Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-02 Par sujet Michel 'ic' Luczak 



> On 2 Apr 2021, at 13:59, David Ponzone  wrote:
> 
> Encore une fois, jamais eu de problème avec les clients pré-cités.

Pareil ici, L2TP/IPSec c’est plutôt le truc que je sors quand je ne veux pas me 
faire ch… avec les problèmes de compatibilité !

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-02 Par sujet David Ponzone 


> Le 2 avr. 2021 à 12:36, Vincent Tondellier via frnog  a 
> écrit :
> 
> Le Thursday 01 April 2021 19:28:47 Vincent Bernat a écrit :
>> ❦  1 avril 2021 17:20 +02, Hugo SIMANCAS:
>>> Avez vous sous la main un client gratuit ou payant pouvant faire de
>>> l'IPSec nomade avec Linux (ubuntu?) - équivalent à TheGreenbow Windows
>> 
>> L2TP over IPsec. 
> 
> Beurk. C'est plutot IP over PPP over L2TP over UDP over IPSEC over IP. 

> Il reste encore de la place dans les paquets pour quelques octets de donnée, 
> ou on rajoute une couche ?

Perso, j’ai pas de problème, ça marche à tous les coups.
Avec du Mikrotik côté serveur, j’ai validé Windows, Mac, iPhone, Teltonika et 
Cisco 800 comme clients.
J’ai des connexions qui durent 3/4 semaines  sans coupure (généralement, quand 
ça coupe, c’est parce qu’il y a eu un problème de connectivité coté client).

> Et attention aux mélanges de mots de passe entre la couche IPsec (PSK, Xauth, 
> x509, hybrid ?), et la couche PPP (PAP, CHAP, MSCHAPv2 ?).

Euh confondre le shared et le login/passwd, faut quand même le faire.
Ok un end-user très très end va peut-être se planter une fois.

> Plus les incompatibilités et les extensions propriétaires de IPsec/IKEv1

Encore une fois, jamais eu de problème avec les clients pré-cités.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-02 Par sujet Vincent Tondellier via frnog 
Le Thursday 01 April 2021 19:28:47 Vincent Bernat a écrit :
>  ❦  1 avril 2021 17:20 +02, Hugo SIMANCAS:
> > Avez vous sous la main un client gratuit ou payant pouvant faire de
> > l'IPSec nomade avec Linux (ubuntu?) - équivalent à TheGreenbow Windows
> 
> L2TP over IPsec. 

Beurk. C'est plutot IP over PPP over L2TP over UDP over IPSEC over IP. 
Il reste encore de la place dans les paquets pour quelques octets de donnée, 
ou on rajoute une couche ?

Et attention aux mélanges de mots de passe entre la couche IPsec (PSK, Xauth, 
x509, hybrid ?), et la couche PPP (PAP, CHAP, MSCHAPv2 ?).
Plus les incompatibilités et les extensions propriétaires de IPsec/IKEv1

> Si tu ne maîtrises pas la solution côté serveur, Network Manager sait
> aussi faire de l'IPsec classique avec Xauth (ce qui est courant dans le
> monde Cisco).

Ne pas maitriser le coté serveur, c'est aussi a peu près la seule raison 
d'utiliser IPsec/L2TP de nos jours.

Sinon il y a la version 2 de IPsec : IKEv2. Intégré dans tous les OS depuis 
des années (sauf android, mais il y a l'appli strongSwan), authentification 
certificat coté serveur, login / mot de passe pour le client.
Je conseille strongSwan coté client et serveur, mais libreswan le fait aussi.
Performances identiques a IPsec pur (sans les surcouches l2tp), la couche data 
est la même (ESP), c'est la négociation des clés qui a changé.

Ou wireguard pour les performances pures.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-02 Par sujet Louis 
j'avais mal lu. Ce n'est pas une solution client mais de concentrateur. Le
client à utiliser et celui natif de windows et ceux présents avec les
distribs linux.

