Koozali.org: home of the SME Server

[resolu]openvpn

Offline cyrano

  • **
  • 56
  • +0/-0
[resolu]openvpn
« on: June 18, 2017, 04:42:24 PM »
salut les amis,

je suis en train de lire la doc sur openvpn et il y a un petit truc quie me tracasse.
Il est dit, sur des istes concernant openvpn, qu'il est meilleur d'installer openvpn en mode TUN et dans la doc de SMEserver il est écrit que ce qui est installé via smeserver-openvpn-bridge est en mode TAP.

de plus, si j'ai bien compris, OPENvpn et PHPki sont tilisés lorsque SMEserver est en mode Passerelle mais NON ROUTER.
j'ai installé mon SMEserver en Gateway + Router.

je me demande si je ne ferais pas mieux d'installer openvpn à partir du site openvpn et quelle solution de certificats adopter.

merci à tous
« Last Edit: June 21, 2017, 09:49:23 AM by cyrano »

Offline Daniel B.

  • *
  • 1,699
  • +0/-0
    • Firewall Services, la sécurité des réseaux
Re: openvpn
« Reply #1 on: June 19, 2017, 11:10:51 AM »
je suis en train de lire la doc sur openvpn et il y a un petit truc quie me tracasse.
Il est dit, sur des istes concernant openvpn, qu'il est meilleur d'installer openvpn en mode TUN et dans la doc de SMEserver il est écrit que ce qui est installé via smeserver-openvpn-bridge est en mode TAP.
Il faut bien comprendre le fonctionnement des 2 modes. Pour faire simple: oui, théoriquement, le mode tun est un peu plus performant (une couche de moins à encapsuler + pas de broadcast LAN transmis via le tunnel quand des clients sont connectés). Maintenant, pourquoi j'ai choisi le mode bridge (qui implique OpenVPN avec une interface tap) ? Simplement parce que le VPN dans ce mode permet au client d'être réellement sur le même segment que le LAN. Ce qui inclus donc tous les protocoles utilisant du multi-cast local (bonjour/avahi/zeroconf/upnp etc.). Dans la pratique, la différence de performance n'est pas perceptible. Tu pourra mesurer si tu y tiens. L’inconvénient principal du mode bridge/tap: pas de support sur les mobiles (iOS/Android). Pour ça, j'ai fait aussi la contrib smeserver-openvpn-routed, qui cette fois utilise une interface de type tun. Les clients VPN se retrouvant dans un segment séparé (puisque le mode tun implique du routage)

de plus, si j'ai bien compris, OPENvpn et PHPki sont tilisés lorsque SMEserver est en mode Passerelle mais NON ROUTER.
j'ai installé mon SMEserver en Gateway + Router.
Nop, toutes mes contribs OpenVPN (bridge, routed et s2s) sont utilisables aussi bien en mode serveronly qu'en server&gateway

je me demande si je ne ferais pas mieux d'installer openvpn à partir du site openvpn et quelle solution de certificats adopter.
Tu peux bien sûr installer à la main, mais je pense que tu vas vite te rendre compte que l'intégrer proprement sur SME est plus complexe que sur une distrib Linux classique. Qu'est-ce qui ne convient pas sur mes contribs ? Il manque quoi ?
C'est la fin du monde !!! :lol:

Offline trazomtg

  • ***
  • 119
  • +0/-0
Re: openvpn
« Reply #2 on: June 19, 2017, 02:14:15 PM »
c'est intéressant tout ça

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #3 on: June 19, 2017, 02:16:18 PM »
je ne me permettrais pas de dire ce qui ne va pas ou ce qu'il manque vu que je suis débutant dans le domaine SMEserver.
J'aimerais bien comprendre les méchanismes mis en oeuvre dans ton VPN.

sera t il possible dans ta configuration d'avoir 2 LAN, ou plus, connectés au SMEserver?

Merci
Cordialement

T.

Offline Daniel B.

  • *
  • 1,699
  • +0/-0
    • Firewall Services, la sécurité des réseaux
Re: openvpn
« Reply #4 on: June 19, 2017, 02:23:29 PM »
Je ne comprends pas vraiment la question. Mais si tu parles d'avoir les clients VPN dans un sous réseau différent du LAN, alors oui, c'est possible avec la contrib smeserver-openvpn-routed
C'est la fin du monde !!! :lol:

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #5 on: June 19, 2017, 10:57:41 PM »
je me suis sans doute mal exprimé:

j'ai 1 SMEserver
je veux avoir 2 LAN indépendants connectés à ce server.
chaque LAN possede 5 ordis.

est ce que je pourrai me connecter depuis internet à n'importe quel ordi de ces 2 LAN?

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #6 on: June 19, 2017, 11:11:26 PM »
j'ai vu qu'il y avait 2 servers VPN:  OPENvpn et SOFTEther VPN.
peux tu me dire quelles sont les grandes différences entre les 2 et ce que tu me conseilles éventuellement?  SOFTEther est plus récent et donc peut-être plus "évolué"..
merci

Offline Daniel B.

  • *
  • 1,699
  • +0/-0
    • Firewall Services, la sécurité des réseaux
Re: openvpn
« Reply #7 on: June 19, 2017, 11:16:21 PM »
Avoir 2 lan physiques (hors VPN) n'est pas supporté, à moins d'avoir un routeur sur le premier LAN (celui relié à la SME) qui permet d'atteindre le second lan. Mais quel serait le but ?
Pour OpenVPN vs SoftEther, je ne peux pas dire. Je préfère OpenVPN parce que je le connais bien, il est très stable, et performant.
C'est la fin du monde !!! :lol:

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #8 on: June 20, 2017, 11:00:44 AM »
je voulais isoler 2 LAN contenant chacun 5 ordis et connectés au SMEserver.

si j'installe une 2è carte reseau ethernet sur mon serveur SME c'est à dire que celui-ci aura 2 interfaces internes et 1 interface externe, est ce que ça peut marcher?

question subsidiares:
      pour accéder à internet à partir d'un ordi sur mon LAN est ce que je dois installer OPENvpn server sur ma machine SMEserver et un OPENvpn client sur mon poste ? ou le client suffit-il, avec un server VPN quelque part sur le net?
      si j'installe OPENvpn server sur mon SMEserver et OPENvpn client sur un ordi connecté et que je me connecte à OPENvpn  server depuis mon client, est ce que j'irai bien sur internet en passant par le VPN?
     

Offline Daniel B.

  • *
  • 1,699
  • +0/-0
    • Firewall Services, la sécurité des réseaux
Re: openvpn
« Reply #9 on: June 20, 2017, 11:06:25 AM »
je voulais isoler 2 LAN contenant chacun 5 ordis et connectés au SMEserver.

si j'installe une 2è carte reseau ethernet sur mon serveur SME c'est à dire que celui-ci aura 2 interfaces internes et 1 interface externe, est ce que ça peut marcher?
C'est sans rapport avec ce topic. La réponse courte: c'est pas possible. La réponse longue: c'est pas supportée de base, mais ça reste possible avec beaucoup d'efforts et de personnalisations. Je ne conseille pas du tout. Il me semblerait par exemple plus simple de mettre en place un pfsense ou équivalent, avec 4 interfaces (1 wan, 1 pour SME, 2 pour les lan, séparés et isolés entre eux)

question subsidiares:
      pour accéder à internet à partir d'un ordi sur mon LAN est ce que je dois installer OPENvpn server sur ma machine SMEserver et un OPENvpn client sur mon poste ? ou le client suffit-il, avec un server VPN quelque part sur le net?
Non, depuis le LAN, pas besoin de VPN quelqu'il soit pour accéder à Internet
      si j'installe OPENvpn server sur mon SMEserver et OPENvpn client sur un ordi connecté et que je me connecte à OPENvpn  server depuis mon client, est ce que j'irai bien sur internet en passant par le VPN?
Ça dépend de la redirection de passerelle. Pour ma contrib smeserver-openvpn-bridge, c'es documenté https://wiki.contribs.org/OpenVPN_Bridge#Advanced_configuration
C'est la fin du monde !!! :lol:

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #10 on: June 20, 2017, 11:15:25 AM »
merci pour tes réponses.


je ne comprends pas bien ta 2ème réponse, ma question étant sans doute mal formulée:  est ce que pour avoir une liaison VPN avec un site internet en me connectant à un server VPN (gratuit ou payant) l'installtion de OPENvpn client sans OPENvpn server donc sur le SMEserver suffit  elle?

ma question est peut-être idiote, j'en conviens.

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #11 on: June 20, 2017, 06:02:59 PM »
j'aimerais comprendre comment tu as créé la contrib OPENvpn. Est ce que tu peux me dire ou je peux avoir les sources de ta contrib?

que me conseilles tu? smeserver-openvpn-bridge ou smeserver-openvpn-routed?

merci
« Last Edit: June 20, 2017, 06:10:43 PM by cyrano »

Offline Daniel B.

  • *
  • 1,699
  • +0/-0
    • Firewall Services, la sécurité des réseaux
Re: openvpn
« Reply #12 on: June 20, 2017, 06:30:56 PM »
j'aimerais comprendre comment tu as créé la contrib OPENvpn. Est ce que tu peux me dire ou je peux avoir les sources de ta contrib?
http://sme-mirror.firewall-services.com/releases/9/smecontribs/SRPMS/smeserver-openvpn-bridge-2.1-7.el6.sme.src.rpm
que me conseilles tu? smeserver-openvpn-bridge ou smeserver-openvpn-routed?

Tout dépend des besoins. Tu peux utiliser les 2. Pour des postes classiques, je conseil le bridge, la contrib dispose d'un panel assez confortable. Si tu as des mobiles (iOS/Android), le routed.
C'est la fin du monde !!! :lol:

Offline cyrano

  • **
  • 56
  • +0/-0
Re: openvpn
« Reply #13 on: June 20, 2017, 08:37:48 PM »
merci merci!!!!

j'ai une derniere question idiote:

si j'installe OPENvpn server sur mon SMEserver (ordi A) et que j'installe un client sur un ordi (ordi B) connecté au SMEserver et donc au OPENvpn server, est ce que je pourrai naviguer sur internet depuis l'ordi B en bénéficiant des mon OPENvpn (l'adresse de ma freebox n'apparait plus sur internet)?

ou bien!!!! dois je me connecter avec mon client VPN depuis mon ordi B à un server VPN gratuit ou payant fourni par un prestataire de VPN ?

 8-) apres, je ne t'embete plus!!!  enfin peut etre!!! :-P

Offline Daniel B.

  • *
  • 1,699
  • +0/-0
    • Firewall Services, la sécurité des réseaux
Re: openvpn
« Reply #14 on: June 20, 2017, 08:46:05 PM »
Désolé, je ne comprends pas la question
C'est la fin du monde !!! :lol: