IPsec, c'est quand ton réseau est pas trop mouillé ?
La décennie passée, on avait IPsec pour faire du VPN site à site ou
client serveur. L'avantage c'est que le bordel avec 3 milliards
d'options, et si tu packages pas ça dans un binaire qui sait télécharger
la config complète avec un simple user / pass (coucou Cisco Anyco). Bon,
ok il y avait des intégrations OS mais paie ton set de configuration
limitée, tu dois presque monter un serveur VPN en fonction du client (WTF ?)
Hier, on avait les VPN SSL. Alors là, on est pas loin du gros mot qui
commence par SD et fini par WAN. Entre les solutions propriétaires et
les solutions propriétaires qui ne font que wrapper OpenVPN, c'était pas
mieux, à part que commercialement, c'est sexy, SSL c'est mignon, les mec
de la sécu sont tout heureux et IPsec qui fait peur semble moins
attrayant tout de suite. Mais en général VPN SSL, c'est une belle blackbox.
Aujourd'hui, y'a un mec il s'est "dis donc, c'est si compliqué que ça de
faire un VPN à négociation asymétrique des clés puis à chiffrement
symétrique pour l'encap des paquets ?", puis Wireguard est arrivé.
Quand tu vois que le bordel, arrive à te multithread du chiffrement (bon
c'était pas dur pourtant, big up aux teams oVPN qui l'avait pas dans
leurs priorités roadmap...), que tu peux sortir facilement 500Mbps sinon
titiller le Gigabit sur des petites appliances...
Alors oui, quand tu envoies à Madame Michu le fichier de configuration,
c'est nettement plus compliqué que Cisco Anyconnect. D'ailleurs t'es pas
censé le faire, l'intérêt était de faire du chiffrement asymétrique donc
resymétriser le bordel en envoyant toute la configuration aux clients...
Bon, on ne va pas s'inquiéter, des solutions propriétaires vont nous
wrapper tout ça et on verra progressivement des solutions VPN SexConnect
based on Wireguard très prochainement. Après c'est relou, ça justifie
moins d'avoir des terminaisons VPN à plusieurs dizaines de k€ qui te
fument quelques kW car fallait du biXeon multithread énervé par core,
alors que juste beaucoup de core pas forcément performants suffisent
maintenant pour taper du débit sur Wireguard.
Cas d'école ; on a des sites où on n'a que de la 4G. Bon, alors on avait
la solution IPsec de nos terminaisons OOB (je vais pas citer
watchguard...) qui savent faire notamment de l'IPsec. Bon, y'avait aussi
du VPN SSL, mais on avait l'habitude de nos OOB à 350€/récurrent pour du
1Mbps avec IPv4/30 (vraiment certains n'ont aucune honte, bref, on
cherche toujours des partenaires pour OOB mutuel ceci dit), eh bah, over
4G, pour pas citer du Mikrotik, on a monté du wireguard, rapatrié un IP
publique sur la terminaison OOB, l'IPsec monte, fini. Bon, on vous
rassure, on va bientôt remplacer tout ça par du Mikrotik seul (RB4011
<3), ça fonctionne tellement mieux.
En ce qui concerne la MTU, 1420 c'est bien, 1380 sur certains réseaux 4G
éclatés, puis mss clamp-to-pmtu.
Alors oui, pour ceux dont leur logiciel favori pour faire du réseau est
Excel, et qu'il n'y a pas la case à cocher "Wireguard" pour la partie
VPN, je conçois que ce n'est pas évident tous les jours.
Mais la techno a l'avantage d'être plutôt sèche, basique, où on peut
faire tout ce qu'on veut autour (site à site, client/serveur, passer du
routage dynamique bref faire plein de truc rigolo sur une interface tun).
900Mbps sur Mikrotik wAP,
1,6Gbps sur Mikrotik RB5009,
2GBps+ sur CCR2004,
Bref, ça juste marche, et ça nous permet de faire des bricoles stables
pour de la prod. Et puis bon, si t'as une connexion StarLink, t'es plus
à un wireguard près comme bricole.
PS : On fournit aussi du VPN client-serveur si des clients sont
intéressés pour leurs infra, based on Wireguard :)
PS2 : Désolé, j'ai digressé du propos,
Nicolas,
AS203698
Le 23/02/2023 à 08:46, Toussaint OTTAVI a écrit :
Le 22/02/2023 à 15:47, Nicolas Simond a écrit :
Wireguard :)
Wireguard, c'est pour mes jouets, ou pour dépoussiérer un peu les
réseaux radioamateur HamNet, qui utilisent à l'origine IPIP avec mot
de passe en clair :-)
IPSec, c'est pour bosser :-)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
