Re: Raccoon, StrongSwan ou autre ?
Bonjour, Le Mon, Aug 26, 2013 at 04:39:21PM +0200, Christophe ecrivait : > > Bizarrement "OpenVPN for Android" était déjà installé sur mon Nexus, > avec un semblant de config, pas finie : j'avais du déjà vouloir > faire des choses avec c'truc la ... mais sans certificats, on va pas > aller bien loin :) . c'est sur ;) > Sais tu si le mode tap (ethernet) fonctionne dans ces conditions ? désolé je ne ne sais pas, je n'utilise que le mode tun. David. -- Chronique, Articles, Projets "libre" -> http://www.cure.nom.fr/ @tdjfr on Identi.ca / Twitter / Diaspora Association FINIX : Finistere *nix-> http://www.Finix.EU.Org/ "Le temps est sans importance, seule la vie est importante" L5E signature.asc Description: Digital signature
Re: Raccoon, StrongSwan ou autre ?
Bonjour, Le 26/08/2013 15:30, David Cure a écrit : on parle d'Android 4.x plus haut : depuis cette version les API VPN sont dispos dans le SDK et il y a donc un client OpenVPN qui utilise ces APIs et qui ne necessite plus d'être root -> OpenVPN for Android est celui que j'utilise en UDP (TCP fonctionne aussi). David. C'est bon à savoir. Bizarrement "OpenVPN for Android" était déjà installé sur mon Nexus, avec un semblant de config, pas finie : j'avais du déjà vouloir faire des choses avec c'truc la ... mais sans certificats, on va pas aller bien loin :) . Sais tu si le mode tap (ethernet) fonctionne dans ces conditions ? @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/521b6899.7030...@stuxnet.org
Re: Raccoon, StrongSwan ou autre ?
Bonjour, [Réponse tardive mais comme je n'ai pas vu cette info dans les réponse, je la donne] Le Sun, Aug 18, 2013 at 06:42:12PM +0200, Christophe ecrivait : > > >- les clients sont de type PC portable sous squeeze, tablette/téléphone sous > >Android 4.2.ou 4.3, iphone/ipad de différentes versions, > > * Sur Android, j'ai personnellement testé : Ca marchotte ... si tant > est que le phone soit rooté et qu'on fasse passer ca en TCP (beurk) > et en mode tun (enormes difficultés à fonctionner en tap). De la à > utiliser ca en prod, y'a un énorme pas ... on parle d'Android 4.x plus haut : depuis cette version les API VPN sont dispos dans le SDK et il y a donc un client OpenVPN qui utilise ces APIs et qui ne necessite plus d'être root -> OpenVPN for Android est celui que j'utilise en UDP (TCP fonctionne aussi). David. -- Chronique, Articles, Projets "libre" -> http://www.cure.nom.fr/ @tdjfr on Identi.ca / Twitter / Diaspora Association FINIX : Finistere *nix-> http://www.Finix.EU.Org/ "Le temps est sans importance, seule la vie est importante" L5E signature.asc Description: Digital signature
Re: Raccoon, StrongSwan ou autre ?
Salut, Christophe a écrit : > > Problème étant que quand il s'agit de faire passer ce genre de protocole > (IPSEC) à travers du NAT (ton serveur étant avec une IP locale), et puis > à travers les réseaux mobiles, les ennuis arrivent a grand pas :( . > Sur les modems-routeurs classiques, tu as bien souvent possibilité de > rediriger le traffic en TCP ou UDP, mais quand ca part dans du AH ou > ESP, ca trouve vite ses limites. C'est pour pallier à ce type de problème qu'il existe NAT-T, une encapsulation d'IPSec dans UDP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5213c642.7030...@plouf.fr.eu.org
Re: Raccoon, StrongSwan ou autre ?
Olivier a écrit : La doc de StrongSwan et autre n'insiste pas sur la compatibilité avec le NAT. J'espère que qu'il y a des solutions à cela. Sans adresse IP publique sur la machine, je ne dis pas que ca soit infaisable, mais c'est chaud bouill' quand même ... Quel est le modem/routeur en question ? Une box d'opérateur mais s'il le faut, je n'hésiterai pas à la remplacer par quelque chose de mieux. Une box d'opérateur ? ou de FAI ? Change vite surtout si il y a un acronyme de fruit dessus. @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5213b89f@stuxnet.org
Re: [Un peu HS] Re: Raccoon, StrongSwan ou autre ?
