Topic: [resolu]openvpn

[cyrano]

salut les amis,

je suis en train de lire la doc sur openvpn et il y a un petit truc quie me tracasse.
Il est dit, sur des istes concernant openvpn, qu'il est meilleur d'installer openvpn en mode TUN et dans la doc de SMEserver il est écrit que ce qui est installé via smeserver-openvpn-bridge est en mode TAP.

de plus, si j'ai bien compris, OPENvpn et PHPki sont tilisés lorsque SMEserver est en mode Passerelle mais NON ROUTER.
j'ai installé mon SMEserver en Gateway + Router.

je me demande si je ne ferais pas mieux d'installer openvpn à partir du site openvpn et quelle solution de certificats adopter.

merci à tous

[Daniel B.]

je suis en train de lire la doc sur openvpn et il y a un petit truc quie me tracasse.
Il est dit, sur des istes concernant openvpn, qu'il est meilleur d'installer openvpn en mode TUN et dans la doc de SMEserver il est écrit que ce qui est installé via smeserver-openvpn-bridge est en mode TAP.

Il faut bien comprendre le fonctionnement des 2 modes. Pour faire simple: oui, théoriquement, le mode tun est un peu plus performant (une couche de moins à encapsuler + pas de broadcast LAN transmis via le tunnel quand des clients sont connectés). Maintenant, pourquoi j'ai choisi le mode bridge (qui implique OpenVPN avec une interface tap) ? Simplement parce que le VPN dans ce mode permet au client d'être réellement sur le même segment que le LAN. Ce qui inclus donc tous les protocoles utilisant du multi-cast local (bonjour/avahi/zeroconf/upnp etc.). Dans la pratique, la différence de performance n'est pas perceptible. Tu pourra mesurer si tu y tiens. L’inconvénient principal du mode bridge/tap: pas de support sur les mobiles (iOS/Android). Pour ça, j'ai fait aussi la contrib smeserver-openvpn-routed, qui cette fois utilise une interface de type tun. Les clients VPN se retrouvant dans un segment séparé (puisque le mode tun implique du routage)

de plus, si j'ai bien compris, OPENvpn et PHPki sont tilisés lorsque SMEserver est en mode Passerelle mais NON ROUTER.
j'ai installé mon SMEserver en Gateway + Router.

Nop, toutes mes contribs OpenVPN (bridge, routed et s2s) sont utilisables aussi bien en mode serveronly qu'en server&gateway

je me demande si je ne ferais pas mieux d'installer openvpn à partir du site openvpn et quelle solution de certificats adopter.

Tu peux bien sûr installer à la main, mais je pense que tu vas vite te rendre compte que l'intégrer proprement sur SME est plus complexe que sur une distrib Linux classique. Qu'est-ce qui ne convient pas sur mes contribs ? Il manque quoi ?

[trazomtg]

c'est intéressant tout ça

[cyrano]

je ne me permettrais pas de dire ce qui ne va pas ou ce qu'il manque vu que je suis débutant dans le domaine SMEserver.
J'aimerais bien comprendre les méchanismes mis en oeuvre dans ton VPN.

sera t il possible dans ta configuration d'avoir 2 LAN, ou plus, connectés au SMEserver?

Merci
Cordialement

T.

[Daniel B.]

Je ne comprends pas vraiment la question. Mais si tu parles d'avoir les clients VPN dans un sous réseau différent du LAN, alors oui, c'est possible avec la contrib smeserver-openvpn-routed

[cyrano]

je me suis sans doute mal exprimé:

j'ai 1 SMEserver
je veux avoir 2 LAN indépendants connectés à ce server.
chaque LAN possede 5 ordis.

est ce que je pourrai me connecter depuis internet à n'importe quel ordi de ces 2 LAN?

[cyrano]

j'ai vu qu'il y avait 2 servers VPN:  OPENvpn et SOFTEther VPN.
peux tu me dire quelles sont les grandes différences entre les 2 et ce que tu me conseilles éventuellement?  SOFTEther est plus récent et donc peut-être plus "évolué"..
merci

[Daniel B.]