Le jeu. 1 avr. 2021 à 18:25, David Ponzone  a
écrit :

> Tu l’as déployé en client ?
> Parce que bon, c’est plutôt une solution pour faire un concentrateur IPsec.
> C’est pas forcément simple à déployer sur un laptop Linux.
> Et c’est commercial.
>
> Ceci dit, +1, 6wind, ça déchire!
>
> > Le 1 avr. 2021 à 18:18, Louis  a écrit :
> >
> > Hello,
> >
> > IPsec nomade avec de la perf.
> > https://www.6wind.com/vrouter-solutions/turbo-ipsec/
> >
> > Basé sur ubuntu mais avec une stack réseau améliorée.
> >
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Maxime Pauwels 
+1 pour SoftEther .

Mais, conseil, faire le serveur sous Windows.
Pour une raison que j'ignore, c'est développé dessus principalement.
Et ça marche juste bien.

Max


Le jeu. 1 avr. 2021 à 19:46, Michel 'ic' Luczak  a
écrit :

>
>
> > On 1 Apr 2021, at 19:28, Vincent Bernat  wrote:
> >
> > ❦  1 avril 2021 17:20 +02, Hugo SIMANCAS:
> >
> >> Avez vous sous la main un client gratuit ou payant pouvant faire de
> >> l'IPSec nomade avec Linux (ubuntu?) - équivalent à TheGreenbow Windows
> >
> > L2TP over IPsec. Côté serveur, libreSwan + xl2tpd. Côté client, c'est
> > intégré dans tous les OS, y compris Linux avec Network Manager. Pour la
> > doc, ne pas hésiter à regarder openSwan + xl2tpd, c'est la même chose
> > (libreSwan est un fork).
>
> Sinon en truc japonais bizarre mais qui fait tout, il y a
> https://www.softether.org 
>
> ++ ic
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Michel 'ic' Luczak 



> On 1 Apr 2021, at 19:28, Vincent Bernat  wrote:
> 
> ❦  1 avril 2021 17:20 +02, Hugo SIMANCAS:
> 
>> Avez vous sous la main un client gratuit ou payant pouvant faire de 
>> l'IPSec nomade avec Linux (ubuntu?) - équivalent à TheGreenbow Windows
> 
> L2TP over IPsec. Côté serveur, libreSwan + xl2tpd. Côté client, c'est
> intégré dans tous les OS, y compris Linux avec Network Manager. Pour la
> doc, ne pas hésiter à regarder openSwan + xl2tpd, c'est la même chose
> (libreSwan est un fork).

Sinon en truc japonais bizarre mais qui fait tout, il y a 
https://www.softether.org 

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Vincent Bernat 
 ❦  1 avril 2021 17:20 +02, Hugo SIMANCAS:

> Avez vous sous la main un client gratuit ou payant pouvant faire de 
> l'IPSec nomade avec Linux (ubuntu?) - équivalent à TheGreenbow Windows

L2TP over IPsec. Côté serveur, libreSwan + xl2tpd. Côté client, c'est
intégré dans tous les OS, y compris Linux avec Network Manager. Pour la
doc, ne pas hésiter à regarder openSwan + xl2tpd, c'est la même chose
(libreSwan est un fork).

Si tu ne maîtrises pas la solution côté serveur, Network Manager sait
aussi faire de l'IPsec classique avec Xauth (ce qui est courant dans le
monde Cisco).
-- 
Program defensively.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Vincent Habchi 
> c'est galère à configurer non ?
> de mémoire c'est pas simple en mode nomade isakmp sans ipfixe du nomade ?

Ah non, je n’ai pas vraiment eu de soucis de config, et ça fonctionne 
parfaitement avec des liens de type 4G à IP dynamique, NAT, etc.
Après, oui, ce n’est pas du plug-and-play, mais c’est gratos. Ça vaut peut-être 
le coup de passer une demi-heure à se gratter la tête.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet David Ponzone 
Tu l’as déployé en client ?
Parce que bon, c’est plutôt une solution pour faire un concentrateur IPsec.
C’est pas forcément simple à déployer sur un laptop Linux.
Et c’est commercial.

Ceci dit, +1, 6wind, ça déchire!

> Le 1 avr. 2021 à 18:18, Louis  a écrit :
> 
> Hello,
> 
> IPsec nomade avec de la perf.
> https://www.6wind.com/vrouter-solutions/turbo-ipsec/
> 
> Basé sur ubuntu mais avec une stack réseau améliorée.
> 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Louis 
Hello,

IPsec nomade avec de la perf.
https://www.6wind.com/vrouter-solutions/turbo-ipsec/

Basé sur ubuntu mais avec une stack réseau améliorée.

