Sujet: VPN
30/03/2007 @ 17:43:08: Altar: VPN
Alors je vous explique la situtation :

- Plusieurs serveurs dédiés (linux)
- Plusieurs clients (linux/windows)

Je voudrais interconnecter tout ce basard avec un cryptage. Rien de plus facile me direz-vous, n'importe quel soft de vpn que ce soit openvpn/openswan/freeswan/... fera l'affaire. Oui mais non...

Ce gentil soft propose un modèle avec un serveur et tous les autres en clients dessus ce qui veut donc dire que quand le dédié B va communiquer avec le dédié C tout le traffic va transiter par le dédié A (serveur vpn) ce qui est une belle perte de traffic surtout que quand on sait que les interconnexions entre ces serveurs sont optimales. De plus, toutes les machines non dédiées qui vont se connecter sur le serveur n'auront quant à elle pas une connexion optimale vers ce serveur :oh: Exemple ? Depuis une connexion latribu vers une dedibox :joce: ou une connexion free vers mon serveur paris :halalala: Et quand on tunnel le traffic à travers un tunnel/vpn/... on y gagne malgré l'overhead.

Donc ma question :

Connaissez-vous un serveur vpn linux qui soit capable de fonctionner de cette façon ou d'une façon proche à savoir :

- Les serveurs sont tous reliés entre eux directement
- La liste des serveurs avec lesquels il faut s'interconnecté est récupéré sur un master serveur
- Les clients peuvent choisir leur point d'entrées entre les divers serveurs qui acceptent des connexions clients

A vos claviers et merci :petrus:
30/03/2007 @ 18:28:16: cauet: VPN
La solution ne se reglerait pas tout de suite plus facilement en forçant des routes bien particulières sur chaque machine?
30/03/2007 @ 18:32:44: Altar: VPN
cauet > Hein ?!? Comment veux-tu router des ips privées ... Je ne te suis pas là :oh:
30/03/2007 @ 18:40:17: rfr: VPN
cauet > Hein ?!? Comment veux-tu router des ips privées ... Je ne te suis pas là :oh:


Ben quoi? C'est tout à fait possible ...
30/03/2007 @ 19:14:48: Altar: VPN
rfr > oui bon on peut router des ips privées dans l'absolu mais pas au dessus d'un réseau wan ... Les dédiés ne sont pas dans le même datacenter hein :wink:
30/03/2007 @ 20:29:59: philfr: VPN
OpenVPN te crée des adresses privées sur un VPN par-dessus le WAN, mais qui sont des adresses comme les autres sur chacune des machines qui y participent. Donc les routes sont configurables sur chacune de ces machines. :wink:
30/03/2007 @ 21:08:44: cauet: VPN
Voila. OpenVPN créer des IP virtuelles, à toi de faire la table de routage..
31/03/2007 @ 02:00:04: Altar: VPN
Reprenons, on utilise openvpn...

Serveur A (10.0.0.1)
Client B (10.0.0.2)
Client C (10.0.0.3)

tunnel vpn B --> A
tunnel vpn C --> A

Quel route je dois mettre à B pour que magiment un paquet ayant l'ip source 10.0.0.2 et l'ip destination 10.0.0.3 arrive sur C sans passer par A... Pour moi, c'est au niveau d'openvpn que ça doit changer pas au niveau de la table de routage...

Je ne vois vraiment pas comment une route pourrait faire en sorte qu'openvpn encapsule le paquet ip décrit ci-dessus dans un paquet ip avec comme destination C au lieu de A (et il faudrait que C ne jette pas le paquet non plus donc ait connaissence de B au préalable)... désolé ça me dépasse là :oh:

Bien sûr, il a la solution barbare qui consiste à créer un vpn bridge, interconnecter tous les serveurs manuellement (et là il suffit de définir l'interface à utiliser pour atteindre un serveur X oui) et évidemment là ça va marcher mais c'est extrêment lourd à maintenir même si j'ai l'impression que c'est la seule solution.
01/04/2007 @ 17:55:38: philfr: VPN
Faut pas mettre les liens A-C et A-B dans le même réseau.

A(192.168.1.1) - B(192.168.1.2)
A(192.168.2.1) - C(192.168.2.2)
etc.
01/04/2007 @ 18:12:13: Altar: VPN
philfr > soit et ? Il n'y a pas de lien entre B et C donc ça va m'aider en quoi ??? Je ne peux pas mettre dans ma table de routage de B accès à 192.168.2.2 à travers l'interface WAN ayant l'ip 88.99.100.101 et l'interface tun 192.168.1.2 va d'office envoyer vers A...

Alors soit je m'exprime très mal et vous ne comprennez pas ce que je veux dire soit il y a vraiment qqchose que je ne comprends pas...

Ce que tu proposes philfr est de tout interconnecter manuellement. Oui je sais que je peux tout interconnecter manuellement mais c'est bien ce que je cherche à éviter (le nombre d'interface qui explose entre autre)... D'ailleurs si je fais comme ça autant tout mettre dans le même range (mode bridge) ça m'évitera d'avoir x ip par machine pour le vpn...

J'espérais trouver un soft de vpn qui aurait été capable de maintenir une table de routage interne et donc de générer des paquets à destinations des divers machines mais apparement ça n'existe pas.
01/04/2007 @ 18:36:05: philfr: VPN
J'espérais trouver un soft de vpn qui aurait été capable de maintenir une table de routage interne et donc de générer des paquets à destinations des divers machines mais apparement ça n'existe pas.


Si tu n'as pas de lien entre B et C, comment veux-tu que B connaisse C ?

Même OpenVPN en mode bridge a besoin d'un serveur central par où tout passe :spamafote:

Mais si ton nombre de machines est limité, fais des VPN entre chacune de celles qui ont besoin de communiquer.
01/04/2007 @ 19:24:14: Altar: VPN
philfr > Of course :oh: Ca c'est ma solution de backup mais le nombre de machine risque de grandir et je me vois mal avoir 15 interfaces tap sur chaque dédié :ohwell:

Ce que je voulais c'est un serveur vpn qui aurait pu fonctionner de façon autonome :

exemple :

- un master serveur sur lequelle tous les serveurs se connectent
- ce master serveur forward la liste de tous les serveurs aux autres serveurs
- ceux-ci s'interconnectent de façon transparante (donc 1 interface virtuelle pour tout le réseau vpn et c'est le programme vpn qui s'oqp du routage)
- les clients se connectent au serveur qui leur fournit les meilleurs perfomances ^^

J'ai fait le tour et ça n'existe pas... Si j'ai le courage, j'essayerai de faire ma propre solution mais ce sera le temps qui me manquera le plus à mon avis :ohwell:
Retour