Re: [FRnOG] [TECH] DEIE EDF, automate Sofrel et concentrateur IPSec ?
Le 23/02/2023 à 22:03, Richard Klein a écrit : Une question pour une IP fixe sur un routeur 4G comment gérez vous une attaque brute force ou du DDos? Question pertinente... En général, la 4G vient en secours d'un autre lien, de préférence filaire / sans quota. Et l'IP fixe est générée dans le DC de l'opérateur, qui a sans doute la possibilité de mettre un anti-DDoS. Plus généralement, les quotas m'emmerdent, car qu'il soient bouffés par un DDoS, par une sauvegarde qui déborde, ou par de la consultation de vidéos que le secret professionnel m'interdit de citer, je ne sais pas dire à mon firewall de router ou pas du trafic vers la 4G selon qu'il reste du quota ou pas. Ceci étant, sur ce cas, je n'en suis pas à me poser ce genre de question, mais à trouver une solution temporaire pour assurer la continuité du service. Comme, dans notre métier, c'est Vendredi tous les jours, j'ai un port ModBus en mode "open-bar" sur une Livebox, en R/W, directement vers l'automate Schneider de prod ! - "Bah, oui, je ne te l'ai pas dit, parce que je savais que tu allais gueuler". Quelle perspicacité :-D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DEIE EDF, automate Sofrel et concentrateur IPSec ?
Bonsoir, Une question pour une IP fixe sur un routeur 4G comment gérez vous une attaque brute force ou du DDos? Il m'arrive de traiter des incidents sur des sims M2M ou le forfait 1Go est vidé en quelques heures sans explications. Bonne soirée Richard Le jeu. 23 févr. 2023, 19:24, Toussaint OTTAVI a écrit : > > Pas de bol pour ceux qui n'aiment pas IPSec :-) Problème sorti du > chapeau cet après-midi, avec une deadline à dans 3 semaines : > > Dans une centrale électrique, un boîtier DEIE pour la télégestion EDF. > Dedans, il y a un automate Sofrel S530, qui monte un tunnel IPSec vers > un concentrateur IPSec situé chez EDF. La configuration préconisée > demande d'ouvrir les ports 500 et 4500 sur la Livebox. > > Problème : J'ai besoin d'installer un firewall pour traiter une nouvelle > situation non prévue. Et donc, j'ai besoin de l'IPSec, que je ne pourrai > pas re-router vers le DEIE. Quelqu'un a t-il déjà bricolé avec du DEIE > ou des automates Sofrel, et sait-il s'il est possible d'utiliser autre > chose que de l'IPSec vers le concentrateur maison ? > > - La solution définitive prévoyait de remplacer l'ADSL Livebox par > quelque chose de plus sérieux, avec plusieurs IP fixes (dont une serait > dédiée au DEIE). Mais là, on est un peu courts en termes de délais... > - Eventuellement, un accès 4G pourrait faire l'affaire pendant la > transition, mais il faut une SIM avec IP fixe (le DEIE est validé sur ce > type de config); mais il n'y a pas forcément le budget pour un "gros" > accès 4G à 100 €/mois. > > Merci de vos réponses ou suggestions... > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] DEIE EDF, automate Sofrel et concentrateur IPSec ?
