Re: Conseils sur le routage de client à client avec OpenVPN

[Daniel Huhardeaux <no-spam@tootai.net>]

Le 24/01/2019 à 10:54, Olivier a écrit :
> Bonjour,
>
> La nuit porte conseil et en repensant à ce qui précède, je pense que mon 
> besoin premier est d'utiliser mon VPN comme un tunnel laissant passer 
> des flux entre deux clients du VPN
> sans les interpréter lui-même.
>
> Le VPN est le seul lien que j'ai avec des sites distants et je ne peux 
> pas risquer de perdre un lien en reconfigurant OpenVPN.
> Or il me semble que les paramètres de routage d'OpenVPN ont une portée 
> générale avec des précautions que j'ai du mal à respecter (adresses 
> uniques, ...).
>
> En conclusion:
> 1- je ne change pas ma configuration d'OpenVPN
> 2- s'il existe une technique pour utiliser ma configuration OpenVPN 
> comme un "tunnel entre mon PC et un LAN distant" et sans le 
> re-configurer, ça m'intéresse
> 3- s'il existe une autre technologie de VPN (IPSEC ? Wireguard ? ...) 
> pour faire ce que je recherche et utilisable en parallèle à OpenVPN, ça 
> m'intéresse aussi.
>
> Pour le point 3, je n'ai pas besoin d'avoir un tunnel permanent entre 
> mon PC et le LAN distant: j'ai juste besoin de pouvoir établir ce tunnel 
> le temps d'une session de déboguage.
> Je peux pouvoir initier ce tunnel quand je suis en déplacement et 
> connecté à réseau local dont je ne pourrai pas modifier la configuration 
> du routeur: je devrai donc passer par une machine tierce sur Internet 
> qui aura les ports ouverts nécessaires.
>
> Pour compléter mon cahier des charges:
> - toutes les machines concernées (mon PC, machine tierce, routeur sur le 
> LAN distant) sont sous Debian avec toutefois des versions variées 
> (jessie, stretch, ...).
>
> Conseils, remarques et suggestions bienvenues !

Rien ne t'empêche de mettre une seconde configuration VPN en parallèle 
chez tes clients (et chez toi) sur un autre port !

Pour ma part, je réitère: un serveur VPN central sur lequel vont se 
connecter les clients et toi, du réseau bureau ou déplacement.

                serveur VPN
                /     | ...\
            clt1    clt2    Cltx

Le lien est permanent pour les clients sauf pour toi (si tu le désire)

Pas de port ouvert sauf celui pour le VPN et ssh en secours. Cela veut 
dire que tu pourras te connecter (ssh avec mot de passe) chez tes 
clients à partir de n'importe quel matériel, pas seulement de ceux qui 
te sont connus.


> Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg <pascal@plouf.fr.eu.org 
> <mailto:pascal@plouf.fr.eu.org>> a écrit :
>
>     Le 23/01/2019 à 15:58, Olivier a écrit :
>      >
>      > [1] https://serverfault.com/questions/736274/openvpn-client-to-client
>
>     Ce lien confirme ce que j'écrivais ci-dessous :
>
>      > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg
>     <pascal@plouf.fr.eu.org <mailto:pascal@plouf.fr.eu.org>> a
>      > écrit :
>      >
>      >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
>      >>>
>      >>> 1. Oui tu as bien compris, client-to-client ne transite pas le
>     paquet par
>      >>> le serveur. Du coup pas de filtrage possible si c'est option
>     est activée.
>      >>
>      >> Si j'ai bien compris, plus précisément les paquets envoyés à
>     l'intérieur
>      >> du tunnel entre deux clients ne transitent pas par l'interface
>     tun/tap
>      >> ni la pile réseau de la machine qui fait tourner le serveur openvpn,
>      >> mais les paquets transportant le tunnel passent quand même par le
>      >> serveur openvpn.