Bonjour à tous
Comme vous pouvez le voir j'ai essayé de faire un objet de mail assez explicite malgré tout :)
Je me demande comment faire 2 choses que je retrouve dans le service hamachi : 1/ pouvoir créer des grappes de clients vpn indépendantes 2/ fournir au client simplement l'ensemble des certificats/paramétres et cacher l'ensemble des étapes intermédiaires.
Pour le 1/ mon besoin est de pouvoir affecter un client vpn à une groupe et de restreindre sa visibilité à son groupe. Après recherches j'ai bien l'impression qu'il y a des possibilités mais je ne trouve pas de documentation pertinente (WITFM?).
Pour le 2/ l'idée serait : j'installe mon client vpn et via une méthode quelconque je récupère l'ensemble des clefs et certificats à installer de façon transparente.
En espérant avoir été clair (pas gagné je ne suis qu'au second café :)
Km
Bonjour,
Très intéressant Hamachi, Logmein a déjà donné beaucoup de fil à retordre aux entreprises car des employés ouvraient des entrées vers leurs postes depuis l'extérieur. La version web access se fait par http et ne nécessite aucun droit d'administrateur sur le poste, imaginez les dégâts. Pire il a été très dur de les filtrer normalement, un peu comme filtrer Skype sans DPI.
Pour répondre à ta question : 1: créer un groupe d'utilisateur vpn, c'est finalement créer une configuration openvpn road warrior sur un port donné. Si ce port est un 80 ou 443 pour être accessible de partout, y a sans doute un reverse proxy http qui redirige vers la bonne machine et le bon port derrière.
2: Je n'ai pas testé mais clairement c'est un soft à eux qui peut sans doute utiliser openvpn comme une solution maison. Il devient donc facile au sein du logiciel de faire le nécessaire de récupérer les données de connexion à partir du login / pass ou autre.
Tu l'as testé de ton côté? Quid de la performance en débit et latence? Quid surtout de personnes dans le cadre de leur usage gratuit car personnel qui transfèreraient plein d'iso de distribution linux :)
Le 8 avr. 2011 à 10:50, cam.lafit@azerttyu.net a écrit :
Bonjour à tous
Comme vous pouvez le voir j'ai essayé de faire un objet de mail assez explicite malgré tout :)
Je me demande comment faire 2 choses que je retrouve dans le service hamachi : 1/ pouvoir créer des grappes de clients vpn indépendantes 2/ fournir au client simplement l'ensemble des certificats/paramétres et cacher l'ensemble des étapes intermédiaires.
Pour le 1/ mon besoin est de pouvoir affecter un client vpn à une groupe et de restreindre sa visibilité à son groupe. Après recherches j'ai bien l'impression qu'il y a des possibilités mais je ne trouve pas de documentation pertinente (WITFM?).
Pour le 2/ l'idée serait : j'installe mon client vpn et via une méthode quelconque je récupère l'ensemble des clefs et certificats à installer de façon transparente.
En espérant avoir été clair (pas gagné je ne suis qu'au second café :)
Km _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
On Fri, 8 Apr 2011 19:13:08 +0200, "Pierre-Henry Muller" wallace@morkitu.org said:
Logmein a déjà donné beaucoup de fil à retordre
.....
les dégâts. Pire il a été très dur de les filtrer normalement, un peu comme filtrer Skype sans DPI.
J'ai trouve ca assez facile : bloquer tout access vers les ranges d'IP LogMeIn. Sauvage, mais ca marche.
Le 8 avr. 2011 à 22:34, Radu-Adrian Feurdean a écrit :
On Fri, 8 Apr 2011 19:13:08 +0200, "Pierre-Henry Muller" wallace@morkitu.org said:
Logmein a déjà donné beaucoup de fil à retordre
.....
les dégâts. Pire il a été très dur de les filtrer normalement, un peu comme filtrer Skype sans DPI.
J'ai trouve ca assez facile : bloquer tout access vers les ranges d'IP LogMeIn. Sauvage, mais ca marche.
Je ne l'ai pas rebloqué récemment mais pour le web access d'il y a 3-4 ans c'était plutôt en mode P2P comme skype, on se retrouvait à bloquer des ip de FAI à travers le monde ce n'était pas la bonne solution. Ils ont peut être changé de méthode.
-- Pierre-Henry Muller
Bonjour
Très intéressant Hamachi, Logmein a déjà donné beaucoup de fil à retordre aux entreprises car des employés ouvraient des entrées vers leurs postes depuis l'extérieur.
