Re: VPN

To: debian-user-french@lists.debian.org
Subject: Re: VPN
From: "Raphael SurcouF" <surcouf@grotte.org>
Date: Sat, 05 Apr 2003 15:31:17 +0200
Message-id: <[🔎] pan.2003.04.05.13.31.15.578775@grotte.org>
References: <[🔎] 1049491239.3e8df72752f0a@imp.free.fr>

On Fri, 04 Apr 2003 23:20:39 +0200, Guillaume LEHMANN wrote:

> Bonsoir, je voudrai mettre en place un VPN entre 2 sites, chacun contenant de
> nombreux réseaux, avec des débits de l'ordre de 3-4 Mbits.
> Je me suis tourné vers VTun et OpenVPN (stunnel ne correspondait pas à mes besoins).
> J'avais un faible sur OpenVPN, mais alors que sur le site de Debian je vois
> qu'il est disponible en Sarge et Sid, en me mettant en Sid (ou en Sarge) un
> apt-get install openvpn me dit que ce paquet n'est pas dispo !!
> 
> Est-ce que j'ai une couille quelque part, ou ce paquet ne fait réellement plus
> parti de la distrib ? Pb temporaire lié au changement de libc ?
> Si je ne peux plus l'avoir, VTun semblait avoir un fonctionnement similaire
> (interface tun). Est-ce qu'il est un bon substitu à OpenVPN ?

Retour d'expérience: si tu n'as que des hôtes sous Linux, VTun est un
meilleur substitut qu'OpenVPN, que je ne connais pas outre mesure.
Par contre, si tu as besoin de plus de sécurité, je te conseille de passer
à IPSEC mais c'est un peu plus compliqué à mettre en oeuvre mais l'usage
des clés RSA voire de certificats X.509 permettent d'assurer le tout.
De même, si tu as des clients sous Windows, je te conseille de te tourner
vers un serveur PPTP mais tu devras, tout comme IPSEC, patcher le noyau
pour un bon support MPPE (ainsi que pppd, soit dit en passant). Il est
également possible, dans ce cas, d'utiliser IPSEC avec des certificats
X.509 pour identifier le client Windows.

> Petite dernière question HS :
> Quitte à mettre en place un VPN, serait-ce suicidaire de placer du noyau 2.5.66
> avec IPSec (la machine ne serait utilisée pour rien d'autre) ?

Dans la mesure où tu n'es pas obligé de prendre un noyau en développement
pour avoir IPSEC, je dirais que oui. Il suffit simplement de prendre les
sources d'un noyau debian, par exemple kernel-source-2.4.20, et le patch
correspondant, kernel-patch-freeswan-ext[1]. A l'aide de l'outil make-kpkg
et de la doc, on construit alors très facilement un paquet d'un noyau
patchépour supporter IPSEC et ses diverses options. Il ne reste plus qu'à
installer les outils via le paquet freeswan et de configurer le tout en
s'appuyant sur la documentation disponible en ligne bien que quelque peu
indigeste et dispersée...

J'espère que tu auras les idées un peu plus claires à présent.

[1]: J'ai une préférence pour ext car il inclut les supports X.509 et
NAT-T et surtout, il sera toujours supporté par le mainteneur.
-- 
Raphaël SurcouF
surcouf@grotte.org

Reply to:

References:
- VPN
  - From: Guillaume LEHMANN <lehmann18@wanadoo.fr>

Prev by Date: Re: etat incoherent
Next by Date: Re: Cyrus21 et Postfix
Previous by thread: VPN
Next by thread: compilé ou non ?
Index(es):
- Date
- Thread