[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Raccoon, StrongSwan ou autre ?

Bonjour,

Bzzz a écrit :

On Fri, 16 Aug 2013 18:18:43 +0200
Olivier <oza_4h07@yahoo.fr> wrote:


Je fais mes besoins immédiats dans l'accueil de road warrior sur
un serveur squeeze (qui va bientôt passer à wheezy).


Tu vas te faire chibaver jusqu'à plus soif,
montes plutôt une infrastructure OpenVPN
bcp plus souple.



J'aime beaucoup le terme :-) .
Je suis d'accord avec Bzzz sur le fait qu'OpenVPN soit particulièrement efficace et beaucoup plus simple à mettre en route : A titre perso et pro, c'est ce que j'utilise partout . Mais le contexte est différent : Infra sous Linux et Open/FreeBSD sur lequel le paquet OpenVPN est disponible au bout de quelques commandes. 


- les clients sont de type PC portable sous squeeze, tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de différentes versions,


C'est la que le bas blesse (pour le moment en tout cas) :
* PC Portable sous squeeze, pas de soucis : apt-get install openvpn, copie des fichiers idoines et c'est parti.
* Sur Android, j'ai personnellement testé : Ca marchotte ... si tant est que le phone soit rooté et qu'on fasse passer ca en TCP (beurk) et en mode tun (enormes difficultés à fonctionner en tap). De la à utiliser ca en prod, y'a un énorme pas ...
* Sur iPhone et iPad , je n'ai pas testé personnellement, mais le peu de témoignage que j'en ai eu, m'ont fait part des pires difficultés à faire fonctionner OpenVPN dessus (bien pires que sur Android) de part la nature particulièrement fermée de l'OS. (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce qu'il se passe ???)
A côté de ca , IPSec/L2TP est natif sur les terminaux mobiles précédemment cités. Mais d'une utilité particulièrement limitée de mon point de vue (voir la suite). 



- le serveur a une IP privée mais est connecté à un modem-routeur avec IP fixe dont je maîtrise le paramétrage
Problème étant que quand il s'agit de faire passer ce genre de protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP locale), et puis à travers les réseaux mobiles, les ennuis arrivent a grand pas :( . Sur les modems-routeurs classiques, tu as bien souvent possibilité de rediriger le traffic en TCP ou UDP, mais quand ca part dans du AH ou ESP, ca trouve vite ses limites. 

Quel est le modem/routeur en question ?



- pour les clients de type téléphone ou tablettes, j'aimerai que le lancement du client IPSEC soit automatique dès que l'utilisateur saisit dans son navigateur une IP privée appartenant au VPN.


Je crains malheureusement que cela soit utopique :( .





@+
Christophe.
Reply to: