PS3 : Ah oui, je veux bien aussi un retour si quelqu'un à fait de
l'IPsec over IPv6 :}
Nicolas,
AS203698
Le 23/02/2023 à 10:09, Nicolas Vuillermet a écrit :
IPsec, c'est quand ton réseau est pas trop mouillé ?
La décennie passée, on avait IPsec pour faire du VPN site à site ou
client serveur. L'avantage c'est que le bordel avec 3 milliards
d'options, et si tu packages pas ça dans un binaire qui sait
télécharger la config complète avec un simple user / pass (coucou
Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set
de configuration limitée, tu dois presque monter un serveur VPN en
fonction du client (WTF ?)
Hier, on avait les VPN SSL. Alors là, on est pas loin du gros mot qui
commence par SD et fini par WAN. Entre les solutions propriétaires et
les solutions propriétaires qui ne font que wrapper OpenVPN, c'était
pas mieux, à part que commercialement, c'est sexy, SSL c'est mignon,
les mec de la sécu sont tout heureux et IPsec qui fait peur semble
moins attrayant tout de suite. Mais en général VPN SSL, c'est une
belle blackbox.
Aujourd'hui, y'a un mec il s'est "dis donc, c'est si compliqué que ça
de faire un VPN à négociation asymétrique des clés puis à chiffrement
symétrique pour l'encap des paquets ?", puis Wireguard est arrivé.
Quand tu vois que le bordel, arrive à te multithread du chiffrement
(bon c'était pas dur pourtant, big up aux teams oVPN qui l'avait pas
dans leurs priorités roadmap...), que tu peux sortir facilement
500Mbps sinon titiller le Gigabit sur des petites appliances...
Alors oui, quand tu envoies à Madame Michu le fichier de
configuration, c'est nettement plus compliqué que Cisco Anyconnect.
D'ailleurs t'es pas censé le faire, l'intérêt était de faire du
chiffrement asymétrique donc resymétriser le bordel en envoyant toute
la configuration aux clients... Bon, on ne va pas s'inquiéter, des
solutions propriétaires vont nous wrapper tout ça et on verra
progressivement des solutions VPN SexConnect based on Wireguard très
prochainement. Après c'est relou, ça justifie moins d'avoir des
terminaisons VPN à plusieurs dizaines de k€ qui te fument quelques kW
car fallait du biXeon multithread énervé par core, alors que juste
beaucoup de core pas forcément performants suffisent maintenant pour
taper du débit sur Wireguard.
Cas d'école ; on a des sites où on n'a que de la 4G. Bon, alors on
avait la solution IPsec de nos terminaisons OOB (je vais pas citer
watchguard...) qui savent faire notamment de l'IPsec. Bon, y'avait
aussi du VPN SSL, mais on avait l'habitude de nos OOB à 350€/récurrent
pour du 1Mbps avec IPv4/30 (vraiment certains n'ont aucune honte,
bref, on cherche toujours des partenaires pour OOB mutuel ceci dit),
eh bah, over 4G, pour pas citer du Mikrotik, on a monté du wireguard,
rapatrié un IP publique sur la terminaison OOB, l'IPsec monte, fini.
Bon, on vous rassure, on va bientôt remplacer tout ça par du Mikrotik
seul (RB4011 <3), ça fonctionne tellement mieux.
En ce qui concerne la MTU, 1420 c'est bien, 1380 sur certains réseaux
4G éclatés, puis mss clamp-to-pmtu.
Alors oui, pour ceux dont leur logiciel favori pour faire du réseau
est Excel, et qu'il n'y a pas la case à cocher "Wireguard" pour la
partie VPN, je conçois que ce n'est pas évident tous les jours.
Mais la techno a l'avantage d'être plutôt sèche, basique, où on peut
faire tout ce qu'on veut autour (site à site, client/serveur, passer
du routage dynamique bref faire plein de truc rigolo sur une interface
tun).
900Mbps sur Mikrotik wAP,
1,6Gbps sur Mikrotik RB5009,
2GBps+ sur CCR2004,
Bref, ça juste marche, et ça nous permet de faire des bricoles stables
pour de la prod. Et puis bon, si t'as une connexion StarLink, t'es
plus à un wireguard près comme bricole.
PS : On fournit aussi du VPN client-serveur si des clients sont
intéressés pour leurs infra, based on Wireguard :)
PS2 : Désolé, j'ai digressé du propos,
Nicolas,
AS203698
Le 23/02/2023 à 08:46, Toussaint OTTAVI a écrit :
Le 22/02/2023 à 15:47, Nicolas Simond a écrit :
Wireguard :)
Wireguard, c'est pour mes jouets, ou pour dépoussiérer un peu les
réseaux radioamateur HamNet, qui utilisent à l'origine IPIP avec mot
de passe en clair :-)
IPSec, c'est pour bosser :-)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