Pas de bol pour ceux qui n'aiment pas IPSec :-) Problème sorti du chapeau cet après-midi, avec une deadline à dans 3 semaines : Dans une centrale électrique, un boîtier DEIE pour la télégestion EDF. Dedans, il y a un automate Sofrel S530, qui monte un tunnel IPSec vers un concentrateur IPSec situé chez EDF. La configuration préconisée demande d'ouvrir les ports 500 et 4500 sur la Livebox. Problème : J'ai besoin d'installer un firewall pour traiter une nouvelle situation non prévue. Et donc, j'ai besoin de l'IPSec, que je ne pourrai pas re-router vers le DEIE. Quelqu'un a t-il déjà bricolé avec du DEIE ou des automates Sofrel, et sait-il s'il est possible d'utiliser autre chose que de l'IPSec vers le concentrateur maison ? - La solution définitive prévoyait de remplacer l'ADSL Livebox par quelque chose de plus sérieux, avec plusieurs IP fixes (dont une serait dédiée au DEIE). Mais là, on est un peu courts en termes de délais... - Eventuellement, un accès 4G pourrait faire l'affaire pendant la transition, mais il faut une SIM avec IP fixe (le DEIE est validé sur ce type de config); mais il n'y a pas forcément le budget pour un "gros" accès 4G à 100 €/mois. Merci de vos réponses ou suggestions... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
Le 23/02/2023 à 14:44, Stéphane Rivière a écrit : T'as des liens HF pour l'île d'Oléron ? En Pactor IV de préférence, ça permet 5,5 Kbps (net rate) les jours de grand beau ;) Pour rester dans le thème du satellite, tentons plutôt un ping via QO-100 :-) Non non, toujours intéressant de savoir que le 44.x.y.z reste utilisé, même phagocyté à coup de dollars par culdebouque (ou tout autre gafamit, je ne sais plus). En fait, non :-) Après avoir été coupés par deux fois sans préavis suite à des erreurs de gestion, et après avoir dû parlementer pendant je ne sais plus combien de temps, nous avons considéré que cela n'était pas compatible avec notre souhait de souveraineté :-) Il est écrit noir sur blanc dans leurs conditions générales qu'ils peuvent reprendre leurs IP 44.x à tout moment, donc nous avons pris les devants, et nous les avons rendues :-) Nous avons maintenant notre propre ASN et notre /24. Nous conservons une plage 44.x, mais uniquement en mode HamNet (intranet fermé / non routé sur Internet). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
> Nous aussi :-) C'est gratuit. Il faut posséder une licence > radioamateur, un indicatif en Corse, et si possible (mais pas > obligatoirement) prendre une cotisation à l'association locale. On > fournit un routeur Plug and Play NAT-T (Uqiquiti ER-X + OpenWRT + > Wireguard + iBGP). T'as des liens HF pour l'île d'Oléron ? En Pactor IV de préférence, ça permet 5,5 Kbps (net rate) les jours de grand beau ;) >> PS2 : Désolé, j'ai digressé du propos, Non non, toujours intéressant de savoir que le 44.x.y.z reste utilisé, même phagocyté à coup de dollars par culdebouque (ou tout autre gafamit, je ne sais plus). > Bah, pas vraiment. J'ai appris qu'IPSec n'était pas strictement > garanti sur Starlink, alors que Wireguard (ou toute autre technologie > basée uniquement sur UDP) l'était. Enfin, au moins jusqu'à ce que le > Rat Muské change d'avis... C'est un critère important à prendre en > compte lors d'une planification... Rat Muské ou Rat Martien, on est tous des rats. Ici c'est Ragondin, une espèce certainement plus stable que le Muské... -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
On jeudi 23 février 2023 10:12:27 CET, Nicolas Vuillermet wrote: PS3 : Ah oui, je veux bien aussi un retour si quelqu'un à fait de l'IPsec over IPv6 :} Quel genre de retours ? J'ai des clients en mode roadwarrior (win, lin, mac) sur un strongswan en dual stack/dual wan. Pas de soucis particuliers avec l'IPv6, et une bonne partie des clients l'utilise ... Je n'ai plus de site to site en IPv6 par contre, mais ceux que j'avais ne comptaient pas, je gérais les 2 cotés. Il ont été migrés sur WG depuis. Vincent Le 23/02/2023 à 10:09, Nicolas Vuillermet a écrit : IPsec, c'est quand ton réseau est pas trop mouillé ? La décennie passée, on avait IPsec pour faire du VPN site à site ou client serveur. L'avantage c'est que le bordel avec 3 milliards d'options, et si tu packages pas ça dans un binaire qui sait télécharger la config complète avec un simple user / pass (coucou Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set de configuration limitée, tu dois presque monter un serveur VPN en fonction du client (WTF ?) Hier, on avait les VPN SSL. Alors là, on est pas loin du gros mot qui commence par SD et fini par WAN. Entre les solutions propriétaires et les solutions propriétaires qui ne font que wrapper OpenVPN, c'était pas mieux, à part que commercialement, c'est sexy, SSL c'est mignon, les mec de la sécu sont tout heureux et IPse ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
> Entre les $VENDOR qui n'ont pas le cypher X ou Y, Wireguard s’en tire à bon compte sur ce point parce que la techno est récente. Comme IPSec en son temps, il viendra bien un jour où une des primitives cryptographiques de WG sera cassée ou affaiblie. Ce jour là, il faudra bien que les maintainers choisissent leur poison : versionage ou configurabilité… Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
>> La décennie passée, on avait IPsec pour faire du VPN site à site ou >> client serveur. L'avantage c'est que le bordel avec 3 milliards >> d'options, et si tu packages pas ça dans un binaire qui sait >> télécharger la config complète avec un simple user / pass (coucou >> Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set >> de configuration limitée, tu dois presque monter un serveur VPN en >> fonction du client (WTF ?) > > C'est là qu'on voit que çà dépend vraiment des implémentations. Sur mon > hardware habituel, un tunnel site à site, c'est quelques paramètres, de > préférence identiques, à rentrer des deux cotés. Et pour un utilisateur > nomade, il y a un client intégré qui va bien, où il n'y a que l'IP ou > FQDN à saisir... Pour Mme Michu y a QR code qui permet l'autoconfig du WireGuard. Ok c'est pas choupi pour la clef privée de Mme Michu, mais d'une autre coté c'est pareil qu'avec un sharecode en IPsec. Vis-à-vis d'IPsec, j'ai un avis assez tranché. Quand on est sur des implémentations "propres" eg des choses ayant une base opensource en dessous (visible ou non) on n'as jamais de problèmes. Par contre dans le monde réel, là c'est une chienlit... Entre les $VENDOR qui n'ont pas le cypher X ou Y, etc... les délirium de certains qui font absolument tout pour casser les pieds... On comprends bien pourquoi dans $BIGBOITE y a un mec juste dédié pour gérer cette merde... d'ailleurs en passant je ne sais pas comment il fait pour pas devenir dingue a force de rechercher a contourner les conneries... WG : ca juste marche. Désolé de le dire, mais ça marche. Même un tétrachiée de nat4, ça marche. Et ca poutre... voila... moins que du GRE mais ça poutre. /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
Le 23/02/2023 à 10:09, Nicolas Vuillermet a écrit : La décennie passée, on avait IPsec pour faire du VPN site à site ou client serveur. L'avantage c'est que le bordel avec 3 milliards d'options, et si tu packages pas ça dans un binaire qui sait télécharger la config complète avec un simple user / pass (coucou Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set de configuration limitée, tu dois presque monter un serveur VPN en fonction du client (WTF ?) C'est là qu'on voit que çà dépend vraiment des implémentations. Sur mon hardware habituel, un tunnel site à site, c'est quelques paramètres, de préférence identiques, à rentrer des deux cotés. Et pour un utilisateur nomade, il y a un client intégré qui va bien, où il n'y a que l'IP ou FQDN à saisir... Mais la techno a l'avantage d'être plutôt sèche, basique, où on peut faire tout ce qu'on veut autour (site à site, client/serveur, passer du routage dynamique bref faire plein de truc rigolo sur une interface tun). Effectivement. On s'en sert sur le réseau radioamateur. On a complètement abandonné les outils pré-paléontologiques recommandés par AMPR au profit de Wireguard, et c'est assez génial ! Cà fait super bien le job sur des petits routeurs pas chers reflashés en OpenWRT. 