Problème d'utilisation OpenVPN

[Roulians]

Bonjour,

J'essaye de monter un VPN depuis mon réseau d'entreprise vers un serveur de mon domicile par le biais d'OpenVPN.
Pour cela, je dois passer par un proxy.
J'ai donc paramétré mon client en fonction et lorsque je me connecte, voila l'erreur que je rencontre :

Code: Tout sélectionner

Thu Jul 02 09:36:37 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Jul 02 09:36:38 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Jul 02 09:36:38 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Jul 02 09:36:41 2009 LZO compression initialized
Thu Jul 02 09:36:41 2009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jul 02 09:36:41 2009 RESOLVE: NOTE: ncproxy resolves to 4 addresses, choosing one by random
Thu Jul 02 09:36:41 2009 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jul 02 09:36:41 2009 Local Options hash (VER=V4): '6a348b9a'
Thu Jul 02 09:36:41 2009 Expected Remote Options hash (VER=V4): '7c46a39d'
Thu Jul 02 09:36:41 2009 Attempting to establish TCP connection with XX.XX.XX.XX:8080
Thu Jul 02 09:36:41 2009 TCP connection established with XX.XX.XX.XX:8080
Thu Jul 02 09:36:41 2009 Send to HTTP proxy: 'CONNECT XX.XX.XX.XX:443 HTTP/1.0'
Thu Jul 02 09:36:41 2009 Attempting Basic Proxy-Authorization
Thu Jul 02 09:36:43 2009 HTTP proxy returned: 'HTTP/1.0 302 Redirect'
Thu Jul 02 09:36:43 2009 HTTP proxy returned bad status
Thu Jul 02 09:36:43 2009 TCP/UDP: Closing socket
Thu Jul 02 09:36:43 2009 SIGTERM[soft,init_instance] received, process exiting

J'utilise le port 443 pour monter le VPN mais je ne pense pas que cela soit problèmatique.
En revanche, je n'arrive pas à expliquer l'erreur HTTP 302 renvoyée au proxy.

Est-ce que quelqu'un aurait une petite idée ?

[jdh]

Bonjour,

J'aimerais savoir quelle est la motivation de cette demande.

Normalement, on ne demande pas cela.
Mais comme je pense que c'est pour une utilisation non conforme à la charte de ton entreprise, je ne vois pas pourquoi j'aiderais.
Il faudrait comprendre qu'Ixus n'est pas là pour aider à une utilisation illégale.

Donc quelle est la motivation ?


(Je sais "on est c.h.i.a.n.t". Mais pas la peine de répondre cela)

[Roulians]

J'ai l'autorisation de mon boulot pour cette opération. Je bosse souvent de chez moi et j'ai besoin de rapatrier regulierement des données sur mon poste de travail au bureau. Voila tout.

[jdh]

Oui, j'attendais cette réponse.
Elle me parait néanmoins très surprenante.
Enfin pour moi et dans les entreprises que je gère, ce serait NON et JAMAIS.
Et pas seulement parce que je n'ai pas le don d'ubiquité : j'ai du mal à voir l'intérêt de ce type d'opération.
Il m'arrive de faire l'inverse : mettre en place un Openvpn. Il y a alors une trace de qui se connecte et quand. Cela me parait infiniment plus logique.



Il y a (hélas) un article sur ce sujet très précisément dans le n° de ce mois de la revue Linux Magazine ...

Je n'en dirais pas plus. Et chacun comprendra pourquoi ...

[Roulians]

Merci pour ta réponse, cela dit je viens ici pour avoir une explication à un problème technique, pas un discours sur la déontologie d'entreprise.

[jdh]

Oui, mais je suis en charge de l'informatique dans plusieurs entreprises. Et ça je ne l'oublie pas.

J'ai des collègues qui ont reçu un ordi portable ... ce qui les autorise à travailler chez eux.
Je trouve normal de configurer sur le matériel de l'entreprise un accès VPN (p.e. avec OpenVPN).
Ils peuvent donc travailler "comme" s'ils étaient dans l'entreprise alors qu'ils sont chez eux.

Je trouve très étonnant (et même incompréhensible que des données de l'entreprise sortent par un VPN).

Ni toi ni moi n'avons le don d'ubiquité : je ne travaille pas sur mon micro du bureau, les serveurs de l'entreprise et en plus sur un micro personnel.

Par ailleurs, mon rôle est aussi la sécurité des réseaux et de l'accès vers notre réseau.
Je veux bien gérer des accès VPN mais il est pas question qu'il y a un tunnel (sortant) que je ne maîtrise pas.

On est bien d'accord, je n'ai pas du tout la même vision de la sécurité que tes collègues de l'informatique.


Ce qui me pose question c'est qu'un utilisateur fasse seul ce genre de manip (douteuse pour moi) et avec, dit-il, l'assentiment de sa direction. Soit les informaticiens ne comprennent pas le danger soit ils le comprennent et, comme moi, ils n'autorisent pas.


Sur ce, comme visiblement on ne sera pas d'accord, je m'arrête là (car j'en ai dit déjà assez).

[ccnet]

D'un point de vue pratique je ne vois pas en quoi un client vpn "normal" ne donnerait pas satisfaction. D'un point de vue technique, ou de celui d'un auditeur sécurité, je ne vois aucune raison pour autoriser un tunnel sortant chiffré. Je vois même une multitude raisons pour l'interdire. C'est typiquement le type de méthode que l'on utilise lors des intrusions pour passer les firewalls. Le client vpn, situé à l'extérieur, lui ne pose pas ce type de problème. Quand on pose un netcat ou socat sur un serveur interne c'est rarement pour le travail à domicile. Il ne faut pas prendre les enfants du bon dieu pour des canards sauvage comme on dit.