On Tue, 20 Aug 2013 20:28:14 +0200 Christophe wrote: > Ca se trouve sur le play store ton truc ? œuf corse > En ce qui me concerne, OpenVPN sans tap est juste rédhibitoire. > (tout comme OpenVPN sans udp comme transport). La seule diff, c'est que les svrs ne sont pas atteignables par ping. > Hmm , pas faux , tu n'empêchera malheureusement le marketing de > l'emporter sur la technique. Un admin digne de ce nom ne devrait pas se laisser faire par sa hiérarchie… > Tu peux dire qu'IE c'est une merde sans nom, c'est pas faux. Mais > quand un de tes clients a plus de 60 % de visiteurs sur son site > public avec IE, et que c'est sa principale source de revenus, tu > ne peux pas renier en disant juste "c'est d'la merde c'truc, veux > même pas en entendre parler, dites à vos client d'utiliser > FF/Chrome/Whatever !" (ou putain le rêve ! :) ). Meuhsi: il suffit d'envoyer un écran disant "vs utilisez ie 4.0 qui est une merde; d'ailleurs _tous_ les ie sont des merdes, donc, à partir du 2013-9-1, tous les ie seront désacivés > Je suis d'accord la dessus aussi. Reste que si tu veux connecter > un Cisco ou un Juniper sur ton infra, je te souhaite bien du > courage ! Connecter du Cisco confine à la maladie mentale, étant donné "certaines" failles apparues il y a moins de 10 ans. -- Comme dirait mon ami muet : Eh ben quoi ?? ??? Eh oh ?! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130820204201.1a9a2a12@anubis.defcon1
[Un peu HS] Re: Raccoon, StrongSwan ou autre ?
Bzzz a écrit : Perso, je l'utilise sous 2.3.3 avec featvpn (qui, entre guillemets ne nécessite PAS un accès root). Pour les produits de ceux qui nous prennent pour des pommes, sèpô. * Sur Android, j'ai personnellement testé : Ca marchotte ... si tant est que le phone soit rooté Nan, V. plus haut. Ca se trouve sur le play store ton truc ? et qu'on fasse passer ca en TCP (beurk) et en mode tun (enormes difficultés à fonctionner en tap). De la à utiliser ca en prod, y'a un énorme pas ... Effectivement, le mode 'tun' est celui nécessité par featvpn, mais si on a créé les raccourcis vers les svrs voulus, ça ne pose pas de réel PB d'accès. En ce qui me concerne, OpenVPN sans tap est juste rédhibitoire. (tout comme OpenVPN sans udp comme transport). * Sur iPhone et iPad , je n'ai pas testé personnellement, mais le peu de témoignage que j'en ai eu, m'ont fait part des pires difficultés à faire fonctionner OpenVPN dessus (bien pires que sur Android) de part la nature particulièrement fermée de l'OS. (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce qu'il se passe ???) Mauvaise policy, changer policy (pas de pomme:) Hmm , pas faux , tu n'empêchera malheureusement le marketing de l'emporter sur la technique. Créer du besoin ou il y en a pas, confondre clients et patients atteints du "Syndrome de Stockholm". J'en passe. Mais ce n'est pas le sujet, et malheureusement, ces produits font partie du marché (forte pénétration, dans tous les sens du terme), et il est également malheureusement nécessaire d'en tenir compte (Au grand désespoir de tous) . Ca me rappelle la guerre IE VS le reste du monde (qui dure depuis une bonne -voire deux- décennies). Tu peux dire qu'IE c'est une merde sans nom, c'est pas faux. Mais quand un de tes clients a plus de 60 % de visiteurs sur son site public avec IE, et que c'est sa principale source de revenus, tu ne peux pas renier en disant juste "c'est d'la merde c'truc, veux même pas en entendre parler, dites à vos client d'utiliser FF/Chrome/Whatever !" (ou putain le rêve ! :) ). J'avoue sans état d'âme penser comme toi d'un point de vue technique, mais la réalité du terrain dans certains cas, est tout autre . Problème étant que quand il s'agit de faire passer ce genre de protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP locale), et puis à travers les réseaux mobiles, les ennuis arrivent a grand pas :( . Sur les modems-routeurs classiques, tu as bien souvent possibilité de rediriger le traffic en TCP ou UDP, mais quand ca part dans du AH ou ESP, ca trouve vite ses limites. Héhé, (gros) avantage OpenVPN: il suffit de forwarder le port utilisé vers le svr interne. Je suis d'accord la dessus aussi. Reste que si tu veux connecter un Cisco ou un Juniper sur ton infra, je te souhaite bien du courage ! (je t'accorde que le problème ne se pose pas , si tu maîtrise la chaîne de bout en bout ...) @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5213b53e.9060...@stuxnet.org
Re: Raccoon, StrongSwan ou autre ?