2GBps+ sur CCR2004, La France a acheté les droits de suzeraineté sur la jeune République de Corse lors du Traité de Versailles en 1768. Ensuite, l'administration a été déléguée à la famille Bokassa :-D 2G sur un WAN, je ne sais même pas à quoi çà peut ressembler ! Pendant des décennies, on a appris à bosser depuis les sites distants avec 64k. Donc, aujourd'hui, le client lambda est plus que content quand il a 20M. Et alors, 100M, c'est le luxe absolu ! Nous n'avons pas les mêmes valeurs :-D Bref, ça juste marche, et ça nous permet de faire des bricoles stables pour de la prod. Et puis bon, si t'as une connexion StarLink, t'es plus à un wireguard près comme bricole. Si j'ai Starlink, c'est que je suis sur un site isolé, avec pas ou peu de cuivre, aucune prévision de fibrage, pas ou peu de 4G, trop de montagnes pour du WISP... Donc, j'ai besoin que çà soit stable. Si çà peut être la même solution que partout ailleurs (pour moi, de l'IPSec), et que je peux éviter la bidouille spécifique, c'est encore mieux. Ceci étant, on n'a donc pas de réponse claire à la question de savoir si IPSec fonctionne sur Starlink : certains y arrivent, mais les specs semblent dire que tout ce qui n'est pas TCP et UDP n'est pas garanti, donc, çà pourrait cesser de fonctionner du jour au lendemain... PS : On fournit aussi du VPN client-serveur si des clients sont intéressés pour leurs infra, based on Wireguard :) Nous aussi :-) C'est gratuit. Il faut posséder une licence radioamateur, un indicatif en Corse, et si possible (mais pas obligatoirement) prendre une cotisation à l'association locale. On fournit un routeur Plug and Play NAT-T (Uqiquiti ER-X + OpenWRT + Wireguard + iBGP). PS2 : Désolé, j'ai digressé du propos, Bah, pas vraiment. J'ai appris qu'IPSec n'était pas strictement garanti sur Starlink, alors que Wireguard (ou toute autre technologie basée uniquement sur UDP) l'était. Enfin, au moins jusqu'à ce que le Rat Muské change d'avis... C'est un critère important à prendre en compte lors d'une planification... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
PS3 : Ah oui, je veux bien aussi un retour si quelqu'un à fait de l'IPsec over IPv6 :} Nicolas, AS203698 Le 23/02/2023 à 10:09, Nicolas Vuillermet a écrit : IPsec, c'est quand ton réseau est pas trop mouillé ? La décennie passée, on avait IPsec pour faire du VPN site à site ou client serveur. L'avantage c'est que le bordel avec 3 milliards d'options, et si tu packages pas ça dans un binaire qui sait télécharger la config complète avec un simple user / pass (coucou Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set de configuration limitée, tu dois presque monter un serveur VPN en fonction du client (WTF ?) Hier, on avait les VPN SSL. Alors là, on est pas loin du gros mot qui commence par SD et fini par WAN. Entre les solutions propriétaires et les solutions propriétaires qui ne font que wrapper OpenVPN, c'était pas mieux, à part que commercialement, c'est sexy, SSL c'est mignon, les mec de la sécu sont tout heureux et IPsec qui fait peur semble moins attrayant tout de suite. Mais en général VPN SSL, c'est une belle blackbox. Aujourd'hui, y'a un mec il s'est "dis donc, c'est si compliqué que ça de faire un VPN à négociation asymétrique des clés puis à chiffrement symétrique pour l'encap des paquets ?", puis Wireguard est arrivé. Quand tu vois que le bordel, arrive à te multithread du chiffrement (bon c'était pas dur pourtant, big up aux teams oVPN qui l'avait pas dans leurs priorités roadmap...), que tu peux sortir facilement 500Mbps sinon titiller le Gigabit sur des petites appliances... Alors oui, quand tu envoies à Madame Michu le fichier de configuration, c'est nettement plus compliqué que Cisco Anyconnect. D'ailleurs t'es pas censé le faire, l'intérêt était de faire du chiffrement asymétrique donc resymétriser le bordel en envoyant toute la configuration aux clients... Bon, on ne va pas s'inquiéter, des solutions propriétaires vont nous wrapper tout ça et on verra progressivement des solutions VPN SexConnect based on Wireguard très prochainement. Après c'est relou, ça justifie moins d'avoir des terminaisons VPN à plusieurs dizaines de k€ qui te fument quelques kW car fallait du biXeon multithread énervé par core, alors que juste beaucoup de core pas forcément performants suffisent maintenant pour taper du débit sur Wireguard. Cas d'école ; on a des sites où on n'a que de la 4G. Bon, alors on avait la solution IPsec de nos terminaisons OOB (je vais pas citer watchguard...) qui savent faire notamment de l'IPsec. Bon, y'avait aussi du VPN SSL, mais on avait l'habitude de nos OOB à 350€/récurrent pour du 1Mbps avec IPv4/30 (vraiment certains n'ont aucune honte, bref, on cherche toujours des partenaires pour OOB mutuel ceci dit), eh bah, over 4G, pour pas citer du Mikrotik, on a monté du wireguard, rapatrié un IP publique sur la terminaison OOB, l'IPsec monte, fini. Bon, on vous rassure, on va bientôt remplacer tout ça par du Mikrotik seul (RB4011 <3), ça fonctionne tellement mieux. En ce qui concerne la MTU, 1420 c'est bien, 1380 sur certains réseaux 4G éclatés, puis mss clamp-to-pmtu. Alors oui, pour ceux dont leur logiciel favori pour faire du réseau est Excel, et qu'il n'y a pas la case à cocher "Wireguard" pour la partie VPN, je conçois que ce n'est pas évident tous les jours. Mais la techno a l'avantage d'être plutôt sèche, basique, où on peut faire tout ce qu'on veut autour (site à site, client/serveur, passer du routage dynamique bref faire plein de truc rigolo sur une interface tun). 900Mbps sur Mikrotik wAP, 1,6Gbps sur Mikrotik RB5009, 2GBps+ sur CCR2004, Bref, ça juste marche, et ça nous permet de faire des bricoles stables pour de la prod. Et puis bon, si t'as une connexion StarLink, t'es plus à un wireguard près comme bricole. PS : On fournit aussi du VPN client-serveur si des clients sont intéressés pour leurs infra, based on Wireguard :) PS2 : Désolé, j'ai digressé du propos, Nicolas, AS203698 Le 23/02/2023 à 08:46, Toussaint OTTAVI a écrit : Le 22/02/2023 à 15:47, Nicolas Simond a écrit : Wireguard :) Wireguard, c'est pour mes jouets, ou pour dépoussiérer un peu les réseaux radioamateur HamNet, qui utilisent à l'origine IPIP avec mot de passe en clair :-) IPSec, c'est pour bosser :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
IPsec, c'est quand ton réseau est pas trop mouillé ? La décennie passée, on avait IPsec pour faire du VPN site à site ou client serveur. L'avantage c'est que le bordel avec 3 milliards d'options, et si tu packages pas ça dans un binaire qui sait télécharger la config complète avec un simple user / pass (coucou Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set de configuration limitée, tu dois presque monter un serveur VPN en fonction du client (WTF ?) Hier, on avait les VPN SSL. Alors là, on est pas loin du gros mot qui commence par SD et fini par WAN. Entre les solutions propriétaires et les solutions propriétaires qui ne font que wrapper OpenVPN, c'était pas mieux, à part que commercialement, c'est sexy, SSL c'est mignon, les mec de la sécu sont tout heureux et IPsec qui fait peur semble moins attrayant tout de suite. Mais en général VPN SSL, c'est une belle blackbox. Aujourd'hui, y'a un mec il s'est "dis donc, c'est si compliqué que ça de faire un VPN à négociation asymétrique des clés puis à chiffrement symétrique pour l'encap des paquets ?", puis Wireguard est arrivé. Quand tu vois que le bordel, arrive à te multithread du chiffrement (bon c'était pas dur pourtant, big up aux teams oVPN qui l'avait pas dans leurs priorités roadmap...), que tu peux sortir facilement 500Mbps sinon