PhenIXUS

[Argenlos]

Bonjour,

Mon idée était de reprendre le tuto en y ajoutant un minimum de théorie indispensable.
J'ai aussi cru comprendre que le wiki PhenIXUS était demandeur de contenu mais je peux me tromper. Si ça ne vous intéresse pas, no problemo, les bonnes infos sont disponibles un peu partout sur le web.

Il ne faut pas hésitez à nous faire un document pour le Wiki. J'ai survolé le fil de discussion et pas tout compris. Donc un beau document sur le wiki me permettra, et à ceux qui n'ont pas ton expertise, de bien comprendre

Cordialement,

[JDHog]

J'ai fais quelques schémas pour expliquer à des collègues donc j'ai déjà la base.

Malheureusement, je ne suis pas expert, alors il ne faudra pas m'en vouloir si il y a des approximations et surtout ne pas hésiter à me les faire corriger. Cette semaine, je n'ai pas le temps mais j'essaierai de faire une première version dans le courant de la semaine prochaine.

Faudra juste m'indiquer sur quelle page du wiki je peux faire ça et si il y a une charte pour le titre de la page.

[ccnet]

Nous ferons de la relecture, pas de difficultés.

[jibe]

Salut,

Si tu as envie de faire un tuto, ne te gênes surtout pas ! Il sera bien sûr le bienvenu !

Ce que jdh a probablement voulu dire, c'est qu'il faut le faire à la suite de ce sujet, voire dans un nouveau sujet mais que tu ne peux pas le mettre dans le wiki (contrairement à ce que dit Argenlos qui n'a pas dû lire la Charte - Je plaisante, bien sûr, puisqu'il vient de nous en ébaucher un superbe résumé).

En effet, pour maintenir la qualité des articles du wiki et garantir l'exactitude des renseignements fournis, la rédaction dans le wiki n'est autorisée que pour les gourous ou "supérieurs hiérarchiques". Tu peux si tu le désires demander à devenir gourou, comme précisé dans la charte. Mais à moins qu'un gourou te connaisse bien par ailleurs, attends plutôt d'avoir un peu plus d'ancienneté pour qu'on puisse mieux se rendre compte de tes compétences

Personnellement, je préférerais que tu ouvres un nouveau sujet en mettant bien le drapeau adéquat dans le titre, et en mettant un lien sur ce fil. Cela le rend plus facile à trouver et évite de mélanger les débats sur ta question et les éventuels débats/questions sur le tuto : même si le sujet est le même, la démarche des intervenants n'est pas forcément similaire et ça peut rendre les choses un peu confuses.

Et qui sait ? Il se peut qu'on trouve ton tuto intéressant et qu'on l'intègre au wiki ! Bien entendu, dans ce cas, tu serais clairement mentionné comme auteur.

[jdh]

* Théorie d'un VPN :

Un VPN permet la communication sécurisée entre un client et un réseau, entre 2 réseaux ou entre plusieurs réseaux.

Le VPN consiste en l'établissement d'un 'tunnel' entre chaque intervenant : client ou serveur VPN pour accéder à un réseau.
Ce tunnel qui traverse en général Internet doit assurer une 'étanchéité' entre les réseaux connectés (vis à vis de l'extérieur).

Il faut assurer
- la confidentialité des données transitant à l'intérieur, et
- l'authentification entre client et serveur ou serveur à serveur.

La confidentialité des données est assuré par un cryptage des données transférées.
On utilise des protocoles de cryptage tel AES, Blowfish, 3DES, ...
(Les protocoles sont généralement symétriques avec des échanges de clés durant la session.)

L'authentification entre intervenants peut être assuré par des mots de passe (clé statique), ou, mieux, des certificats dans le cadre d'une PKI.

Une PKI (Public Key Infrastructure) est un système de certificats dépendant d'une autorité de certification (CA).
L'autorité de certification permet de créer différents certificats qui seront signés.
Chaque élément (serveur VPN, client), qui disposent d'un certificat propre, peuvent contrôler la validité d'un certificat présenté.
(Les certificats ont une date d'expiration, peuvent être renouvelés et révoqués.)
(On parle de certificats x509)

Un complément important sera le routage : chaque réseau accessible au travers du tunnel doit être précisé par une route.

Les protocoles les plus courants pour réaliser un VPN sont
- ipsec : très fréquent entre routeur matériel type Cisco ou autres
- OpenVPN : opensource
- ssh : ne sert pas qu'à prendre la main sur une machine !
- L2TP : typique microsoft (remplace l'obsolète PPTP)


* Théorie d'un VPN avec OpenVPN :

OpenVPN repose sur la libraire SSL pour
- le cryptage du tunnel,
- la création de la PKI.

OpenVPN vient avec
- un binaire pour établir le tunnel (le binaire est le même pour un serveur et pour un client),
- un jeu de script permettant de créer une PKI (easy-rsa).

Clé statique :
On peut s'appuyer sur une clé statique (un fichier de 2048 bits) qui est copiée de chaque côté.
L'intérêt de cette méthode est une rapidité plus importante.
Les inconvénients est une sécurité plus faible : pas d'authentification, facilité d'accéder à la clé.

Certificats (PKI) :
On peut utiliser la PKI fournie ou une autre externe.
Ces certificats utilise une méthode asymétrique : un certificat comporte une clé privée (à protéger) et une clé publique.
Le principe est
- création de l'autorité de certificat,
- création de certificat pour les serveurs,
- création de certificat pour les clients,
- création de clé Diffie-Hellman (servent à échanger des clefs entre serveurs et clients).

Il reste à créer un fichier de configuration pour le client et le serveur.
Le fichier de configuration permet de préciser
- le rôle : server ou client
- pour le client, l'accès au serveur : remote (adresse) (port) / proto udp
- pour le serveur, le réseau ip d'échange : server (reseau) (masque)
- les certificats : ca (cert ca) / cert (cert) / key (clé privée)
- pour le serveur, des paramètres fournis au client : push "route (route)" / push "dhcp-option ..."
- des paramètres telle la persistance de clés, la persistance du lien, ...

Et maintenant il reste à lancer ...

[JDHog]

Merci à tous pour vos réponses, et aussi pour votre aide pour le choix et la mise en place de mon VPN.

En conclusion, j'ouvrirai la semaine prochaine un autre fil sur le forum avec le drapeau qui va bien. Je reprendrai la théorie de jdh, puis mise en application à travers un cas pratique sur pfSense agrémenté de schémas et captures d'écrans.

Ensuite, vous conservez ou pas, sur le forum ou le Wiki, no problemo, je ne cherche pas de reconnaissance, c'est juste pour aider.

NB : on a discuté avec jdh par mp, j'ai bien compris ce qu'il voulait dire et je pense qu'il a compris aussi ma démarche, y a pas de malaise.