Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Vincent Mercier]

Bonjour,

Nous utilisons Pritunl (https://pritunl.com) qui est une surcouche
propriétaire moins connu sur OpenVPN.
Il faut choisir la licence "Enterprise" (600 €/an TTC) pour avoir les
fonctionnalités intéressantes.

La solution propose un portail web simple pour les utilisateurs finaux
et les clients windows/mac/linux/ios/android.
Elle s’intègre facilement avec les solutions de SSO/ActiveDirectory et
l’authentification forte.

On l’utilise auprès de 200 utilisateurs en "self-register" et on a de
bon retour pour l'utilisation et l'onboarding.

Une solution à considérer ;)

Vincent Mercier

> On 23 Sep 2019, at 21:48, Guillaume LUCAS  
> wrote:
>
> Bonsoir,
>
> Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes 
> permettant de connecter des utilisateurs distants faiblement technophiles et 
> motivés [1] au réseau d'une entité ? Évidemment, le service info n'a pas la 
> main sur le terminal de l'utilisateur, sinon c'est trop facile, donc il faut 
> que ce soit facile à installer et à utiliser.
>
> Depuis de (trop nombreuses ?) années, j'en suis resté à :
> * L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en UDP, 
> mais, pour l'activer sous un winwin 10, il faut modifier la base de registre, 
> ce qui réduit drastiquement la facilité d'utilisation ;
> * PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ;
> * TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque 
> équipementier a son implémentation et il faut télécharger le binaire (voire 
> la conf) kiVaBien pour chaque système. De plus, les binaires non-signés 
> (comme le binaire OpenVPN+conf' généré par un PFSense) sont décriés par le 
> SmartScreen d'un winwin 10, ce qui réduit la facilité d'utilisation et ferme 
> le jeu.
>
> Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes 
> (winwin, mac os, GNU/Linux, Android) ?
>
> Bonne fin de soirée.
>
> [1] Moins motivés que pour accéder à des newsgroups ou autre activité 
> passionnante, quoi ;
>
> [2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a 
> empêché le démarrage d'une application non reconnue. L'exécution de cette 
> application peut mettre votre ordinateur en danger. […] Éditeur inconnu »
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Fabien SECOND]

Alors le pare feu est connecté à l'active directory.
Par le client OpenVPN il y a en réalité 2 facteurs d'authentification :
Le premier par le certificat SSL intégré dans la configuration du client
OpenVPN
Le deuxième : par l'authentification Active directory, il y a un prompt
du client OpenVPN demandant à l'utilisateur de s'authentifier.

Fabien


Le 24/09/2019 à 10:57, Michel Hostettler a écrit :
> Bonjour,
>
> J'imagine que l'authentification est réalisée lors de chaque connexion de 
> l'utilisateur.
>
> Dans le contexte cité, savez-vous quel protocole est mis en œuvre pour 
> l'authentification ?
>
> Cordialement,
> Michel
>
> - Mail original -
> De: "Fabien SECOND" 
> À: "frnog" 
> Envoyé: Mardi 24 Septembre 2019 10:47:01
> Objet: Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?
>
> Bonjour,
>
> Pour ma part j'utilise OpenVPN sur un parefeu stormshield. La conf est
> déployée sur les postes et une authentification avec l'AD est faite pour
> chaque utilisateur au moment de la connexion.
>
> Fabien
>
>
> Le 24/09/2019 à 10:36, Julien Escario a écrit :
>> Le 24/09/2019 à 10:03, Kevin CHAILLY | Service Technique a écrit :
>>> Mikrotik ou Telto en 4G avec client OpenVPN ? 
>>>
>>> Kévin
>> Ah ben oui, avec un wAP LTE kit, je sais faire. Mais c'est :
>> * un peu plus lourd
>> * plus encombrant
>> * Nécessite une SIM 4G dédiée (et il reste des endroits où ce n'est pas
>> Byzance)
>> * Pas le même coût d'appareil
>>
>> Bref, pas le même besoin.
>>
>> Ma question portait plus sur le retour que vous avez de demander à des
>> end-users de configurer le wifi sur un routeros. L'appli mobile aide
>> peut être, je n'ai pas encore essayé avec Mme Michu.
>>
>> Julien
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>

-- 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[David Ponzone]

Oui le client est dans les Teltonika.