On Mon, 19 Aug 2013 21:03:10 +0200 Olivier wrote: > C'est là toute la question : > - j'ai essayé sans succès avec le client officiel d'OpenVPN sur > Android, > - vu le peu de moyens de diagnostic que je connais sur Android (en > existe-t-il ?), j'ai décidé d'essayer IPSec. Heu t'es nœnœud ou bien? J'ai parlé de *featvpn* spécifiquement dédié aux droids _non-rootés_. > La doc de StrongSwan et autre n'insiste pas sur la compatibilité > avec le NAT. > J'espère que qu'il y a des solutions à cela. Il y a des raisons "logiques" à cela: c'est _justement_ là où le bât blesse: StSw n'a pas de solt stable par rapport à ce PB. > Il m'avait sembler lire que c'était possible (sur iOS, si ma > mémoire est bonne). > À étudier de plus près sur Android. Ne confondont point: c'est du ressort du browser et en aucun cas de l'OS (sauf si certaines applis doivent directement accéder à un svr dans le VPN, mais là, il me semble que là, on verse dans le hors sujet). -- Boby : Aha, et moi j'nique ta mère ! Nico : Oh non papa.. T'es crade.. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130819211635.6f06858c@anubis.defcon1
Re: Raccoon, StrongSwan ou autre ?
Le 18 août 2013 19:22, Bzzz a écrit : > On Sun, 18 Aug 2013 18:42:12 +0200 > Christophe wrote: > > > > - les clients sont de type PC portable sous squeeze, > > > tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de > > > différentes versions, > > > > C'est la que le bas blesse (pour le moment en tout cas) : > > Ben pourquoi? > Perso, je l'utilise sous 2.3.3 avec featvpn (qui, > entre guillemets ne nécessite PAS un accès root). > Pour les produits de ceux qui nous prennent pour > des pommes, sèpô. > > > * Sur Android, j'ai personnellement testé : Ca marchotte ... > > si tant est que le phone soit rooté > > Nan, V. plus haut. > > > et qu'on fasse passer ca en > > TCP (beurk) et en mode tun (enormes difficultés à fonctionner en > > tap). De la à utiliser ca en prod, y'a un énorme pas ... > > Effectivement, le mode 'tun' est celui nécessité par > featvpn, mais si on a créé les raccourcis vers les svrs > voulus, ça ne pose pas de réel PB d'accès. > C'est là toute la question : - j'ai essayé sans succès avec le client officiel d'OpenVPN sur Android, - vu le peu de moyens de diagnostic que je connais sur Android (en existe-t-il ?), j'ai décidé d'essayer IPSec. > > > * Sur iPhone et iPad , je n'ai pas testé personnellement, mais le > > peu de témoignage que j'en ai eu, m'ont fait part des pires > > difficultés à faire fonctionner OpenVPN dessus (bien pires que sur > > Android) de part la nature particulièrement fermée de l'OS. > > (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce > > qu'il se passe ???) > > Mauvaise policy, changer policy (pas de pomme:) > > > > - le serveur a une IP privée mais est connecté à un > > > modem-routeur avec IP fixe dont je maîtrise le paramétrage > > > > Problème étant que quand il s'agit de faire passer ce genre de > > protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP > > locale), et puis à travers les réseaux mobiles, les ennuis > > arrivent a grand pas :( . Sur les modems-routeurs classiques, tu > > as bien souvent possibilité de rediriger le traffic en TCP ou UDP, > > mais quand ca part dans du AH ou ESP, ca trouve vite ses limites. > > Héhé, (gros) avantage OpenVPN: il suffit de forwarder > le port utilisé vers le svr interne. > La doc de StrongSwan et autre n'insiste pas sur la compatibilité avec le NAT. J'espère que qu'il y a des solutions à cela. > > > Quel est le modem/routeur en question ? > Une box d'opérateur mais s'il le faut, je n'hésiterai pas à la remplacer par quelque chose de mieux. > > > > > > > - pour les clients de type téléphone ou tablettes, j'aimerai que > > > le lancement du client IPSEC soit automatique dès que > > > l'utilisateur saisit dans son navigateur une IP privée > > > appartenant au VPN. > > > > Je crains malheureusement que cela soit utopique :( . > > Ça doit pouvoir se réaliser en écrivant un plugin > spécifique (mais seul FF permettra cela… et sa > dispo n'est valide que pour les toutes dernières > versions d'android:( > Il m'avait sembler lire que c'était possible (sur iOS, si ma mémoire est bonne). À étudier de plus près sur Android. > > -- > Schnaps : Nan mais cette nuit c'était horrible ! J'avais la diarrhée et mon > bébé arrêtait pas de gueuler :( En plus ma chatte était malade > >.