Salut tout le monde

Bon aller, trève de smilley's.
J'ai installé une debian4 sur un petit serveur avec webmin en console d'administration + l'éternel serveur ssh (et oui, y'a que ca de vrai la ligne de commandes )

J'aurais plein de question mais j'épluche un peu tous les forums et tuto à travers la toile et je commence à me faire une pette idée du fonctionnement.

Toutefois, le serveur VPN est toujours utilisé comme une passerelle. Pensez vous que je puisse le mettre dans une DMZ et donc derrière mon routeur ? Je dis ca car la machine ne sera pas allumée 24h/24 ...

Au fait, le serveur VPN est Freeswan.

Et seconde question, j'y comprends rien au niveau des certificats. Que faut-il choisir : une PSK, un RSA, le X509 ? Tous sont-ils liés ou non ?

Merci d'avance

si je comprends bien tu as installé un serveur vpn freeswan sur une debian et tu veux qu'il te serve de point d'entrée depuis l'extérieur c bien ça ?
dans ce cas oui il est préférable qu'il soit sur la dmz, je rappelle au passage que tu dois avoir un firewall entre ta dmz et ton lan sinon ca sert à rien ^^
ce serveur utilise l'ipsec comme procotole de vpn, quant au certificat j'suis pas expert mais ils ne sont pas du tout liés mais plutot en concurence, chaque certificat étant franchement pas bien différent d'un autre... le plus important dans un certificat c de savoir qui le certifie !

ah oui il semble que le certificat le plus répendu soit le x509

merci loading,

ma config c'est : Internet - Freebox - Routeur Linksys - LAN

Et donc je voudrais faire une DMZ avec ce serveur. Sur ce dernier, je paramétrerai le firewall afin que ce ne soit pas un gruyère ^^

Quand tu dis "J'espère que t'as un firewall", tu parles sur la machine ou sur le routeur ?

Bref sans parler certificats, je vais d'abord essayer de faire un tunnel non sécurisé et ensuite, on verra comment on crypte.

Et est-ce qu'avec freeswan on peut connecter x clients ou bien on ne peut faire que du gateway à gateway ?

Le but final étant d'avoir un seul et meme réseau entre amis afin de jouer, partager des données ...
Le but étant aussi le perfectionnement à Linux ... et éviter windows2003 aussi ^^

pour qu'une dmz soit effective (cad que par principe ce soit une dmz), tu va créer un lan qui devra être séparé de ton vrai lan par un firewall, la dmz étant plus "ouverte" au monde exterieur que ton vrai lan... du coup pour protéger ton lan, tu dois mettre également un firewall entre ta dmz et ton vrai lan... si tu ne mets pas d'élément de sécurité entre ces 2 zones, cette zone n'a pas lieu d'exister et ton lan ne sera pas assez protégé, chais pas si je suis clair ?
ensuite un certificat n'a rien à voir avec un tunnel sécurisé ou non... un certificat permet, en général, d'instaurer une notion de confiance sur un système d'échange de données, que ton tunnel soit sécurisé ou non,... cad que le certificat se borgne à certifier (d'ailleurs plus l'autorité qui certifie est connue plus les clients seront confiants) que ton contenu correspond à ce que tu proposes... alors que la "securité" d'un tunnel a pour but d'éviter qu'un inconnu puisse capter des informations transistant entre le client et le serveur...
du coup tu peux très bien avoir un tunnel sécurisé ipsec par exemple, sans certificat ^^

je complète:
le cryptage de la clé n'a rien à voir avec un certificat !
regarde sur google le principe de fonctuionnement des vpns par ipsec et des échanges de clé

sinon je ne connais absolutment pas freeswan
sinon tu as aussi openvpn sous nix... -> http://www.nbs-system.com/article/openvpn2_howto

tiens la suite: http://www.nbs-system.com/dossiers/howto-iptables.html

et je peux donc avoir plusieurs clients nomades avec l'ipsec ?

pour la DMZ, je suis meme pas sur d'en avoir besoin. Il me suffit juste de rerouter le port 10000 par exemple sur mon serveur et laisser ce dernier écouter les connexions sur ce meme port ...

bon j'ai enregistré les liens et je ne manquerai pas de les potasser ... mais je voulais choisir freeswan car il est accessible et paramétrabe via l'interface de webmin ...
et pas openvpn..

bref tout ceci est encore un peu flou pour moi mais juré, d'ici un mois, je maitriserai le sujet et j'essaierai d'en faire profiter les autres

et vivement l'integration d'un serveur vpn dans la freebox ...

