VPN vers serveur dédié

[Kane]

Bonjour à tous,

Commençons par poser la situation :

- LAN avec IPCop en firewall derrière une Livebox
- serveur dédié chez OVH sous Ubuntu actuellement

Mon but est de monter un VPN vers ce serveur dédié afin que tout passe par ce serveur dédié. Mais pas mal de questions débarquent avant même de commencer la réalisation.

Le client VPN serait IPCop, à priori Zerina ne sait pas faire (il sait juste être serveur semble-t-il) donc il faut que je me débrouille pour installer un OpenVPN complet dessus et là je dis bof.
Si je réussis à le faire, le filtrage d'IPCop pourra-t-il toujours être actif ? En gros le serveur VPN dédié pourra-t-il être considéré comme dangereux ?

Sinon, j'ai vu que PfSense était beaucoup plus "puissant" et surtout paramétrable, avant de me lancer dans la phase de test, pensez-vous que ce soit réalisable avec ? (il n'y a pas des masses de docs mais pour ce que j'ai vu il peut faire client VPN). Je souhaiterais surtout pouvoir "filtrer" ce VPN.

Je pars sur de l'OpenVPN car je doute pouvoir réaliser tout ça avec de l'IPSEC (à ce que j'ai compris, je suis lin de dominer le sujet : problème de routage c'est ça ?).

Merci d'avance pour les pistes que vous pourrez me donner.

[ccnet]

Ai je bien compris en disant que ce que vous souhaitez est l'établissement d'une lisison vpn entre deux sites ? L'un avec votre réseau et ipcop puis la livebox et de l'autre côté un serveur Ubuntu.

Le terme de client est impropre pour le côté ipcop. Dans une liaison vpn site à site, il y a une passerelle (ou serveur) de chaque côté.

En gros le serveur VPN dédié pourra-t-il être considéré comme dangereux ?

Si un serveur vpn auquel on se connecte à la moindre chance d'être considéré comme dangereux, nous avons alors un vrai problème.

Je dois vous avouer que je ne comprend pas l'objectif d'un tel dispositif. Si vous précisez le but final, peut être pourrions nous être plus pertinents sur les réponses. Pour le moment vous induisez des solutions que vous nous exposez sans avoir exposé le besoin fonctionnel. Et comme vous indiquez ne pas dominer le sujet, j'ai tendance à penser que, pour le moment, nous mettons la charrue avant les boeufs.

En repartant à la base nous devrions pouvoir vous donner des solutions possibles. Il ser aalors possible d'en discuter les différentes implémentations possibles.

[jdh]

Non, non, ccnet, kane expose un peu son objectif : "tout passe par ce serveur dédié".

La question est que signifie "tout" ?

Par exemple, "tout" pourrait signifier la totalité du trafic http.


Il serait judicieux d'être plus fin sur ce besoin afin de déterminer ce qu'il convient (OpenVPN, IPSec ou autres).



Par ailleurs, je confirme qu'il est possible de faire plein de choses sympa avec pfSense (et sans doute plus vite qu'avec IPCOP). Perso, j'ai fait de l'IPSEC entre pfSense (adr ip fixes + bridge), de l'OpenVPN soit en net2net soit en roadwarrior.

(NB : ccnet, regardes un peu la doc d'OpenVPN : tu verras OpenVPN est ET un client ET un serveur : cela se précise dans le fichier de conf que tu lances, même si je pense que tu ne peux pas lancer 2 fichiers de conf à la fois !)

[Kane]

Oui, vous avez bien compris

Le but est de me servir de ce serveur dédié comme point de sortie vers Internet.

Pour être clair, je veux monter un système à la iPredator de The Pirate Bay (voir ici une news à propos de ce projet) mais pour tout mon réseau.
Le but dans mon cas n'est pas de pouvoir télécharger mais plutôt à terme de prendre un serveur dédié à l'étranger afin de me débarrasser de ce qui commence à se mettre en place en France (parano quand tu nous tiens).

En gros mais à traduire proprement, je cherche à ce que mon réseau se connecte via VPN à mon serveur dédié qui fera office de "proxy" et de point de sortie.

Alors oui on peut considérer le VPN comme un site à site (c'est le plus ressemblant à mon idée), mais n'ayant pas le contrôle totale sur un serveur qui n'est pas chez moi sous mes yeux, je préfère la considérer comme un danger potentiel, d'où l'envie de conserver le "firewalling" entre ce VPN et mon LAN.

Voilà, l'idée de monter le VPN entre mon firewall (IPCop ou autre selon la faisabilité) et le serveur dédié m'est venue directement à l'esprit. Mais rien ne m'empêche de créer ce lien avec une machine de ma DMZ, dans ce cas il est peut-être possible de garder un filtrage efficace ?
J'avais dans l'idée qu'en montant le lien VPN entre l'interface Red d'IPCop (ou l'interface Wan/Internet de n'importe quel autre outils), je pourrais conserver cette possibilité.

J'espère avoir été plus clair.

P.S : je viens de voir le post de jdh, donc oui quand je dis tout c'est tous les flux possibles et imaginables.

Merci à vous deux.

[ccnet]

Tu as raison. Alors que je le sait parfaitement.

