RE: [FRnOG] Service VPN
Sinon, si vous cherchez une solution "cles en main" qui fait tout (PPTP, L2TP/IPSec, IPSec Natif, et SSL) tous sur la base des composants open-source (openswan, xl2tpd, pluto, etc.), je peux recommander Astaro Security Gateway (http://www.astaro.com ). C'est une appliance soft -- vous pouvez telecharger l'ISO et installer sur une machine ou bien une VM. Assez facile a configurer avec drag/drop/point/click. Super bien fait, au fait. Il fait aussi de la protection pare-feu, inspection/antispam/antivirus email, filtrage de contenu web (en l'utilisant comme proxy) etc etc. Il s'agit de "commercial open source", et pour 30 jours on a un license ilimite. Ensuite, on peut acheter des license pour le nombre des IP "proteges" par le system. Par contre, on peut avoir aussi un license gratuit pour "10 IP proteges". L'avantage, par contre, c'est que les connexions VPN ne SONT PAS compte comme une adresse protege, donc le license gratuit permet quand-meme autant de connexions VPN qu'on souhaite (jusqu'au limite de connexions IP simultanees permises par le license -- 10,000 je crois...) Avec ca, c'est gratos, on n'a meme pas besoin de manipuler des dixaines de fichiers config, et c'est pratiquement "plug and play". A+ Leland --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Service VPN
Bonsoir, Je ne peux que recommander de l'OpenSWAN; c'est simple, il s'intègre absolument partout et se configure (presque !) simplement. J'ai pu travailler longuement avec et je dois dire qu'OpenSWAN est compatible avec de nombreux routeur VPN en allant du Zyxel (PME) jusqu'au Cisco. Concernant les roadwarriors, ces derniers sont-ils en environnement Ms Windows ou GNU/Linux ? Dans les cas où il s'agit de Ms Windows il faut savoir que Ms Windows XP ne gère pas nativement l'IPSec, il fait du L2TP over IPSec et nécessite donc la mise ne place d'un serveur L2TP (xl2tpd à ma préférence), en contre partie la configuration, sur le client MS, est des plus simple car elle se fait via l'assistant de création de connexion réseau. Il faut également que tu détermines le "type" d'authentification (PSK (pre-shared key) ou X.509?) au sein de ton VPN car suivant ton choix la configuration est assez différente ! Je te recommande dans un premier temps l'utilisation d'une PSK qui reste beaucoup plus simple. Enfin attention à une chose qui est souvent oubliée lorsque les gens font de l'IPSec avec des roadwarriors : si 2 clients derrière le même NAT souhaite se connecter au même serveur VPN il est _impératif_ de mettre en place une authentification basé sur X.509 sans quoi seul l'un des deux accèdera au réseau. Je reste à ta disposition pour toute information supplémentaire. Alex -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Gregoire Villain Envoyé : mercredi 28 janvier 2009 23:52 À : Liste FRnoG Objet : Re: [FRnOG] Service VPN On Jan 28, 2009, at 10:42 PM, sigmounte wrote: > > Bonsoir , > > J'aimerais proposer un service d'acces VPN , j'ai déja eu quelques > experiences avec des petites applications tel que > Tinc et openvpn , mais j'aimerais passer à quelque chose de plus > poilus a savoir de l'IPSEC , apparement il y a > plusieurs applications qui permettent de réaliser ces VPN , vous > l'avez deviner je ne pense pas utiliser de solution > hardware , mais plutot sur GNU/LINUX . > > Est ce que des membres de la liste auraient de l'experience avec les > VPN en IPsec , surtout en mode road warrior ? Et > pourraient m'aider a bien choisir mon implementation de IPsec ? > > > Bien merci ! > > Sig > > sighq Sans vouloir trop faire mon relou (mais quand même un peu), ca serait sympa de pas reprendre le dernier mail d'un thread pour commencer le suivant. Les MUA qui classent par thread ont tendence à juste se servir du header in-reoly-to sans le leader subject, du coup ca vrille le thread. Désolé pour le reloutage, je retourne faire la queue histoire d'espérer chopper un métro demain (payes ton troll pour forker un HS, on peut pas faire mieux) Greg--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Service VPN
On Jan 28, 2009, at 10:42 PM, sigmounte wrote: Bonsoir , J'aimerais proposer un service d'acces VPN , j'ai déja eu quelques experiences avec des petites applications tel que Tinc et openvpn , mais j'aimerais passer à quelque chose de plus poilus a savoir de l'IPSEC , apparement il y a plusieurs applications qui permettent de réaliser ces VPN , vous l'avez deviner je ne pense pas utiliser de solution hardware , mais plutot sur GNU/LINUX . Est ce que des membres de la liste auraient de l'experience avec les VPN en IPsec , surtout en mode road warrior ? Et pourraient m'aider a bien choisir mon implementation de IPsec ? Bien merci ! Sig sighq Sans vouloir trop faire mon relou (mais quand même un peu), ca serait sympa de pas reprendre le dernier mail d'un thread pour commencer le suivant. Les MUA qui classent par thread ont tendence à juste se servir du header in-reoly-to sans le leader subject, du coup ca vrille le thread. Désolé pour le reloutage, je retourne faire la queue histoire d'espérer chopper un métro demain (payes ton troll pour forker un HS, on peut pas faire mieux) Greg--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Service VPN
Bonsoir , J'aimerais proposer un service d'acces VPN , j'ai déja eu quelques experiences avec des petites applications tel que Tinc et openvpn , mais j'aimerais passer à quelque chose de plus poilus a savoir de l'IPSEC , apparement il y a plusieurs applications qui permettent de réaliser ces VPN , vous l'avez deviner je ne pense pas utiliser de solution hardware , mais plutot sur GNU/LINUX . Est ce que des membres de la liste auraient de l'experience avec les VPN en IPsec , surtout en mode road warrior ? Et pourraient m'aider a bien choisir mon implementation de IPsec ? Bien merci ! Sig sighq --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Q: requêtes dns en pagailles ?