Hamachi je ne le connais que comme utilisateur, et c'est pas mal. Cet outil est très facile à installer. Windows aucun pb, linux par defaut ce n'est que du cli.
La version web access se fait par http et ne nécessite aucun droit d'administrateur sur le poste, imaginez les dégâts. Pire il a été très dur de les filtrer normalement, un peu comme filtrer Skype sans DPI.
Sur un réseau d'entreprise je n'ai jamais réussi à l'utiliser, le kerio mis en place le filtre sans pb, mais je ne sais quelle regle/politique est utilisée. Mais je n'ai utilisé que leur client lourd.
Tu l'as testé de ton côté? Quid de la performance en débit et latence? Quid surtout de personnes dans le cadre de leur usage gratuit car personnel qui transfèreraient plein d'iso de distribution linux :)
Coté performance, je dirais que c'est un (poil) plus lent que via mon openvpn mais pour être correct je devrais déployer une configuration équivalente sur ces 2 supports. Je n'ai jamais testé sur des gros fichiers vu que je l'utilise plutôt pour du transfert de fichiers de type bureautique.
Pour 1/
y a sans doute un reverse proxy http qui redirige vers la bonne machine et le bon port derrière.
En effet sur IRC la meme suggestion m'a été faite, mettre un proxy transparent pour gerer l'ACL pour autant j'ai bien l'impression qu' openvpn le propose en natif au vu de certains messages sur les forum et le site officiel mais ça reste très gruik
Pour 2/
2: Je n'ai pas testé mais clairement c'est un soft à eux qui peut sans doute utiliser openvpn comme une solution maison. Il devient donc facile au sein du logiciel de faire le nécessaire de récupérer les données de connexion à partir du login / pass ou autre.
En effet de leur coté ils ont un deux soft hamachi-init et hamachi. hamachi-init permet de créer l'ensemble des clefs et de les poser au bon endroit et hamachi qui fait office de client avancé avec connexion au vpn/ gestion d'un groupe (network) / acces à un groupe. L'accès à un groupe se fait via un mot de passe fournit par le propriétaire du groupe. Je suppose qu'ils ont en plus un système qui permet de basculer un groupe de l'offre gratuite à l'offre pro. Pour ma part ce dernier point ne m'intéresse pas bien que potentiellement intéressant.
Merci
Km
On 08/04/2011 10:50, cam.lafit@azerttyu.net wrote:
Bonjour à tous
Comme vous pouvez le voir j'ai essayé de faire un objet de mail assez explicite malgré tout :)
Je me demande comment faire 2 choses que je retrouve dans le service hamachi : 1/ pouvoir créer des grappes de clients vpn indépendantes 2/ fournir au client simplement l'ensemble des certificats/paramétres et cacher l'ensemble des étapes intermédiaires.
Pour le 1/ mon besoin est de pouvoir affecter un client vpn à une groupe et de restreindre sa visibilité à son groupe. Après recherches j'ai bien l'impression qu'il y a des possibilités mais je ne trouve pas de documentation pertinente (WITFM?).
Il te faut openvpn pour affecter un réseau à tes clients/groupes http://openvpn.net/index.php/open-source/documentation/howto.html#policy Ensuite avec ton parefeu tu filtres les accès entre tes réseaux.
Pour le 2/ l'idée serait : j'installe mon client vpn et via une méthode quelconque je récupère l'ensemble des clefs et certificats à installer de façon transparente.
Perso j'utilise webmin qui me génère ma conf et mes certificats. Pour ton install automatique, le plus simple est d'utiliser openvpn portable, je l'ai testé rapidement, mais à la fin tu as un dossier avec un openvpn.exe et un dossier de conf avec conf+certificat, du-coup c'est facile à déployer, en plus il te crée le TAP lorsque tu lances le exe(qu'il te propose de desinstaller ou garder à la fermeture du programme). Ca te permet par exemple de simplement donner à tes utilisateurs une clef USB/un rar et il y a tout pour lancer le VPN.
Une autre solution est de faire un bout de script qui utilise les sources du client openvpn. Tu changes le paramétrage de l'installeur pour qu'au moment de l'installe il te mette ta conf et certificat dans le bon répertoire. J'ai pas testé mais il y a déjà les sources du script d'install NSIS (null soft) ca doit être assez simple à modifier. ./monscript.sh client1 Cela te génère un beau openvpn.exe, qui installe openvpn, la conf, et tes certifs.
En espérant avoir été clair (pas gagné je ne suis qu'au second café :)
Km _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
cam.lafit@azerttyu.net -
Julien Bérard -
Pierre-Henry Muller -
Radu-Adrian Feurdean