VPN multi sites - Projet IPcop et OpenVPN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN multi sites - Projet IPcop et OpenVPN

Messagepar guillaumep » 06 Avr 2010 17:23

Bonjour,

Je souhaite connecter 15 sites en eux en VPN.
Sur chacun, un controleur de domaine Linux (Debian - DNS/SHCP/FTP/HTTP)
Un site central qui héberge les serveurs d'applications.

Je veux en profiter pour mettre en place un filtrage d'URL et proxy.
Un firewall/antivirus ne ferait pas de mal.

Aujourd'hui, certains de ces sites sont déja connectés en VPN (MPLS loué chez notre opérateur).
Si je me désangage pour internaliser cette partie, j'ai du mal à voir quelle architecture mettre en place.

Je connais NetASQ qui permet de faire tout ce que je veux avec un seul boitier (routage/proxy/firewall/antivirus/VPN).
Est il possible de mettre en place la même chose, mais en gratuit ? J'ai déja utilisé IPcop sur des petits réseaux, mais que pour du firewall/filtrage URL. J'ai cette fois une notion de VPN supplémentaire à intégrer. Et même si cela marche, je dois en plus investir dans des routeurs je suppose.

Des conseils ? Des avis ?
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Messagepar Pyrithe » 06 Avr 2010 21:49

Bonjour,

J'ai utilisé IPCop pour faire du VPN entre plusieurs sites il y a deux ans et demi environ.
Habituellement, si mes souvenirs sont bons et si les choses n'ont pas évoluées, on utilise le module OpenZerina pour offrir la couche de communication VPN.
Ce module utilise le protocole IPSec pour faire le tunelling nécessaire à ton VPN.
Le soucis, c'est que ce protocole ne supporte pas le NATage. (NAT sur routeur).
Ca pose un problème, puisqu'en périphérie du site, le dernier routeur fait forcémment du NAT de nos jours. (translation d'adresse).
Ca implique qu'il faut utiliser ton IPCop en "passerelle d'accès" du site, et que c'est ton IPCop qui fera office de routeur de périphérie.
Ca a très bien marché pour moi en tous cas.

Le seul soucis est de savoir si en une telle configuration, une machine à faible coût sera capable de fournir assez pour un confort d'utilisation derrière. Et ce, notamment si tu utilise la fonction de Proxy...

En ce qui concerne le Firewall, la distribution IPCop est orientée (très orientée) réseaux et sécurité. C'est donc tout naturellement qu'elle offre un bon système de firewall, simple à paramétrer grâce à son interface simple et conviviale.

Pour l'antivirus, je vois pas trop ce que tu veux faire... si c'est pour mettre en place un antivirus client/serveur, vois ailleurs...
Avatar de l’utilisateur
Pyrithe
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 27 Juil 2006 13:55

Messagepar jdh » 06 Avr 2010 22:13

Juste une remarque sur la réponse de Pyrithe : Zerina offre OpenVPN pour les roadwarriors (PC sur Internet) alors qu'Ipsec est un protocole très différent, interopérable (sous réserves), et bien plus adapté pour le net-2-net (pour Zerina c'est en beta ?). Il est connu qu'Ipsec, dans l'implantation ipcop, ne fonctionne pas ou mal derrière un routeur NAT comme les Livebox par exemple.

Je reste circonspect sur la confusion des 2 objectifs : VPN et filtrage (avec AV).
Nous sommes plusieurs à conseiller de séparer les 2 fonctions. Alors encore plus à raison dans un cas de VPN multi-sites.

Je laisserais volontiers le job VPN à l'opérateur en lui demandant toutefois un accès en lecture SNMP sur les routeurs pour installer un MRTG/CACTI de supervision.
Et je centraliserai l'accès Internet, quitte à lui fournir son propre accès ADSL, sous la forme d'un proxy dédié et finement mis au point avec Debian/Squid/SquidGuard/HAVP/blacklist/LightSquid. Resterai à régler la config proxy des clients ...
Enfin c'est mon point de vue et avec ce que je sais faire ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar guillaumep » 08 Avr 2010 11:13

Merci pour toutes ces précisions et conseils.
Si je comprends bien, je peux faire du VPN avec IPcop en IPSec en utilisant ce dernier comme routeur.
Il suffit de configurer la box de mon FAI en mode bridge au lieu de routeur. (à vérifier que cela est possible)

Une question à laquelle je n'ai pas encore de réponse :

Si je mets en place cette solution (un IPcop sur chaque site avec un tunnel VPN entre les "sites relais" et le "site principal", les "sites relais" pourront ils communiquer entre eux ?

jdh, j'entends bien qu'il est préférable de séparer VPN et Firewall/filtrage, mais cela nécessite des achats supplémentaires.
Mes critères de choix restent le coût et la centralisation de plusieurs services sur une machine, donc s'il me faut 1 boitier pour du VPN, et un boitier Firewall je ne suis pas sûr des éconnomies réalisées.