Avoir 2 lan physiques (hors VPN) n'est pas supporté, à moins d'avoir un routeur sur le premier LAN (celui relié à la SME) qui permet d'atteindre le second lan. Mais quel serait le but ?
Pour OpenVPN vs SoftEther, je ne peux pas dire. Je préfère OpenVPN parce que je le connais bien, il est très stable, et performant.

[cyrano]

je voulais isoler 2 LAN contenant chacun 5 ordis et connectés au SMEserver.

si j'installe une 2è carte reseau ethernet sur mon serveur SME c'est à dire que celui-ci aura 2 interfaces internes et 1 interface externe, est ce que ça peut marcher?

question subsidiares:
      pour accéder à internet à partir d'un ordi sur mon LAN est ce que je dois installer OPENvpn server sur ma machine SMEserver et un OPENvpn client sur mon poste ? ou le client suffit-il, avec un server VPN quelque part sur le net?
      si j'installe OPENvpn server sur mon SMEserver et OPENvpn client sur un ordi connecté et que je me connecte à OPENvpn  server depuis mon client, est ce que j'irai bien sur internet en passant par le VPN?
     

[Daniel B.]

je voulais isoler 2 LAN contenant chacun 5 ordis et connectés au SMEserver.

si j'installe une 2è carte reseau ethernet sur mon serveur SME c'est à dire que celui-ci aura 2 interfaces internes et 1 interface externe, est ce que ça peut marcher?

C'est sans rapport avec ce topic. La réponse courte: c'est pas possible. La réponse longue: c'est pas supportée de base, mais ça reste possible avec beaucoup d'efforts et de personnalisations. Je ne conseille pas du tout. Il me semblerait par exemple plus simple de mettre en place un pfsense ou équivalent, avec 4 interfaces (1 wan, 1 pour SME, 2 pour les lan, séparés et isolés entre eux)

question subsidiares:
      pour accéder à internet à partir d'un ordi sur mon LAN est ce que je dois installer OPENvpn server sur ma machine SMEserver et un OPENvpn client sur mon poste ? ou le client suffit-il, avec un server VPN quelque part sur le net?

Non, depuis le LAN, pas besoin de VPN quelqu'il soit pour accéder à Internet

      si j'installe OPENvpn server sur mon SMEserver et OPENvpn client sur un ordi connecté et que je me connecte à OPENvpn  server depuis mon client, est ce que j'irai bien sur internet en passant par le VPN?

Ça dépend de la redirection de passerelle. Pour ma contrib smeserver-openvpn-bridge, c'es documenté https://wiki.contribs.org/OpenVPN_Bridge#Advanced_configuration

[cyrano]

merci pour tes réponses.


je ne comprends pas bien ta 2ème réponse, ma question étant sans doute mal formulée:  est ce que pour avoir une liaison VPN avec un site internet en me connectant à un server VPN (gratuit ou payant) l'installtion de OPENvpn client sans OPENvpn server donc sur le SMEserver suffit  elle?

ma question est peut-être idiote, j'en conviens.

[cyrano]

j'aimerais comprendre comment tu as créé la contrib OPENvpn. Est ce que tu peux me dire ou je peux avoir les sources de ta contrib?

que me conseilles tu? smeserver-openvpn-bridge ou smeserver-openvpn-routed?

merci

[Daniel B.]

j'aimerais comprendre comment tu as créé la contrib OPENvpn. Est ce que tu peux me dire ou je peux avoir les sources de ta contrib?

http://sme-mirror.firewall-services.com/releases/9/smecontribs/SRPMS/smeserver-openvpn-bridge-2.1-7.el6.sme.src.rpm

que me conseilles tu? smeserver-openvpn-bridge ou smeserver-openvpn-routed?

Tout dépend des besoins. Tu peux utiliser les 2. Pour des postes classiques, je conseil le bridge, la contrib dispose d'un panel assez confortable. Si tu as des mobiles (iOS/Android), le routed.

[cyrano]

merci merci!!!!

j'ai une derniere question idiote:

si j'installe OPENvpn server sur mon SMEserver (ordi A) et que j'installe un client sur un ordi (ordi B) connecté au SMEserver et donc au OPENvpn server, est ce que je pourrai naviguer sur internet depuis l'ordi B en bénéficiant des mon OPENvpn (l'adresse de ma freebox n'apparait plus sur internet)?

ou bien!!!! dois je me connecter avec mon client VPN depuis mon ordi B à un server VPN gratuit ou payant fourni par un prestataire de VPN ?

  apres, je ne t'embete plus!!!  enfin peut etre!!!