Le jeu. 1 avr. 2021 à 17:48, Hugo SIMANCAS 
a écrit :

> c'est galère à configurer non ?
>
> de mémoire c'est pas simple en mode nomade isakmp sans ipfixe du nomade ?
>
> Merci
>
>
>
> / ::1  Hugo SIMANCAS
> Directeur Technique Associé
> https://www.data-expertise.com [https://www.data-expertise.com/]
> Support technique : 09 78 23 20 29
> Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57
> Mobile : 06 95 44 29 64
> !Utilisez notre plateforme visio libre & gratuite :
> https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
> !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/
> [https://pad.data-expertise.com/]
>
> Les informations contenues dans ce courrier électronique sont
> confidentielles et protégées par le secret professionnel. En tout état de
> cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom
> est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté
> ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas
> le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine
> de poursuites à en prendre des copies, le divulguer ou le diffuser. La
> présence de cette note prouve également que ce message électronique a été
> vérifié par un logiciel anti-virus.
>
>
>
> Le 01/04/2021 à 17:31, Vincent Habchi a écrit :
> > Hello,
> >
> > (Au risque de dire une connerie) Perso j’utilise Strongswan avec mes
> clients nomades et je n’ai eu de problèmes de perf.
> >
> > Ça fonctionne même avec Windows.
> >
> > V.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> >
> https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Hugo SIMANCAS 
c'est galère à configurer non ?

de mémoire c'est pas simple en mode nomade isakmp sans ipfixe du nomade ?

Merci



/ ::1  Hugo SIMANCAS
Directeur Technique Associé
https://www.data-expertise.com [https://www.data-expertise.com/]
Support technique : 09 78 23 20 29
Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57
Mobile : 06 95 44 29 64
!Utilisez notre plateforme visio libre & gratuite : 
https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
!Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ 
[https://pad.data-expertise.com/]

Les informations contenues dans ce courrier électronique sont confidentielles 
et protégées par le secret professionnel. En tout état de cause, elles ne sont 
destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. 
Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la 
transmission de ce document. Si vous n'êtes pas le destinataire du présent 
courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des 
copies, le divulguer ou le diffuser. La présence de cette note prouve également 
que ce message électronique a été vérifié par un logiciel anti-virus.



Le 01/04/2021 à 17:31, Vincent Habchi a écrit :
> Hello,
>
> (Au risque de dire une connerie) Perso j’utilise Strongswan avec mes clients 
> nomades et je n’ai eu de problèmes de perf.
>
> Ça fonctionne même avec Windows.
>
> V.
>
>
> ---
> Liste de diffusion du FRnOG
> https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Vincent Habchi 
Hello,

(Au risque de dire une connerie) Perso j’utilise Strongswan avec mes clients 
nomades et je n’ai eu de problèmes de perf.

Ça fonctionne même avec Windows.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Client IPsec Linux

2021-04-01 Par sujet Hugo SIMANCAS 
Bonjour,

Avez vous sous la main un client gratuit ou payant pouvant faire de 
l'IPSec nomade avec Linux (ubuntu?) - équivalent à TheGreenbow Windows

Les perfs des VPN SSL sont trop lents par moments

Merci d'avance

-- 


/ ::1  Hugo SIMANCAS
Directeur Technique Associé
https://www.data-expertise.com [https://www.data-expertise.com/]
Support technique : 09 78 23 20 29
Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57
Mobile : 06 95 44 29 64
!Utilisez notre plateforme visio libre & gratuite : 
https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
!Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ 
[https://pad.data-expertise.com/]

Les informations contenues dans ce courrier électronique sont confidentielles 
et protégées par le secret professionnel. En tout état de cause, elles ne sont 
destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. 
Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la 
transmission de ce document. Si vous n'êtes pas le destinataire du présent 
courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des 
copies, le divulguer ou le diffuser. La présence de cette note prouve également 
que ce message électronique a été vérifié par un logiciel anti-virus.




---
Liste de diffusion du FRnOG
http://www.frnog.org/