De plus, je ne veux pas que les "sites relais" passent par le site central pour sortir sur internet.
Cela va produire une augmentation du trafic au travers du VPN, et un ralentissement pour tout le monde.

Les sites relais ayant tous les mêmes besoins et contraintes, il me suffit d'avoir un seul IPcop configuré et de faire une dupplication de conf.

Pour l'anti virus, c'est optionnel, mais un ClamAV intégré serait un plus.

Sur Netasq et Fortinet, cette option existe.
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Messagepar jdh » 08 Avr 2010 12:53

Un peu court comme analyse !

Une machine unique, qui fait "tout", est ce vraiment plus économique ?
Avec quelques années d'expérience, je dis non.

Il y a des choix à faire.

Une partie de mon temps est consacré à une entreprise avec 2 sites principaux : je gère le vpn (en ipsec, cela va sans dire), mais j'ai ajouté à la SDSL "principale" une ligne ADSL à chaque bout dédié à un proxy dédié à la navigation. J'ai acheté des PC neufs, assemblés avec un jeune stagiaire et installé selon mon souhait. Alors 3 pc sur chaque site (2 comme firewall en cluster et 1 proxy) pour 700e par site ? Le proxy utilise havp et donc clamav.

Cela n'est pas cher. Et chaque machine peut devenir une autre (relativement) rapidement ...

Combien cela coute un boitier UTM ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar calamarz » 12 Avr 2010 16:12

Bonjour,

J'ai un réseau quasi identique voici notre fonctionnement:
10 sites avec liaison ADSL Max PC PIV 2 ghz 1 Go RAM (ipcop + adv proxy + url filter + BOT) utilisation pour VPN et internet
1 site principal avec:
------> 1 SDSL PC gonfle avec ipcop + BOT dédie VPN
------> 1 ADSL Max gonflé avec ipcop + adv proxy + url filter + BOT dédie Internet

Nous avons un réseau VPN en étoile, chaques sites possèdent ainsi un sortie vers le net pour le surf et la messagerie et le VPN pour les applications metiers (TSE, Citrix, Telnet).

Ce système convient pour le moment même si nous souhaitons en septembre centralise la sortie des flux web sur le site principal ou sur un serveur hebergé, car en effet la gestion des listes noires et journaux de logs ainsi que le MAJ advproxy ou Urlfilter sont lourds...

Voila.

Bon courage !!
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar guillaumep » 14 Avr 2010 16:12

Je pense partir sur une seule machine assez robuste pour supporter le tout (Bi processeur en Dual + 4Go ram)

VMWare SX pour mettre en place la virtualisation.

La machine serait configurée sur chaque site de la manière suivante :

> 1 Debian avec fonctions dhcp/dns/http/ftp/samba (1 carte réseau dédiée)
> 1 IPcop avec fonctions firewall/filtrage url/proxy/OpenVPN (2 cartes réseaux dédiées)

Sur le site principal, la machine serait un bi processeur en quad + 16Go de ram, donc 8 coeurs avec 2Go ram par coeur.

Cela vous parait il un projet réalisable ?
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Messagepar calamarz » 15 Avr 2010 09:03

Oui pour un ce projet est réalisable mais il est déconseillé de virtualiser un OS firewall.
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar ccnet » 15 Avr 2010 11:30

La machine serait configurée sur chaque site de la manière suivante :

> 1 Debian avec fonctions dhcp/dns/http/ftp/samba (1 carte réseau dédiée)
> 1 IPcop avec fonctions firewall/filtrage url/proxy/OpenVPN (2 cartes réseaux dédiées)

Sur le site principal, la machine serait un bi processeur en quad + 16Go de ram, donc 8 coeurs avec 2Go ram par coeur.

Cela vous parait il un projet réalisable ?


Tout est réalisable. Mais c'est exactement ce que je ne ferai pas.
FireWall sans proxy sur une machine dédiée.

Un ESX avec 3 VM : 1 proxy, 1 samba, 1 http/ftp. Tout cela c'est du vite dit sans connaitre le détail des accès divers sur chacune de ses machines;

Aujourd'hui, certains de ces sites sont déja connectés en VPN (MPLS loué chez notre opérateur).

Par ailleurs je passerai l'ensemble en MPLS, je n'internaliserai pas. Je dissocierai éventuellement la partie MPLS de la partie accès internet.
Et je n'aurai qu'un seul firewall, un seule liaison Internet (ou une solution de failover), un seul proxy et je n'utiliserai pas ipcop mais Pfsense.

