[Annonce] smeserver-openvpn-bridge

par **VIP-ire** » 07 Nov 2006 19:27

je viens d'uploader la dernière beta de ma contribution (beta mais je l'ai beacoup testé et j'ai pas trouver de bug pour l'instant), elle permet de mettre facilement en place un server openvpn en mode bridge. l'interface intègre un gestionnaire de certificats, vous n'avez plus besoin de mettre les mains dans la ligne de comamnde pour générer les certificats ou les révoquer. Si vous voulez l'essayer: http://sme.firewall-services.com/spip.php?article2
Voilou.

par **neodam** » 07 Nov 2006 21:09

hmmm interessent tout ceci.

dis moi c'est pour quelle version de SME ??
6.01-1 ou 7 ??

par **VIP-ire** » 07 Nov 2006 21:36

c'est vrais, j'ai pas précisé, c'est pour SME 7.0

par **oblooblo2000** » 08 Nov 2006 17:39

salut et un grand merci pour ta contrib !!!

J'ai une petite question, quel est le mieux, utiliser la fonction VPN de SME ou interconnecter 2 reseau via les fonctionnalités des modem routeurs? C'est une question qui me taraude et ne m'étant pas encore bien pencher sur le sujet, si vous avez des remarques je suis preneur, merci !!!

Je testerai ta contrib bientot, merci encore!

par **VIP-ire** » 09 Nov 2006 11:02

J'avoue que je comprend pas bien ta question. Tu veux interconnecter deux sites et tu te demande si c'est mieux de le faire avec deux SME faisant tourner openvpn ou avec des solutions de VPN fournit par des modems routeurs genre linksys, c'est bien ça?

par **neodam** » 09 Nov 2006 16:13

dis moi, est-ce qu'une version SME 6.01 est prévu ??

si non, serait-ce compliqué a faire ?? :oops:

par **oblooblo2000** » 09 Nov 2006 16:40

VIP-ire a écrit:J'avoue que je comprend pas bien ta question. Tu veux interconnecter deux sites et tu te demande si c'est mieux de le faire avec deux SME faisant tourner openvpn ou avec des solutions de VPN fournit par des modems routeurs genre linksys, c'est bien ça?

exactement!

par **VIP-ire** » 09 Nov 2006 19:18

neodam a écrit:dis moi, est-ce qu'une version SME 6.01 est prévu ??

si non, serait-ce compliqué a faire ??

je n'en ai pas prévue parceque je n'ai aucun serveur en 6.01, mon serveur de test est sous la 7 et je ne peux pas le réinstaller parceque je développe d'autre contrib sous la 7 (trixbox notament). Mais il est très possible que cette contrib fonctionne sur la 6 (le panel est écrit avec l'ancien module perl, celui de la 6 parceque j'ai horreur de Formmagick). Si quelqu'un peut tester sur une 6 et me dire ce que ça donne...

oblooblo2000 a écrit:VIP-ire a écrit:
J'avoue que je comprend pas bien ta question. Tu veux interconnecter deux sites et tu te demande si c'est mieux de le faire avec deux SME faisant tourner openvpn ou avec des solutions de VPN fournit par des modems routeurs genre linksys, c'est bien ça?

exactement!

Je n'ai jamais testé les performances des solutions VPN de modom routeur. Ce que je sais c'est que ma contrib n'est pas optimisée pour une interconnection de sites (même si c'est possible), elle est plutôt prévue pour des clients mobiles. Par contre je vais essayer d'écire un how-to pour configurer spécialement openvpn pour une interconnetion de sites (en utilisant une interface tun au lieu de tap par exemple). Je posterai quand il sera prêt.

par **neodam** » 13 Nov 2006 19:24

j'essayerais de faire un test de ta version sur ma sme 6.01 :wink:

par **oblooblo2000** » 14 Nov 2006 09:00

pas trop de feedback alors??
personne n'a jamais comparé, la solution entre modem/routeur parrait simple a mettre en place, est elle securisée ??

par **VIP-ire** » 19 Nov 2006 05:36

Une nouvelle beta de cette contrib est disponible. Le but principal de cette release est d'améliorer la sécurité.

http://sme.firewall-services.com/spip.php?rubrique3

J'ai la flemme de le traduire alors voila la liste des changement en anglais:

- login verification script has been replaced with openvpn-auth-pam.so, which add this advatages (from openvpn's site):
* The shared object openvpn-auth-pam plugin uses a split-privilege execution model for better security. This means that the OpenVPN server can run with reduced privileges by using the directives user nobody, group nobody, and chroot, and will still be able to authenticate against the root-readable-only shadow password file.
* OpenVPN can pass the username/password to a plugin via virtual memory, rather than via a file or the environment, which is better for local security on the server machine.
* C-compiled plugin modules generally run faster than scripts.
- dameon runs under user nobody, group nobody
- daemon chrooted in /etc/openvpn
- added tls-auth with a shared static key (secret). The tls-auth protect against
* DoS attacks or port flooding on the OpenVPN UDP port.
* Port scanning to determine which server UDP ports are in a listening state.
* Buffer overflow vulnerabilities in the SSL/TLS implementation.
* SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point).
- certificates are marked as client or server. At the connexion time, the client verify that the server present a server certificate. This prevent from spoofing attacks.
- The common name of the server is verified each time a client connect.
- during the first certificate generation, you can choose the key size (1024, 2048 or 4096)
- Only 4 authentication methods are available now, the old second one has been removed
- the generation of the certificates, keys and paramaters has changed so that there no more a time out error on the web page
- the contrib is ready to co-exist with the soon comming contrib for site to site connexion
- you can generate another certificate than the default one for the serve-side
- you can see the last 100 lines of the log through the interface for easyer debugging.
- The interface tells you if the daemon is running (and gives you its PID)
- the certificate manager has been modified (available certificates and revokated ones are display in two differents tables).