Le 'tout' me pose problème aussi. En fait ce que je souhaite comprendre c'est pourquoi, alors que la live box est connecté à internet, il y a ce besoin de passer en vpn jusqu'au serveur Ubuntu pour "tout". Pour attendre un serveur d'application je vois bien la nécessité, mais pour tout ?

Effectivement la dernière (l'avant dernière ?) version de Pfsense intègre le NAT-T.

[Kane]

Comme je le disais ce n'est pas du tout dans un but professionnel, même si ça pourra me servir sous peu, mais plutôt à titre personnel.
Quand je vois tout ce filtrage qui est mis en place, ça m'inquiète, peut-être pour rien j'espère, mais dans le doute... Je ne recherche pas l'anonymat mais juste qu'on ne puisse pas me trouver via mon IP (vu que ça semble suffire à ce pays).
Vous allez me dire qu'ils peuvent toujours la demander à l'hébergeur de mon serveur dédié, mais vu qu'il sera à l'étranger (dans un pays plus réaliste et soucieux de la vie privée) ce sera une autorité judiciaire qui devra en faire la demande et pas une société privée à qui on a donné le droit de faire tout et n'importe quoi.

Pure paranoïa donc mais plutôt instructive

Pour en revenir au sujet, oui j'ai lu quelques tutos récupérés sur le forum français de PfSense (où on vous voit tous les deux ) et ça m'a donné de bonnes infos sur ses possibilités.

Étant un particulier avec les moyens d'un particulier, je me dois de garder une box (ma femme va me tuer si je lui enlève le téléphone illimité), par conséquent, le NAT est une obligation (la livebox ne permettant pas le VPN pass through si j'ai bien suivi) donc pas d'IPSec.
Par contre au niveau de mon firewall, même si j'adore IPCop pour sa simplicité et sa légèreté (et les addons super utiles), je peux le changer. De l'autre côté, ce sera un serveur dédié plutôt "léger" (car pas cher) avec n'importe quelle distribution linux proposée par l'hébergeur (ma préférence allant sur Debian et dérivés).

Donc d'après vos réponses, je peux me lancer dans la phase de test de PfSense et surtout la phase d'adaptation (mon adaptation) à l'outil ?

[ccnet]

Je ne recherche pas l'anonymat mais juste qu'on ne puisse pas me trouver via mon IP (vu que ça semble suffire à ce pays).

A mon avis c'est déjà trop tard. Néanmoins il vous faut monter un proxy sur votre Ubuntu distant.

[Kane]

A mon avis c'est déjà trop tard. Néanmoins il vous faut monter un proxy sur votre Ubuntu distant.

Ce qui ne va pas être une partie de plaisir non plus, mais j'ai déjà fait quelques recherches là dessus donc je ne vous embête pas tout de suite

Merci de votre aide

[ccnet]

Avec un squid cela devrait aller tout seul !
Sinon une idée, un package "tout en un" comme SME ou Clark Connect pourrait vous aider peut être ?

[Kane]

Le problème est que les hébergeurs proposent rarement (jamais vu en fait) ce genre de distributions, ce qui est dommage.

[Stirner]

Le problème est que les hébergeurs proposent rarement (jamais vu en fait) ce genre de distributions, ce qui est dommage.

Certes mais tu as la solution du housing chez ovh par exemple.

[Kane]

Le problème est que les hébergeurs proposent rarement (jamais vu en fait) ce genre de distributions, ce qui est dommage.

Certes mais tu as la solution du housing chez ovh par exemple.

Je ne suis qu'un particulier, je n'ai pas la machine ni les moyens (je viens de regarder le prix de base arg !)

[Kane]

Si un serveur vpn auquel on se connecte à la moindre chance d'être considéré comme dangereux, nous avons alors un vrai problème.

Je reviens sur ce point.

Quelle possibilité pour conserver ce filtrage si je pars sur une solution d'un VPN entre un PfSense et mon serveur dédié ?
Le serveur distant est forcément intégré dans le LAN (ou autre) ? N'est-il pas possible de considérer ce lien VPN comme une DMZ par exemple et donc sujette au filtrage ?

Le schéma serait tordu mais bon :

Code: Tout sélectionner

LAN
|
PfSense _ (dmz)
|       | V
Livebox  | P
|       | N
Internet |
         |
    Serveur dédié


(schéma fait à la vavite, suffisamment clair j'espère)

[ccnet]

Avec la version actuelle de Pfsense il n'est pas possible de filtrer sur l'interface openvpn. C'est une des raisons qui peut justifier un serveur vpn autonome que l'on place en dmz.
Votre schéma au niveau 2 sera un peu différent puisque dans les deux cas vous sortez par la livebox vers Internet.
Vous pouvez monter ce que vous voulez comme OS sur le serveur dédié ?

[Kane]

OK, et dans ce cas je garde mon IPCop (qui suffit largement pour ce schéma).
Nous sommes d'accord pour le schéma (un peu dur à représenter sans outils adéquate je pense).

Pour l'OS de mon serveur dédié, disons que pour l'instant c'est une Kimsufi pour le test. OVH est assez large sur le choix des OS mais je n'ai pas encore choisi l'hébergeur final (dur de trouver un bon hébergeur à l'étranger qui accepte les clients hors de son pays). Mais dans tous les cas, une Debian est toujours proposée, pour le reste, je ne saurais le dire.