Bref je vois les choses tout autrement. Mais c'est vous le boss et je suis loin d'avoir tous les éléments pour donner autre chose qu'un avis grossier.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar guillaumep » 16 Avr 2010 09:06

Aujourd'hui nous avons un serveur pour faire du dhcp/ftp/http/samba, cela fonctionne très bien (petits réseaux de maximum 50 postes) donc je ne vais pas séparer tout cela sur 3 OS. Une seule débian supporte largement tout ces services.

Pour ce qui est de virtualiser un OS firewall, je suis bien d'accord, je ne pense pas que ce soit une super idée, car si un malin arrive à couler mon FW, j'ai peur que la Debian soit affectée...

Mais je ne suis pas le responsable, donc ce n'est pas moi qui fait le choix final.

Si je n'ai pas d'argument qui tienne la route concernant la virtualisation d'un firewall avec un serveur, je ne serait pas écouté.
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Messagepar ccnet » 16 Avr 2010 11:12

guillaumep a écrit:Aujourd'hui nous avons un serveur pour faire du dhcp/ftp/http/samba, cela fonctionne très bien (petits réseaux de maximum 50 postes) donc je ne vais pas séparer tout cela sur 3 OS. Une seule débian supporte largement tout ces services.

Je n'ai jamais douté que cela fonctionne. Par contre je doute que cela soit sûr. J'en suis même certain, cela ne l'est pas.

Pour ce qui est de virtualiser un OS firewall, je suis bien d'accord, je ne pense pas que ce soit une super idée, car si un malin arrive à couler mon FW, j'ai peur que la Debian soit affectée...

Les problèmes sont de deux ordres.
1. La virtualisation ajoute une complexité supplémentaire non négligeable en particulier sur le plan des flux réseau nécessaire au bon support de la machine ESX. Combien de configurations ai je vu (dans des structures dont les noms sont bien connus et où les moyens ne manquent pas) où cete complexite avait été mal perçu et où la configuration réelle n'était pas celle prévue sur le papier.
2. Dans cette solution vous multipliez les cibles : le firewall virtualisé, la vm Debian (et n'importe quel service peu fournir un moyen d'accès à l'attaquant) et l'ESX lui même. Les sortie d'isolation sont difficiles sous ESX mais possibles et réelles. Cela sans préjuger de ce que l'avenir nous réserve. Donc dans le doute ... n'augmentons pas la probabilité d'occurrence du risque.

Mais je ne suis pas le responsable, donc ce n'est pas moi qui fait le choix final.

Si je n'ai pas d'argument qui tienne la route concernant la virtualisation d'un firewall avec un serveur, je ne serait pas écouté.

En espérant que cela vous donne des arguments.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar guillaumep » 16 Avr 2010 16:36

dernière question :

est il possible sur un IPcop d'ajouter les services installés sur ma Debian.
je viens de voir qu'IPcop propose le service dhcp.
Peux ton y rajouter les services ftp/http etc...

dans ce cas, je fais disparaitre ma Debian pour n'avoir q'un noyau : IPcop
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Messagepar ccnet » 16 Avr 2010 18:27

Dans ce cas la solution s'appelle SME ou ClearOS (ex Clarckconnect)
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar guillaumep » 19 Avr 2010 10:46

OK merci ccnet sur pour ces informations, je vais peu être me pencher la dessus.
J'ai l'impression qu'il y a pas mal de doc en français pour SME, mais pas de nouvelle version depuis 2008... j'espère que cette distribution est toujours mise à jour.

As tu de ton côté déja utilisé une de ces 2 versions ? sur quel noyau sont elles basées ?
Laquelle est la plus fiable ?
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Messagepar guillaumep » 22 Avr 2010 17:07

Mon responsable souhaite avoir une première expérience dans la virtualisation.
Ce projet n'est que "solution de secours" actuellement, donc nous partons sur un IPCOP virtualisé.

En revanche, je compte séparer certains services, comme conseillé par ccnet, à savoir :

1 VM pour : IPcop + Proxy + VPN (IPcop intègre visiblement bien Advenced Proxy & OpenVPN Zerina)
1 VM pour : DNS et DHCP
1VM pour : SAMBA + WEB (lamp)

J'aimerai séparer IPCOP pour le mettre sur un pc, mais il en est ainsi...

Cela vous parait il être un bon choix de séparation ? (je sais ce n'est pas idéal mais j'ai la contrainte de devoir tout regrouper sur une seule bécanne)

Pensez vous qu'il est possible d'avoir 2 lan configurés sur IPcop ?
Me veux mettre un lan en 192.168 et un lan en 10.163
guillaumep
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 06 Avr 2010 16:11

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron