser l'accès vers sylvain@cliss21 pour toute adresse IP # (recopier le chap-secrets du client et ajouter une '*' à la fin) cat <<EOF >> /etc/ppp/chap-secrets sylvain cliss21 motdepasse * EOF # Configurer le nom du serveur distant sed -i -e 's/^name .*$/name cliss21/' /etc/ppp/pptp-options
OpenVPN
- OpenVPN: solution basée sur TLS, ne nécessite aucun support noyau. Non intégré à Woe. Clients et GUI dispos pour GNU/Linux et Woe.
- Pare-feu: 1194/udp (+ peut-être tcp pour le transport over TCP introduit dans la 1.5)
TCP over TCP
- TCP over TCP ?: d'après l'auteur, une mauvaise idée, avec dégradation facile du réseau.
- Tunnels ethernet avec openssh: OpenSSH 4 intégre TUN/TAP.
À creuser
- VTun: Tun/Tap apparemment bien exploité. La documentation du noyau Linux dit qu'il peut faire VPN. Je n'ai rien trouvé dans la doc :/
Vieux
- FreeS/WAN: abandonné et continué via les forks Openswan et strongSwan.
- secvpn: construit un VPN à base de SSH et ppp, suivant le VPN HOWTO. TCP over TCP. Vieux.
Liens
- Dirty NAT tricks to get a VPN to work with clients also numbered in the private address space: réadressage dynamique du réseau avec
iptables -j NETMAP.