Le 24/01/2019 à 10:54, Olivier a écrit :
Bonjour,
La nuit porte conseil et en repensant à ce qui précède, je pense que mon
besoin premier est d'utiliser mon VPN comme un tunnel laissant passer
des flux entre deux clients du VPN
sans les interpréter lui-même.
Le VPN est le seul lien que j'ai avec des sites distants et je ne peux
pas risquer de perdre un lien en reconfigurant OpenVPN.
Or il me semble que les paramètres de routage d'OpenVPN ont une portée
générale avec des précautions que j'ai du mal à respecter (adresses
uniques, ...).
En conclusion:
1- je ne change pas ma configuration d'OpenVPN
2- s'il existe une technique pour utiliser ma configuration OpenVPN
comme un "tunnel entre mon PC et un LAN distant" et sans le
re-configurer, ça m'intéresse
3- s'il existe une autre technologie de VPN (IPSEC ? Wireguard ? ...)
pour faire ce que je recherche et utilisable en parallèle à OpenVPN, ça
m'intéresse aussi.
Pour le point 3, je n'ai pas besoin d'avoir un tunnel permanent entre
mon PC et le LAN distant: j'ai juste besoin de pouvoir établir ce tunnel
le temps d'une session de déboguage.
Je peux pouvoir initier ce tunnel quand je suis en déplacement et
connecté à réseau local dont je ne pourrai pas modifier la configuration
du routeur: je devrai donc passer par une machine tierce sur Internet
qui aura les ports ouverts nécessaires.
Pour compléter mon cahier des charges:
- toutes les machines concernées (mon PC, machine tierce, routeur sur le
LAN distant) sont sous Debian avec toutefois des versions variées
(jessie, stretch, ...).
Conseils, remarques et suggestions bienvenues !
Rien ne t'empêche de mettre une seconde configuration VPN en parallèle
chez tes clients (et chez toi) sur un autre port !
Pour ma part, je réitère: un serveur VPN central sur lequel vont se
connecter les clients et toi, du réseau bureau ou déplacement.
serveur VPN
/ | ...\
clt1 clt2 Cltx
Le lien est permanent pour les clients sauf pour toi (si tu le désire)
Pas de port ouvert sauf celui pour le VPN et ssh en secours. Cela veut
dire que tu pourras te connecter (ssh avec mot de passe) chez tes
clients à partir de n'importe quel matériel, pas seulement de ceux qui
te sont connus.
Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg <pas...@plouf.fr.eu.org
<mailto:pas...@plouf.fr.eu.org>> a écrit :
Le 23/01/2019 à 15:58, Olivier a écrit :
>
> [1] https://serverfault.com/questions/736274/openvpn-client-to-client
Ce lien confirme ce que j'écrivais ci-dessous :
> Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg
<pas...@plouf.fr.eu.org <mailto:pas...@plouf.fr.eu.org>> a
> écrit :
>
>> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
>>>
>>> 1. Oui tu as bien compris, client-to-client ne transite pas le
paquet par
>>> le serveur. Du coup pas de filtrage possible si c'est option
est activée.
>>
>> Si j'ai bien compris, plus précisément les paquets envoyés à
l'intérieur
>> du tunnel entre deux clients ne transitent pas par l'interface
tun/tap
>> ni la pile réseau de la machine qui fait tourner le serveur openvpn,
>> mais les paquets transportant le tunnel passent quand même par le
>> serveur openvpn.