> Le 24 sept. 2019 à 11:56, Radu-Adrian Feurdean 
>  a écrit :
> 
> On Tue, Sep 24, 2019, at 06:16, Michel Py wrote:
>> J'ai une question con : dans le monde du logiciel libre, c'est quoi 
>> l'équivalent de SSTP ?
> 
> Il y a des implementations SSTP en open-source (dont SoftEther).
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Radu-Adrian Feurdean]

On Tue, Sep 24, 2019, at 06:16, Michel Py wrote:
> J'ai une question con : dans le monde du logiciel libre, c'est quoi 
> l'équivalent de SSTP ?

Il y a des implementations SSTP en open-source (dont SoftEther).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Sébastien Lesimple]

Le 24/09/2019 à 11:23, Claer a écrit :
> Ils ont quand même fait de gros progrès depuis L2TP sur WinXP.
>
> Là sous MacOS, Je clic sur le + pour créer un réseau, je choisis VPN,
> type IKEv2, adresse du serv, login, passe. et c'est fini.
>
> 5 informations à remplir c'est pas énorme, d'autant plus que quelle que
> soit la solution, il faudra dans tous les cas en saisir au moins 3 :
>  - Site pour se connecter (page web ou autre nom d'hote),
>  - Nom de l'utilisateur,
>  - Mot de passe.
Pas de double facteur pour une authentification renforcée ?
> Ca rentrait dans ma définition de "facile à installer", mais peut être
> que je n'ai pas vu de vrais utilisateurs depuis trop longtemps. 
>
>
> On 24-09-2019 11.13 +0200, David Ponzone wrote:
>> Je crois que le phrase-clé de la question de Guillaume était:
>> "Évidemment, le service info n'a pas la main sur le terminal de 
>> l'utilisateur, sinon c'est trop facile, donc il faut que ce soit facile à 
>> installer et à utiliser. « 
>> Il faut admettre qu’ajouter une connexion VPN sous Windows ou MacOS est loin 
>> d’être trivial pour un utilisateur lambda.
>>
>>> Le 24 sept. 2019 à 11:07, Claer  a écrit :
>>>
>>> Bonjour,
>>>
>>> Pour de petites infras, pour moi c'est IPSEC avec IKEv2.
>>> Les principales lacunes de isakmpd/ikev1 ont été comblées: Nat
>>> traversal par défaut et permet d'attribuer des adresses privées pour les
>>> extrémités VPN.
>>>
>>> Les clients natifs existent sous Windows10 ou Android et mon google fu
>>> me dit que ca marche aussi pour iOS.
>>>
>>> Pour la partie serveur, à l'époque j'avais fait mes maquettes avec
>>> Linux/libreswan et avec OpenBSD/iked. IKEv2 étant assez développé, tu as
>>> le choix des armes.
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[David Ponzone]

> Le 24 sept. 2019 à 11:23, Claer  a écrit :
> 
> Ils ont quand même fait de gros progrès depuis L2TP sur WinXP.
> 
> Là sous MacOS, Je clic sur le + pour créer un réseau, je choisis VPN,
> type IKEv2, adresse du serv, login, passe. et c'est fini.
> 
> 5 informations à remplir c'est pas énorme, d'autant plus que quelle que
> soit la solution, il faudra dans tous les cas en saisir au moins 3 :
> - Site pour se connecter (page web ou autre nom d'hote),
> - Nom de l'utilisateur,
> - Mot de passe.
> Ca rentrait dans ma définition de "facile à installer", mais peut être
> que je n'ai pas vu de vrais utilisateurs depuis trop longtemps. 

Comment dire…plus rien ne me surprend.
Hier on m’a demandé si résilier ça voulait dire mettre fin aux services…


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[David Ponzone]

Je crois que le phrase-clé de la question de Guillaume était:
"Évidemment, le service info n'a pas la main sur le terminal de l'utilisateur, 
sinon c'est trop facile, donc il faut que ce soit facile à installer et à 
utiliser. « 
Il faut admettre qu’ajouter une connexion VPN sous Windows ou MacOS est loin 
d’être trivial pour un utilisateur lambda.

