Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Petit conseil

Bonjour,

Tout d'abord, je précise je suis un bleu en VPN ... Après m'etre pas mal documenté sur internet et n'ayant pas vraiment trouvé de réponse à mes question je viens demandé votre avis sur la chose.

Alors je m'explique: Je souhaite tout d'abord faire du Host-to-Net, j'ai pu lire que certain protocole VPN ont du mal à passer le NAT et les Firewall et c'est exactement mon cas

internet -- Router (en mode bridge) -- Firewall -- Server Win2K

Dans un premier temps, quelle serait le meilleur emplacement pour mon server VPN et quels type de protocole VPN utiliser ?

Je vous remercie d'avance pour le temps que vous me consacrez.

Bonne journée

Yann
Je te conseille d'utiliser OpenVPN.

J'ai fait un petit tuto en elearning. La passerelle résau est sous linux, mais c'est pareil sous windows.

[url=http://elearning.itinet.fr/cours_intechinfo/securite/Installation%20d'un%20serveur%20VPN%20avec%20OpenVPN%20sous%20Debian/index.html]Serveur OpenVPN sous Debian[/url]
[url=http://elearning.itinet.fr/cours_intechinfo/securite/Installation%20d'un%20client%20VPN%20avec%20OpenVPN%20sous%20Windows/index.html]Client OPenVPN sous windows[/url]
Bonjour,

En IPSEC, la NAT (et PAT) ne pose quasiment plus de problème grace à la mise en oeuvre de la fonctionnalité "Nat Traversal" qui encapsule le trafic IPSEC (ESP et/ou AH) dans de l'UDP (port 4500).

La passerelle VPN est en général hebergée sur une DMZ privée et le trafic des utilisateurs est soit filtré directement au niveau du concentrateur VPN (avec en général la granularité par utilsateur) soit au niveau du Firewall, voire les 2.

IPSEC est la méthode la plus sécurisée (notamment si on active l'authentification mutuelle par certificat) et la plus performante pour faire du VPN, mais nécessite l'installation d'un client IPSEC sur le poste nomade, ce qui peut occasionner une charge d'administration conséquente (si on le compare à du VPN SSL).

Bonne chance,

SR.

Ah bon ? Qu'apporte IPsec de mieux qu'OpenVPN ?

Je précise au passage qu'IPsec est vieux de dix ans, et un certain nombre de contraintes qui n'avaient pas lieu d'être aujourd'hui font que l'évolution d'IPsec a été quelque peu chaotique. IPsec était pensé pour être intégré à IPv6 et non IPv4.
Notamment, au fur et à mesure que les problèmes étaient découverts, chaque fournisseur créait sa propre solution, ne pouvant pas attendre les stadards. A l'arrivée, la plupart des matériels constructeurs n'étaient pas compatibles, et beaucoup encore aujourd'hui nécessitent de désactiver des fonctions propriétaires pour pouvoir fonctionner ensemble.

OpenVPN, plus jeune et mieux pensé répond nativement à tous les problèmes que peut poser IPsec, le tout avec les derniers algorithmes implémentés comme AES plutôt que DES pour le chiffrement des échanges, la traversée native de la NAT, le bridging, l'utilisation d'un seul et unique port, la souplesse d'utilisation de TCP ou UDP au choix.

Bref, mieux quoi 🙂
Je conseille de suivre le conseil de reytans. OpenVPN est une application utilisant le protocole IPSec.
Vaut mieux être sourd que d'entendre ça ! 😥
OpenVPN s'appuie sur SSL et surtout pas sur IPsec.
[url]http://openvpn.net[/url]
Extrait:
"OpenVPN is a full-featured SSL VPN solution"
wi effectivement j'ai rapidement survolé. t'as raison sur ce point.

l'important est que openVPN est une application alors que SSL et IPSec sont des protocoles. sans petite phrase méchante :), on ne compare pas une application à un protocole.
par contre, IPSec est plus sécurisé que SSL.

Voila voila.

On peut en savoir plus là dessus ?
IPSec est un protocole couche réseau donc le paquet est chiffré depuis la couche 7 jusqu'a la couche 3. par contre, SSL est un protocol niveau 7 inférieure et donc seul le message est chiffré, l'entete UDP/TCP et IP ne sont pas chiffrés.

Plus d'informations sont disponible sur le site.

Mais ces informations sont publiques, quel problème cela pose-t-il ? en quoi cela diminue le niveau de sécurité ?
Dans le sens ou cela permet une analyse du trafic et la frequence des échanges :

qui interroge qui à l'aide des adresses IP.
les numeros de port montre les services utilisés.
Ah bah non, les paquets sont encapsulés dans les données SSL, on ne voit rien de ce qui passe.
dans ce cas, Comment se fait le routage si l'entete IP est chiffré ?
Tout le paquet est chiffré, encapsulé dans les données applicatives et réencapsulé dans un nouveau paquet tout prop' tout neuf qui peut passer en clair sans problèmes.
Je propose qu'on arrete ce flamme..

OpenVPN est une solution robuste, basée en première approximation sur SSL mais apportant de nombreuses améliorations/fonctionnalités de sécurité/performance (telles que la protection anti-replay, désactivation de la gestion des pertes de paquets au niveau du tunnel, etc..) à l'instar d'IPSEC.

Si OpenVPN est plaisant, il n'en demeure pas moins une solution non standardisée (pas de RFC à ma connaissance) et non supportée par les grands constucteurs/éditeurs (CheckPoint, Cisco, Juniper, etc..).
Or en général ce sont les petites fonctionnalités propriétaires (genre Cisco DMVPN, processeur crypto embarqué, NAT-T à une époque, GUI sympa ..) et/ou l'intégration de plusieurs fonctions (i.e. firewall multi-pattes, stateful failover, IDS, etc..) au sein du même boitier qui font la différence.
D'ailleurs, même Cisco pousse pour des solutions hybrides : tunnel GRE encapsulé dans IPSEC (i.e ESP)

Donc si la question est de monter un tunnel sécurisé de "démonstration", OpenVPN est un très bon choix.

Si le but est de monter un réseau international de production comportant 1000 points de terminaison VPN et utilisant potentiellement plusieurs matériels de constructeurs différents, le choix d'IPSEC s'impose.

Bonne soirée

SR.
Bonjour,

Mon probleme est le suivant, j'ai configurer mon vpn,mais je n'arrive pas a l'utiliser , mon adresse ip fixe est obsolete pourtant mon provider me confirme ca validité, c'est vrai que j'arrive a la pingé, et quand j'essaye de me connecté avec l'adresse ip hamachi , ca marche, je ne sais pas mais je pense qu'il faudrai que je fixe mon ip fixe sur mon serveur vpn, mais je n'ai su comment.

HeLp Merci