< > * Beurdiii viens de se connecter > Schnaps : Ils ont criés toute la nuit, j'ai des griffures jusque dans le > dos > et l'anus défoncé > Beurdiii : ... > Schnaps : On parlait de ma chatte et de mon bébé hein ._. > Beurdiii : 0.O > Schnaps : J'vais me suicider je revient > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: http://lists.debian.org/20130818192249.311bc3ee@anubis.defcon1 > >
Re: Raccoon, StrongSwan ou autre ?
On Sun, 18 Aug 2013 18:42:12 +0200 Christophe wrote: > > - les clients sont de type PC portable sous squeeze, > > tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de > > différentes versions, > > C'est la que le bas blesse (pour le moment en tout cas) : Ben pourquoi? Perso, je l'utilise sous 2.3.3 avec featvpn (qui, entre guillemets ne nécessite PAS un accès root). Pour les produits de ceux qui nous prennent pour des pommes, sèpô. > * Sur Android, j'ai personnellement testé : Ca marchotte ... > si tant est que le phone soit rooté Nan, V. plus haut. > et qu'on fasse passer ca en > TCP (beurk) et en mode tun (enormes difficultés à fonctionner en > tap). De la à utiliser ca en prod, y'a un énorme pas ... Effectivement, le mode 'tun' est celui nécessité par featvpn, mais si on a créé les raccourcis vers les svrs voulus, ça ne pose pas de réel PB d'accès. > * Sur iPhone et iPad , je n'ai pas testé personnellement, mais le > peu de témoignage que j'en ai eu, m'ont fait part des pires > difficultés à faire fonctionner OpenVPN dessus (bien pires que sur > Android) de part la nature particulièrement fermée de l'OS. > (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce > qu'il se passe ???) Mauvaise policy, changer policy (pas de pomme:) > > - le serveur a une IP privée mais est connecté à un > > modem-routeur avec IP fixe dont je maîtrise le paramétrage > > Problème étant que quand il s'agit de faire passer ce genre de > protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP > locale), et puis à travers les réseaux mobiles, les ennuis > arrivent a grand pas :( . Sur les modems-routeurs classiques, tu > as bien souvent possibilité de rediriger le traffic en TCP ou UDP, > mais quand ca part dans du AH ou ESP, ca trouve vite ses limites. Héhé, (gros) avantage OpenVPN: il suffit de forwarder le port utilisé vers le svr interne. > Quel est le modem/routeur en question ? > > > > - pour les clients de type téléphone ou tablettes, j'aimerai que > > le lancement du client IPSEC soit automatique dès que > > l'utilisateur saisit dans son navigateur une IP privée > > appartenant au VPN. > > Je crains malheureusement que cela soit utopique :( . Ça doit pouvoir se réaliser en écrivant un plugin spécifique (mais seul FF permettra cela… et sa dispo n'est valide que pour les toutes dernières versions d'android:( -- Schnaps : Nan mais cette nuit c'était horrible ! J'avais la diarrhée et mon bébé arrêtait pas de gueuler :( En plus ma chatte était malade >.< * Beurdiii viens de se connecter Schnaps : Ils ont criés toute la nuit, j'ai des griffures jusque dans le dos et l'anus défoncé Beurdiii : ... Schnaps : On parlait de ma chatte et de mon bébé hein ._. Beurdiii : 0.O Schnaps : J'vais me suicider je revient -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130818192249.311bc3ee@anubis.defcon1
Re: Raccoon, StrongSwan ou autre ?
