[vpn] création d'un serveur VPN


#1

Salut,

j’ai fait quelques recherches sur VPN et je ne sais pas quoi faire ou comment commencer.

Est ce que quelqu un sait comment installer un reseau VPN sur un serveur Debian (sans GUI). Il faut que ce soit sure aussi… J avais entendu qu il y avait des probs de securité avec certaines versions de VPN

MERCI !


#2

Il y a effectivement des considerations de securité dans le choix, mais aussi de complexité.

Si tu veux fonctionner avec des clients windows et un minimum de cryptage, le plus simple et que j’utilise, c’est du vpn pptp, mais il faut compiler ton noyau avec le support mppe (propriètaire M$, donc pas natif ds le noyau) pour pouvoir activer le cryptage:
poptop.sourceforge.net/dox/


#3

Sinon, j’ai entendu dire du bien d’openSwan, mais j’ai beau faire, je ne comprends rien à l’IPSec…
Pas assez parano ?


#4

ok. Je viens de regarder openSwan ca a l’air d’être sure et balaise à configurer… je regrette l’époque windows avec le fichier.exe ou tout s’installait tout de suite…

Bon, avant que je me lance dans l’installation de ce truc, est ce que quelqu’un a quelque chose à me conseiller? (un autre logiciel, un avis pour commencer, des petits trucs…)

Merci par avance !


#5

[quote=“MattOTop”]Sinon, j’ai entendu dire du bien d’openSwan, mais j’ai beau faire, je ne comprends rien à l’IPSec…
Pas assez parano ?[/quote]

Je savais même pas qu’il éxistait des solutions de VPN non basée sur IPSec :confused:


#6

comme je te disais, il y a le serveur poptop (paquet pptp-server, si je me souviens bien).
C’est simplissime à configurer coté client windows, et pour des clients linux, c’est pas plus compliqué que n’importe quelle config ppp.
Le serveur aussi est simple à mettre en oeuvre.


#7

j ai lu que le pptp avait des failles c est pour ca que je cherche autre chose…
http://blogs.zdnet.com/Ou/index.php?p=21

si tu dis que si je force les clients à choisir une bonne clef de sécurité est une bonne politique je pense que je prendrais le pptp… :slightly_smiling:


#8

Ben écoutes ça m’a l’air plus convaincant en terme de facilité de cassage annoncé que ce que j’avais pu voir jusque là :cry:
Donc, ça me parait interressant de faire passer mes tuyaux sur une techno plus fiable pour ce qui est de mes VPN pros…
Je suis donc à présent dans la même démarche que toi…
Demain, je reregarde openswan…


#9

LOL heureux de t avoir rendu service :laughing:


#10

C’est bien ce que je disais:
j’ai installé openswan, fait tout comme on me disais pour créer une CA et génèrer mes clés (en ne comprenant rien à quelle réfèrence de clé il faut mettre où, malgré tous les exemples).
Mais quoi qu’il arrive, quand je fais un ‘ipsec verify’, j’ai une erreur
Checking for RSA private key (/etc/ipsec.secrets) [FAILED]
ipsec showhostkey: no default key in "/etc/ipsec.secrets"
comprend rien, ça me gave !!!
et encore: j’en suis qu’a la configuration du serveur. J’imagine quand il va falloir configurer mes routeurs Netopia. Je ne sais même pas s’ils gèrent l’ipsec de manière compatible (déjà, j’en ai bavé lors de la configuration pptp parceque les deux routeurs Netopia n’utilisait pas un cryptage compatible entre elles, alors je sent que ca va être la galère)…
rrrrrrrrrrraaaaaaaaaaahhhhhhhhh !!!


#11

si un modérateur de Forum debian a des probs… moi neophyte je sens que je vais galérer… J’ai vu que pfsense (un dérivé de monowall) a un serveur VPN intégré (si je ne me trompe pas…).

Du coup je me demande s’il ne serait pas plus judicieux de faire l’installation avec… une idée que je lance juste comme ca :slightly_smiling:

PS: au fait tu as quoi dans ton fichier /etc/ipsec.secrets ?


#12
: RSA /etc/ipsec.d/private/emeraude.pem "<ma passphrase>"

Mais là, je suis en pause, je m’y remet demain AM.
Si tu n’as pas d’autre usage que du VPN, une distrib dédiée est une bonne solution (faut juste voir la vitesse de correction des bugs)…


#13

En fait j’ai plein de services et je sais que c’est bien séparer le plus que possible les services…

En ce qui concerne pfsense c’est une solution radius gratuite, donc protection firewall, vpn, etc.

Je vais devoir en monter un bientot… :frowning: je deviens un vrai linuxien… alors que je n’ai commencé linux que depuis 8mois… LOL


#14

oui, mais ce que je voulais dire pour pfsense, c’est qu’il est important pour un dispositif de sécurité que les failles soient vites corrigées (et non pas les bugs, comme je l’ai dit avant).
Aprés, la dispersion des services, ca depend de tes moyens financiers et humains, parceque ca peut devenir vite couteux…


#15

Salut,

C’était juste pour avoir des nouvelles à propos de ton VPN… tu as réussi? si oui qu’est ce que tu utilises? des conseils pour le neophyte que je suis?

A plus :smiley:


#16

Je viens squatter votre fil.

Apparemment pour des solutions à base de ssl il faut que /dev/net/tun soit activé dans le noyau ou chargé en module.
Chez moi il est bien chargé en tant que module, mais j’aimerai simplement confirmation que :

Network device support>
Universal TUN/TAP device driver support

ne nécéssite pas une recompilation du noyau pour utiliser openvpn ou tinc.

mici mici

sich