2009/1/28 Christophe Meessen : > Bonsoir, > > j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. > > J'ai constaté ce soir que je suis bombardé de requêtes > >> Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: >> query (cache) './NS/IN' denied > > Quasiment une chaque secondes avec de temps en temps une même requête de > deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour > rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans > que je m'en sois rendu compte. > > Je me demande naïvement quel en serait le sens ? Une erreur de configuration > de l'origine ? Si c'est une attaque, a quoi pourrait-elle correspondre ? > > Ma config DNS a le défaut de ne pas avoir de serveur de backup. Cela > pourrait-il me rendre plus vulnérable ? > > Bien cordialement, Une technique simple avec netfilter pour rejeter les requêtes recursives sur IN NS : iptables -A INPUT -j DROP -p udp --dport domain -m u32 --u32 \ "0>>22&0...@12>>16=1&&0>>22&0...@20>>24=0&&0>>22&0...@21=0x00020001" Cela permet d'éviter de faire passer les paquets en user-space vers bind ;-) -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- "Knowledge can create problems, it is not through ignorance --that we can solve them" Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Q: requêtes dns en pagailles ?
Bonsoir et merci beaucoup pour la réponse aussi rapide. Nicolas CARTRON a écrit : Salut, je ne suis pas sûr que FrNOG soit la meilleure liste pour poster ce genre de questions, il y a par exemple dns-fr du CRU (https://listes.cru.fr/sympa/info/dns-fr), sur laquelle le sujet a déjà été traité. Merci aussi pour cette référence dont je ne connaissais pas l'existence. Je me suis abonné. Désolé du hors sujet pour la liste. Dans leurs archives j'ai trouvé ce lien avec une explication assez claire. https://listes.cru.fr/sympa/arc/dns-fr/2009-01/msg2.html Bloquer l'adresse ip d'origine n'était donc pas la bonne solution. Je bloque apparemment une victime qui sert de rebond. Il ne me reste plus qu'à trouver la formule incantatoire idoine pour chasser le mal . :-) -- Bien cordialement, Ch. Meessen smime.p7s Description: S/MIME Cryptographic Signature
Re: [FRnOG] Q: requêtes dns en pagailles ?
Tous, bonjour, Le 28 janv. 09 à 21:40, Christophe Meessen a écrit : j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes > Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. C'est en rapport avec l'attaque DoS par amplification basée sur le DNS qui sévi depuis début janvier. Voir le blog de Bortzmeyer : http://www.bortzmeyer.org/dns-attaque-ns-point.html Bonne soirée, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Q: requêtes dns en pagailles ?
Salut, je ne suis pas sûr que FrNOG soit la meilleure liste pour poster ce genre de questions, il y a par exemple dns-fr du CRU (https://listes.cru.fr/sympa/info/dns-fr ), sur laquelle le sujet a déjà été traité. une recherche rapide sur Google donne ça : http://groups.google.com/group/comp.protocols.dns.bind/browse_thread/thread/135c2bff197a4979 bonne soirée, Nicolas. On Jan 28, 2009, at 9:40 PM, Christophe Meessen wrote: Bonsoir, j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes > Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. Je me demande naïvement quel en serait le sens ? Une erreur de configuration de l'origine ? Si c'est une attaque, a quoi pourrait- elle correspondre ? Ma config DNS a le défaut de ne pas avoir de serveur de backup. Cela pourrait-il me rendre plus vulnérable ? Bien cordialement, Ch. Meessen --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Q: requêtes dns en pagailles ?
Bonsoir, j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes > Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. Je me demande naïvement quel en serait le sens ? Une erreur de configuration de l'origine ? Si c'est une attaque, a quoi pourrait-elle correspondre ? Ma config DNS a le défaut de ne pas avoir de serveur de backup. Cela pourrait-il me rendre plus vulnérable ? Bien cordialement, Ch. Meessen smime.p7s Description: S/MIME Cryptographic Signature
[FRnOG] Retour d'experience sur le "performance routing" de cisco ?
Bonjour, J'aimerai savoir si quelqu'un a un retour d'expérience par rapport aux fonctions de "performance routing" des routeurs cisco ? http://www.cisco.com/en/US/products/ps8787/products_ios_protocol_option_home.html Quelqu'un a t'il déjà testé cette fonction ou mise en production ? Si oui, le gain par rapport à un routage BGP "traditionnel" est t'il significatif pour des applications ou la latence et le jitter sont importantes ? Merci, Renaud GHIA