Bonjour, Bzzz a écrit : On Fri, 16 Aug 2013 18:18:43 +0200 Olivier wrote: Je fais mes besoins immédiats dans l'accueil de road warrior sur un serveur squeeze (qui va bientôt passer à wheezy). Tu vas te faire chibaver jusqu'à plus soif, montes plutôt une infrastructure OpenVPN bcp plus souple. J'aime beaucoup le terme :-) . Je suis d'accord avec Bzzz sur le fait qu'OpenVPN soit particulièrement efficace et beaucoup plus simple à mettre en route : A titre perso et pro, c'est ce que j'utilise partout . Mais le contexte est différent : Infra sous Linux et Open/FreeBSD sur lequel le paquet OpenVPN est disponible au bout de quelques commandes. - les clients sont de type PC portable sous squeeze, tablette/téléphone sous Android 4.2.ou 4.3, iphone/ipad de différentes versions, C'est la que le bas blesse (pour le moment en tout cas) : * PC Portable sous squeeze, pas de soucis : apt-get install openvpn, copie des fichiers idoines et c'est parti. * Sur Android, j'ai personnellement testé : Ca marchotte ... si tant est que le phone soit rooté et qu'on fasse passer ca en TCP (beurk) et en mode tun (enormes difficultés à fonctionner en tap). De la à utiliser ca en prod, y'a un énorme pas ... * Sur iPhone et iPad , je n'ai pas testé personnellement, mais le peu de témoignage que j'en ai eu, m'ont fait part des pires difficultés à faire fonctionner OpenVPN dessus (bien pires que sur Android) de part la nature particulièrement fermée de l'OS. (Ajouter une interface réseau ?? sur laquelle on ne sait pas ce qu'il se passe ???) A côté de ca , IPSec/L2TP est natif sur les terminaux mobiles précédemment cités. Mais d'une utilité particulièrement limitée de mon point de vue (voir la suite). - le serveur a une IP privée mais est connecté à un modem-routeur avec IP fixe dont je maîtrise le paramétrage Problème étant que quand il s'agit de faire passer ce genre de protocole (IPSEC) à travers du NAT (ton serveur étant avec une IP locale), et puis à travers les réseaux mobiles, les ennuis arrivent a grand pas :( . Sur les modems-routeurs classiques, tu as bien souvent possibilité de rediriger le traffic en TCP ou UDP, mais quand ca part dans du AH ou ESP, ca trouve vite ses limites. Quel est le modem/routeur en question ? - pour les clients de type téléphone ou tablettes, j'aimerai que le lancement du client IPSEC soit automatique dès que l'utilisateur saisit dans son navigateur une IP privée appartenant au VPN. Je crains malheureusement que cela soit utopique :( . @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5210f964.6040...@stuxnet.org
Re: Raccoon, StrongSwan ou autre ?
On Fri, 16 Aug 2013 18:18:43 +0200 Olivier wrote: > Je fais mes besoins immédiats dans l'accueil de road warrior sur > un serveur squeeze (qui va bientôt passer à wheezy). Tu vas te faire chibaver jusqu'à plus soif, montes plutôt une infrastructure OpenVPN bcp plus souple. -- Dodo: je panse donc je suis... Léo: Hum médecin, infirmier ? Un estomac à la rigueur ? Dodo: ?? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130818171117.7cac51e4@anubis.defcon1