Optimisation de VPN


#1

Bonjour,
j’ai actuellement deux sites, interconnectés en VPN par PPTP.
Ca n’a jamais vraiment bien fonctionné (traffic lent, tunnel qui saute, etc), et malgré le passage en mppe, ça m’inquiète fort en terme de sécurité.
J’ai donc essayé de passer en ipsec, avec racoon, mais si j’arrive bien à configurer un tunnel entre les serveurs des deux sites quand les deux ip sont statiques (dans le VPN pptp), je n’arrive pas à configurer une interconnection au travers de l’internet, mon site distant ayant une adresse dynamique.

Nous mettons en chantier l’ouverture de deux sites supplémentaires, et je dois donc mettre au carré les interconnections, qui vont désormais servir intensément pour du flux mail et AD.

Je me demandais si l’utilisation de tunelling ssh n’etait pas mieux, mais je ne connais pas les performances.

Avez vous une idée de la solution optimale en terme de vitesse (sans tout sacrifier de la sécurité) que je devrais utiliser ?


#2

Tu as essayé OpenSSL ? Pour faire circuler les données sur le net de façon scripté, avec une compréssion des données en temps réel OpenVPN (flag --comp-lzo). L’important c’est que le destinataire ait une bonne clé SSL, ensuite, même s’il est en ip-dynamique, SSL devrait permettre le tunneling lors du saut d’adresses IP, en principe (jamais essayé toutes mes adesses sont statiques), en mettant quand même la bonne IP actuelle du destinataire lors de la création du tunnel. Lors du saut d’IP, SSL devrait garder la connexion.

Un super tuto Vpn - SSL, en français :
christian.caleca.free.fr/crypt/


#3

Vu. Ca à l’air simple et rapide à mettre en oeuvre.
Tu connais les qualités comparées des differents types de tuyau, ou bien tu connais une page qui en parle ?


#4

En fait, OpenVPN permet 2 type de tunnels, le TUN et le TAP. Le Tun encapsule en IPv4 ou v6, tandis que le Tap le fait en Ethernet 802.3 (pour les réseau locaux). Le Tap est plus rapide, et plutôt à utiliser pour les débits locaux (100Mbit et plus). Mais pour le net, on est obligé de passer par le Tun.

Dans la config du VPN, on peut indiquer que le tun sera dynamique avec une ligne “dev tun”.
Cf. man openvpn. Il est bien ce man, complet et détaillé.


#5

Bah, je parlais entre openVPN et les autres, mais bon.
Je vais regarder ça moi même (mais je suis ouvert à d’autres suggestions).


#6

Par contre, pour le cryptage SSL, en France il est interdit d’utiliser des clés de plus de 128 bits, pour des raisons de sécurité (dans le tuto, il utilise une clé de 1024 bits… :laughing: … ). Au USA, le maximum authorisé est de 256 bits, pour le civil.

Je n’ai pas testé les autres logiciels de VPN.


#7

pendant un temps j’avais tenté de mettre en place stunnel.

66.249.93.104/search?q=cache:oqI … nt=firefox)

il permet de crypter tout type de données que ce soit sous nunux ou sous dodoz.

stunnel.mirt.net/
delafond.org/traducmanfr/man … nel.1.html

j’espère que ca t’aidera.


#8

[quote=“Damsss”]Par contre, pour le cryptage SSL, en France il est interdit d’utiliser des clés de plus de 128 bits, pour des raisons de sécurité (dans le tuto, il utilise une clé de 1024 bits… :laughing: … ). Au USA, le maximum authorisé est de 256 bits, pour le civil.

Je n’ai pas testé les autres logiciels de VPN.[/quote]Si je me souviens bien, je crois que c’est fini l’epoque ou la legislation sur le cryptage etait comparable à celle de l’irak ou de la lybie. Je crois que maintenant, une simple déclaration d’utilisation d’un cryptage fort suffit (l’industrie civile a trop besoin de ça).


#9

Twistophe: pour répondre à ta suggestion, je crains que ca ne colle pas.
stunnel fait du tunnelling “port à port”, ce qui veut dire que je serais obligé d’encapsuler mon traffic LAN, même non crypté, dans un autre protocole que je ferais passer par ce trou sur un port . Je pourrais peut être repasser à ppp au lieu de pptp, mais ca ne règle pas fondament mon problême.
Par ailleurs, si je me limite à ne laisser passer et ne crypter que certains protocoles, ça voudra dire que je serais obligé de faire un routage spécial, au travers de l’internet, entre machines disposant d’adresses LAN privées.
Alors je peux faire une translation d’adresse quelconque pour “mapper” la manière dont les adresses d’un LAN distant avec des adresses dispos en local, pour ces protocoles la, mais bon… ca oblige a faire beaucoup de config en dur.
Ceci étant dit, c’est pas fondamentalement different d’un tunnel par ssh, non plus.
Mais dis moi, as tu vu passer des benchmark, dans ce que tu as pu voir ?
C’est surtout ça qui m’interresse (même si je suis ouvert aux suggestions exotiques).


#10

quoique plutot qu’un mode ppp compliqué avec un gros démon, un bête netcat dans un stunnel…


#11

mais que je suis con. j’aurais toujours besoin de l’ip en point à point, donc du pppd…