titiller le Gigabit sur des petites appliances... Alors oui, quand tu envoies à Madame Michu le fichier de configuration, c'est nettement plus compliqué que Cisco Anyconnect. D'ailleurs t'es pas censé le faire, l'intérêt était de faire du chiffrement asymétrique donc resymétriser le bordel en envoyant toute la configuration aux clients... Bon, on ne va pas s'inquiéter, des solutions propriétaires vont nous wrapper tout ça et on verra progressivement des solutions VPN SexConnect based on Wireguard très prochainement. Après c'est relou, ça justifie moins d'avoir des terminaisons VPN à plusieurs dizaines de k€ qui te fument quelques kW car fallait du biXeon multithread énervé par core, alors que juste beaucoup de core pas forcément performants suffisent maintenant pour taper du débit sur Wireguard. Cas d'école ; on a des sites où on n'a que de la 4G. Bon, alors on avait la solution IPsec de nos terminaisons OOB (je vais pas citer watchguard...) qui savent faire notamment de l'IPsec. Bon, y'avait aussi du VPN SSL, mais on avait l'habitude de nos OOB à 350€/récurrent pour du 1Mbps avec IPv4/30 (vraiment certains n'ont aucune honte, bref, on cherche toujours des partenaires pour OOB mutuel ceci dit), eh bah, over 4G, pour pas citer du Mikrotik, on a monté du wireguard, rapatrié un IP publique sur la terminaison OOB, l'IPsec monte, fini. Bon, on vous rassure, on va bientôt remplacer tout ça par du Mikrotik seul (RB4011 <3), ça fonctionne tellement mieux. En ce qui concerne la MTU, 1420 c'est bien, 1380 sur certains réseaux 4G éclatés, puis mss clamp-to-pmtu. Alors oui, pour ceux dont leur logiciel favori pour faire du réseau est Excel, et qu'il n'y a pas la case à cocher "Wireguard" pour la partie VPN, je conçois que ce n'est pas évident tous les jours. Mais la techno a l'avantage d'être plutôt sèche, basique, où on peut faire tout ce qu'on veut autour (site à site, client/serveur, passer du routage dynamique bref faire plein de truc rigolo sur une interface tun). 900Mbps sur Mikrotik wAP, 1,6Gbps sur Mikrotik RB5009, 2GBps+ sur CCR2004, Bref, ça juste marche, et ça nous permet de faire des bricoles stables pour de la prod. Et puis bon, si t'as une connexion StarLink, t'es plus à un wireguard près comme bricole. PS : On fournit aussi du VPN client-serveur si des clients sont intéressés pour leurs infra, based on Wireguard :) PS2 : Désolé, j'ai digressé du propos, Nicolas, AS203698 Le 23/02/2023 à 08:46, Toussaint OTTAVI a écrit : Le 22/02/2023 à 15:47, Nicolas Simond a écrit : Wireguard :) Wireguard, c'est pour mes jouets, ou pour dépoussiérer un peu les réseaux radioamateur HamNet, qui utilisent à l'origine IPIP avec mot de passe en clair :-) IPSec, c'est pour bosser :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Vos retours sur StarLink ?
Le 23/02/2023 à 08:53, Xavier Beaudouin via frnog a écrit : d'un coup on se rends compte que le bazar lié a IPSec, c'est pas sexy... C'est vrai que, techniquement, Wireguard est beaucoup plus léger que l'usine à gaz IKE/IPSec. Voire même un peu trop léger, au point d'être limite "feature-less" :-) Ceci étant, moi, ce que je demande à un VPN pro, c'est de me fournir un tunnel robuste et fiable entre un point A et un point B. A la limite, ce qu'il fait derrière pour arriver à ce résultat m'importe assez peu, tant que ce n'est pas en clair :-) En ce sens, IPSec, pour moi, fait parfaitement le job, depuis plusieurs décennies. Changer pour changer, pour avoir juste la même chose qu'avant, ce n'est vraiment pas dans les pratiques de la maison :-) A coté de çà, en associatif, j'utilisais précédemment un autre VPN open-source, lui aussi de conception plutôt lourdingue, avec des paramètres de configuration qui changent de signification d'une version à l'autre, avec des choses qui pètent lors de mises à jour, avec toujours plus de bugs et de feintes à découvrir... Là, oui, l'adoption de Wireguard a été immédiate :-) --- Liste de diffusion du FRnOG http://www.frnog.org/