On Fri, 04 Apr 2003 23:20:39 +0200, Guillaume LEHMANN wrote: > Bonsoir, je voudrai mettre en place un VPN entre 2 sites, chacun contenant de > nombreux r�seaux, avec des d�bits de l'ordre de 3-4 Mbits. > Je me suis tourn� vers VTun et OpenVPN (stunnel ne correspondait pas � mes > besoins). > J'avais un faible sur OpenVPN, mais alors que sur le site de Debian je vois > qu'il est disponible en Sarge et Sid, en me mettant en Sid (ou en Sarge) un > apt-get install openvpn me dit que ce paquet n'est pas dispo !! > > Est-ce que j'ai une couille quelque part, ou ce paquet ne fait r�ellement plus > parti de la distrib ? Pb temporaire li� au changement de libc ? > Si je ne peux plus l'avoir, VTun semblait avoir un fonctionnement similaire > (interface tun). Est-ce qu'il est un bon substitu � OpenVPN ?
Retour d'exp�rience: si tu n'as que des h�tes sous Linux, VTun est un meilleur substitut qu'OpenVPN, que je ne connais pas outre mesure. Par contre, si tu as besoin de plus de s�curit�, je te conseille de passer � IPSEC mais c'est un peu plus compliqu� � mettre en oeuvre mais l'usage des cl�s RSA voire de certificats X.509 permettent d'assurer le tout. De m�me, si tu as des clients sous Windows, je te conseille de te tourner vers un serveur PPTP mais tu devras, tout comme IPSEC, patcher le noyau pour un bon support MPPE (ainsi que pppd, soit dit en passant). Il est �galement possible, dans ce cas, d'utiliser IPSEC avec des certificats X.509 pour identifier le client Windows. > Petite derni�re question HS : > Quitte � mettre en place un VPN, serait-ce suicidaire de placer du noyau > 2.5.66 > avec IPSec (la machine ne serait utilis�e pour rien d'autre) ? Dans la mesure o� tu n'es pas oblig� de prendre un noyau en d�veloppement pour avoir IPSEC, je dirais que oui. Il suffit simplement de prendre les sources d'un noyau debian, par exemple kernel-source-2.4.20, et le patch correspondant, kernel-patch-freeswan-ext[1]. A l'aide de l'outil make-kpkg et de la doc, on construit alors tr�s facilement un paquet d'un noyau patch�pour supporter IPSEC et ses diverses options. Il ne reste plus qu'� installer les outils via le paquet freeswan et de configurer le tout en s'appuyant sur la documentation disponible en ligne bien que quelque peu indigeste et dispers�e... J'esp�re que tu auras les id�es un peu plus claires � pr�sent. [1]: J'ai une pr�f�rence pour ext car il inclut les supports X.509 et NAT-T et surtout, il sera toujours support� par le mainteneur. -- Rapha�l SurcouF [EMAIL PROTECTED]