Le 13 avril 2007 - 14 h 40, AlCapone a écrit : et je peux donc avoir plusieurs clients nomades avec l'ipsec ?

evidement, ipsec c'est un protocole c tout ^^

pour la DMZ, je suis meme pas sur d'en avoir besoin. Il me suffit juste de rerouter le port 10000 par exemple sur mon serveur et laisser ce dernier écouter les connexions sur ce meme port ...

oui mais ca veut dire aussi que celui qui établi la connexion avec ton serveur aura accès à ton réseau en entier... c'est là qu'intervient le firewall et la dmz qui en résulte, le fait de créer un tunnel vpn permet d'éviter qu'un inconnu puisse capturer des trames (et que le client croit qu'il est physiquement sur le lan), mais une fois connecté à ton serveur il faut sécuriser la suite... cad l'accès à ton lan ^^ (à moins que tu ai super confiance envers les gens qui vont s'y conneter... )
sinon si le but est que tes potes se croient sur leur lan, peut etre tu devrais regarder du coté des vlan

Le 13 avril 2007 - 14 h 48, AlCapone a écrit : bon j'ai enregistré les liens et je ne manquerai pas de les potasser ... mais je voulais choisir freeswan car il est accessible et paramétrabe via l'interface de webmin ... et pas openvpn.. bref tout ceci est encore un peu flou pour moi mais juré, d'ici un mois, je maitriserai le sujet et j'essaierai d'en faire profiter les autres et vivement l'integration d'un serveur vpn dans la freebox ...

je pense que freeswan ne doit pas être bien différent

Le 13 avril 2007 - 15 h 00, Loading a écrit : Le 13 avril 2007 - 14 h 40, AlCapone a écrit : et je peux donc avoir plusieurs clients nomades avec l'ipsec ? evidement, ipsec c'est un protocole c tout ^^ pour la DMZ, je suis meme pas sur d'en avoir besoin. Il me suffit juste de rerouter le port 10000 par exemple sur mon serveur et laisser ce dernier écouter les connexions sur ce meme port ... oui mais ca veut dire aussi que celui qui établi la connexion avec ton serveur aura accès à ton réseau en entier... c'est là qu'intervient le firewall et la dmz qui en résulte, le fait de créer un tunnel vpn permet d'éviter qu'un inconnu puisse capturer des trames (et que le client croit qu'il est physiquement sur le lan), mais une fois connecté à ton serveur il faut sécuriser la suite... cad l'accès à ton lan ^^ (à moins que tu ai super confiance envers les gens qui vont s'y conneter... )

oui oui, j'ai entièrement confiance aux personnes qui se connecteront .;. et le but est justement que tout le monde ait acces au LAN entier (au SAN, aux autres machines et aux imprimantes partagées pourquoi pas)

m'enfin, les possibilités sont multiples ^^

après pour faire une DMZ, faut aussi avoir les moyens de tout sécuriser et vu que je suis juste là pour le fun, pour m'amuser et pour découvrir linux, je vais pas investir des milles et des cents

je pense rester sur du VPN ssl donc openvpn (j'utilise ca chez un client et je trouve cet outil génial ... vive le ssl )

au passage : http://www.coagul.org/article.php3?id_article=422

et chez ce client, il a un boitier spécifique qui regroupe tout en 1 : Un Sonicwall pour les connaisseurs

mouais sonicwall... et ses services...
bref, donc c bon ^^

bon la suite de mes aventures ...

j'ai fais un petit "apt-get remove freeswan" pour faire un autre "apt-get install openvpn"

là, c'est de la balle ... la connexion s'établit bien, il m'attribue soit disant une adresse 10.0.0.6 mais quand je me pointes sur les apramètres de la carte tun, j'ai une vieille adresse bidon fournie par windows ... :/

j'épluche, j'épluche mais si certains ont des idées ...

la carte tun ? c quoi ca ?
l'ifconfig donne quoi ?
des idées sur quoi ?

au fait tu sais que t'as un log sur openvpn ^^

vivi, j'ai regardé les logs et tout et tout ...
la carte tun, c'est une carte émulée permettant de connecter le VPN ...
en attendant, ca fonctionne depuis chez moi en local et en utilisant l'adresse publique.
il me reste plus qu'à faire des tests de l'exterieur et avec les jeux ^^

suffit de router les bons ports, sous openvpn il n'y en a qu'un il me semble non ?