par **VIP-ire** » 19 Nov 2006 18:00

Oups, une petite erreur dans le script d'installation (le script d'upgrade était ok). Je viens de mettre la nouvelle archive avec la correction donc si vous avez essayé la beta5 et que la génération des certificats ne marchait pas, désinstaller la contrib, retéléchargez la et réinstallez la, ça dervait être ok cette foi.

par **neodam** » 25 Nov 2006 02:13

j'ai remarqué qu'entre ta version beta 4 et la beta 5 le fichier smeserver-openvpn-0.0.1-2.noarch.rpm avait disparu.

il n'est plus nécessaire :?:

sinon de mon coté j'ai regardé la compatibilité avec SME 6.01-01, elle n'est pas totale.

le script d'installation ne posera visiblement aucun soucis, mais ce sont les rpm qui bloquent.
en particulier lui : openvpn-2.0.7-1.el4.rf.i386.rpm.

en effet plutot que de lancer le script betement, j'ai ouvert le tout et regarder le code.
rien de ne m'a paru impossible a executer sur une 6.01-01.
ensuite j'ai testé les rpm.

[root@sme-pc home]# rpm -ivh lzo-1.08-4.2.el4.rf.i386.rpm --test
Preparing... ########################################### [100%]
[root@sme-pc home]# rpm -ivh smeserver-openvpn-0.0.1-2.noarch.rpm --test
Preparing... ########################################### [100%]
[root@sme-pc home]# rpm -ivh openvpn-2.0.7-1.el4.rf.i386.rpm --test
error: failed dependencies:
libc.so.6(GLIBC_2.3) is needed by openvpn-2.0.7-1.el4.rf
libc.so.6(GLIBC_2.3.2) is needed by openvpn-2.0.7-1.el4.rf
libcrypto.so.4 is needed by openvpn-2.0.7-1.el4.rf
liblzo.so.1 is needed by openvpn-2.0.7-1.el4.rf
libssl.so.4 is needed by openvpn-2.0.7-1.el4.rf

il semble donc que cette version d'openvpn réclame d'autre librairies non comprise dans cette version de SME.
Mais cela reste tout de meme fesable car sur rpmfind.net les librairies sont surement trouvable et de + j'ai trouvé ça openvpn-2.0.7-1.rh7.rf.i386.rpm
et voila le résultat d'un test :

[root@sme-pc home]# rpm -ivh openvpn-2.0.7-1.rh7.rf.i386.rpm --test
error: failed dependencies:
liblzo.so.1 is needed by openvpn-2.0.7-1.rh7.rf

manque juste la librairie du lzo (normal donc!).

et il y a meme un lzo-1.08-4.0.rh7.rf.i386.rpm qui est censé etre pr redhat 7.3 comme est basée sme 6.01-01.
voila le test :

[root@sme-pc home]# rpm -ivh lzo-1.08-4.0.rh7.rf.i386.rpm --test
Preparing... ########################################### [100%]

il me semble donc qu'en editant simplement le script au niveau des rpm, on peut l'adapter a SME 6.01-01, qu'en penses-tu?

faire un dossier SME7/*.rpm
et un dossier SME6/*.rpm

au debut du script, faire un test pr savoir quelle version de SME est executé et aviser ensuite pr l'installation des RPMs.

Par contre je suis desolé mais je ne saurais pas vraiment programmer cela. :oops:

par **VIP-ire** » 25 Nov 2006 13:54

ouais, depuis la beta5 smeserver-openvpn n'est plus nécessaire, tout est inclus dans l'archive.

Pour sme6, ouais ça doit pouvoir être fait. Est-tu d'accord pour m'aider à faire des tests si je modifie le script d'install ?
Autre chose, avant que je me lance, est-ce que tu peux essayer d'installer à la main les deux rpms pour la 6 (openvpn et lzo) puis d'éditer le script d'install de la beta 5, commenter la ligne concernant l'installation des rpms, et lancer l'install. Si après ça tout fonctionne, c'est ok, je ferais la petite modif de test de version, et la contrib sera compatible avec sme6

par **neodam** » 26 Nov 2006 01:59

ok je vais tester ça dans le WE.

ce que je vais faire c'est qu'avant de lancer le script, je vais echanger les rpms de ton archive par ceux que j'ai testé pr sme 6.
comme ça, meme pas besoin d'editer le script.

[Annonce] smeserver-openvpn-bridge

[Annonce] smeserver-openvpn-bridge

Qui est en ligne ?