[Daniel B.]

Désolé, je ne comprends pas la question

[cyrano]

ça ne m'etonne pas! j'ai moi-même le même problème

reprenonc donc:

voici mon réseau(si j'ose dire):

freebox--------> ordi A ---------->switch ---------> ordi clients B C D
                       SMEserver                                    OPENvpn Client
                       OPENvpn server

j'installe donc SMEServer sur l'ordi A et un client dur B.
si mon client vpn sur B se connecte à l'OPENvpn server sur A et  va sur un site http:// !sur internet, est ce que mon TUNNEL VPN sera bien emprunté OU
pour aller sur internet et bénéficier d'un VPN suffit-il d'nstaller un client VPN sur l'ordi B et de se connecter à un OPENserver payant (EXPRESSvpn par exemple) ou gratuit sur internet???
                         

[Daniel B.]

Je pense qu'il y a des confusions. Je ne sais pas trop ce que tu cherches à faire. Mais depuis le LAN, le VPN n'aura aucun intérêt. D'une part, le mode bridge ne sera pas possible (parce que l'adresse de la passerelle hors VPN sera la même qu'en intra VPN), mais même en mode routed, ça passera par le tunnel jusqu'à ton serveur, puis sortira par ta connexion, comme normal. En fait, le VPN est fait pour joindre ton LAN, depuis l'extérieur...

[cyrano]

je crois que c'est bon ...  mais  donc:   est ce que je pourrai  me connecter depuis mon LAN à un VPN sur internet, expressVPN par exemple, et donc MASQUER mon adresse de la freebox??

[Daniel B.]

Oui, mais ça sera sans rapport avec SME. Au passage, ces histoires d'anonymat avec des VPN payants ou pire, gratuits, c'est du bullshit commercial. Il n'y a pas d'anonymat, ça n'existe pas. Ce qui change, c'est qu'au lieu que ton FAI voit ton trafic, c'est l'opérateur du VPN. Le seul intérêt de ces plateformes est de pouvoir sélectionner une IP de sortie dans un pays particulier, pour contourner certaines offres limitées par régions.

[cyrano]

ok !! ca yest je crois que j'ai compris!!!!  ouf!!!

mon propos est de me connecter, comme tu viens de le dire, à une adresse ip dans un pays particulier.

Mille fois merci    c'est parti!!!!!!!!

[cyrano]

euh!!!! pardon!!!!

je commence par installer OPENvpn server?

[cyrano]

je viens de la relire, elle est completement idiote, voire c....
merci

[cyrano]

est ce que j'ai besoin d'une interface graphique sur SMEserver?
dans la doc OPEN VPN Bridge  il me semble que oui. si c'est vrai, comment installer une interface grapique sur SMEserver?

merci merci!!

[Daniel B.]

L'interface graphique de SME Server est son interface web (server-manager). Tout est décrit sur wiki pour la contrib Bridge, il n'y a besoin de rien d'autre

[cyrano]

coucou!!!!

ou et quand installer
Linux with Network Manager   ?

selon la doc de https://wiki.contribs.org/OpenVPN_Bridge#Advanced_configuration 

et : puis je utiliser autre chose que PKI car j'utilise déjà des certificats pour SSH ou Thunderbird ?

c'est fini promis!!!!

[trazomtg]

bonjour,

j'ai téléchargé le rpm  :  smeserver-openvpn-bridge-2.1-7.el6.sme.src.rpm

avec la commande rpm -qlp je peux voir ce qu'il y a dedans mais je ne sais pas comment visualiser les fichiers
comment on fait?
merci

[Daniel B.]

Merci de n'utiliser qu'un seul compte sur le forum (trazomtg vs cyrano). Le fichier srpm peut s'ouvrir avec un gestionnaire d'archive (file-roller sous Linux ou 7-Zip sous Windows par exemple)

[trazomtg]

est ce que je peux utiliser autre chose que PKI car j'ai déjà des clés pour Thunderbird et ssh ?