> Le 24 sept. 2019 à 11:07, Claer  a écrit :
> 
> Bonjour,
> 
> Pour de petites infras, pour moi c'est IPSEC avec IKEv2.
> Les principales lacunes de isakmpd/ikev1 ont été comblées: Nat
> traversal par défaut et permet d'attribuer des adresses privées pour les
> extrémités VPN.
> 
> Les clients natifs existent sous Windows10 ou Android et mon google fu
> me dit que ca marche aussi pour iOS.
> 
> Pour la partie serveur, à l'époque j'avais fait mes maquettes avec
> Linux/libreswan et avec OpenBSD/iked. IKEv2 étant assez développé, tu as
> le choix des armes.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Philippe Beauchet]

Bonjour à la liste,

comme l'a mentionné un collègue, je plussoie pour F5. Une fois le plugin 
installé, pas de souci particulier, authentification sur AD. Tout les 
clients (Windows 7 et 10, OSX et Ubuntu) sont satisfaits.


Eu un temps, à l'époque de XP, nous faisions aussi du M$. De mémoire, 
pas eu de soucis particuliers non plus.


Pour SmartScreen si vous voulez le désactiver et si vous n'avez pas de 
domaine Windows ben...faut le "faire à la main".


Exemple avec les stratégies de groupe locale, ici:

Modèles d’administration\Composants 
Windows\WindowsDefenderSmartScreen/\Explorateur\Configurer 
WindowsDefenderSmartScreen


Ou en GUI en passant par le "Centre de sécurité".

Mais bon, poste par poste...

Sinon faut, encore, payer...

https://answers.microsoft.com/fr-fr/protect/forum/all/comment-proc%C3%A9der-pour-que-smartscreen-ne/19269083-24b5-4565-99ab-abc6bfd356ab

Alors après, libre ou pas libre: la est la question ;)


--


Confraternellement,

Philippe Beauchet
Service Informatique
CNRS Laboratoire MAP
31 chemin Joseph Aiguier
Marseille




Le 23/09/2019 à 21:46, Guillaume LUCAS a écrit :

Bonsoir,

Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes permettant 
de connecter des utilisateurs distants faiblement technophiles et motivés [1] 
au réseau d'une entité ? Évidemment, le service info n'a pas la main sur le 
terminal de l'utilisateur, sinon c'est trop facile, donc il faut que ce soit 
facile à installer et à utiliser.

Depuis de (trop nombreuses ?) années, j'en suis resté à :
* L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en UDP, 
mais, pour l'activer sous un winwin 10, il faut modifier la base de registre, 
ce qui réduit drastiquement la facilité d'utilisation ;
* PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ;
* TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque 
équipementier a son implémentation et il faut télécharger le binaire (voire la 
conf) kiVaBien pour chaque système. De plus, les binaires non-signés (comme le 
binaire OpenVPN+conf' généré par un PFSense) sont décriés par le SmartScreen 
d'un winwin 10, ce qui réduit la facilité d'utilisation et ferme le jeu.

Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes (winwin, 
mac os, GNU/Linux, Android) ?

Bonne fin de soirée.

[1] Moins motivés que pour accéder à des newsgroups ou autre activité 
passionnante, quoi ;

[2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a 
empêché le démarrage d'une application non reconnue. L'exécution de cette 
application peut mettre votre ordinateur en danger. […] Éditeur inconnu »

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Fabien SECOND]

Bonjour,

Pour ma part j'utilise OpenVPN sur un parefeu stormshield. La conf est
déployée sur les postes et une authentification avec l'AD est faite pour
chaque utilisateur au moment de la connexion.

Fabien


Le 24/09/2019 à 10:36, Julien Escario a écrit :
> Le 24/09/2019 à 10:03, Kevin CHAILLY | Service Technique a écrit :
>> Mikrotik ou Telto en 4G avec client OpenVPN ? 
>>
>> Kévin
> Ah ben oui, avec un wAP LTE kit, je sais faire. Mais c'est :
> * un peu plus lourd
> * plus encombrant
> * Nécessite une SIM 4G dédiée (et il reste des endroits où ce n'est pas
> Byzance)
> * Pas le même coût d'appareil
>
> Bref, pas le même besoin.
>
> Ma question portait plus sur le retour que vous avez de demander à des
> end-users de configurer le wifi sur un routeros. L'appli mobile aide
> peut être, je n'ai pas encore essayé avec Mme Michu.
>
> Julien
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


-- 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Julien Escario]

Le 24/09/2019 à 10:03, Kevin CHAILLY | Service Technique a écrit :
> Mikrotik ou Telto en 4G avec client OpenVPN ? 
> 
> Kévin

Ah ben oui, avec un wAP LTE kit, je sais faire. Mais c'est :
* un peu plus lourd
* plus encombrant
* Nécessite une SIM 4G dédiée (et il reste des endroits où ce n'est pas
Byzance)
* Pas le même coût d'appareil

Bref, pas le même besoin.

Ma question portait plus sur le retour que vous avez de demander à des
end-users de configurer le wifi sur un routeros. L'appli mobile aide
peut être, je n'ai pas encore essayé avec Mme Michu.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Kevin CHAILLY | Service Technique]

Mikrotik ou Telto en 4G avec client OpenVPN ? 

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Julien 
Escario
Envoyé : mardi 24 septembre 2019 09:59
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

Le 23/09/2019 à 21:57, Olivier Lange a écrit :
> Tu fournis un Mikrotik Map (https://mikrotik.com/product/RBmAP2nD)
> préconfigurés en l2tp udp, donc ça traverse le nat, avec soit le 
> second port si il est en ethernet, soit le wifi. Si tu fais bien les 
> choses, tu n'a rien a configurer côté pc, ou autre, juste un DHCP 
> client sur le Map et la bonne conf.
> 
> Ça coûte rien, fa prends pas de place,vet c'est simple a mettre en place !

L'idée n'est pas mauvaise mais prenons un use-case : un commercial qui se 
balade avec son portable. Il doit choper le wifi de l'hôtel : ça veut dire que 
tu lui expliques comment se connecter sur le mAP et le configurer en client 
Wifi ?

Ou alors, tu pars du principe qu'il faut le brancher en Ethernet ?

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Julien Escario]

Le 23/09/2019 à 21:57, Olivier Lange a écrit :
> Tu fournis un Mikrotik Map (https://mikrotik.com/product/RBmAP2nD)
> préconfigurés en l2tp udp, donc ça traverse le nat, avec soit le second
> port si il est en ethernet, soit le wifi. Si tu fais bien les choses, tu
> n'a rien a configurer côté pc, ou autre, juste un DHCP client sur le Map et
> la bonne conf.
> 
> Ça coûte rien, fa prends pas de place,vet c'est simple a mettre en place !

L'idée n'est pas mauvaise mais prenons un use-case : un commercial qui
se balade avec son portable. Il doit choper le wifi de l'hôtel : ça veut
dire que tu lui expliques comment se connecter sur le mAP et le
configurer en client Wifi ?

Ou alors, tu pars du principe qu'il faut le brancher en Ethernet ?

Julien



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Némo HAUDUC]

Bonjour,

Le 23/09/2019 à 23:23, Hervé BRY a écrit :
> Tu peux regarder du côté de SoftEther (https://www.softether.org/), un
> système de VPN open source qui supporte de nombreux protocoles.
> Très pratique pour utiliser les clients intégrés dans la plupart des OS...
> 
> Hervé BRY
> Administrateur Système
> Geneanet (http://www.geneanet.org)

En effet, SoftEther VPN fonctionne très bien (client-server,
site-à-site, multi-protocol dont OpenVPN...) et a l'avantage d'avoir une
GUI (sur Windows) permettant la gestion des utilisateurs et la
configuration de pas mal de paramètres spécifiques (règles, routage,
firewall...).

Après je ne l'ai pas beaucoup utilisé (OpenVPN ou Wireguard couvrent mes
besoins) mais il a pas mal de fonctions pratiques telles que la
génération automatique des configurations OpenVPN serveurs et clients ce
qui peut simplifier la gestion pour ceux qui ont du mal avec OpenVPN.

En revanche, je n'ai pas eu l'occasion de tester les performances.

Némo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[cam.la...@azerttyu.net]

Salut

De mon coté on m'avait réorienté lors d'un échange précédent sur
https://pritunl.com

Il se présente compatible avec OpenVpn en plus de leurs clients et
propose pas mal de cas d'usage mesh et cie assez sympatique sur le
papier.

Je pense basculer d'openvpn vers cette solution (le plan B pour moi
serait wireguard)

Km


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Christophe vellutini]

Bonjour,

Un F5 avec la blade APM. (à partir de la V13 pour éviter tout problème avec
les nouveaux navigateurs).

Le client a juste a se loguer sur une interface web et un plugin lance le
VPN SSL, comptible sur de nombreux environnement desktop et mobile.
De plus la conf étant chargé depuis le F5, tu peux bidouiller comme tu veux
sans que ca impact l'utilisateur.

C'est pas opensource d'accord mais le support derrière est parfait.

Christophe VELLUTINI

[image: Mailtrack]

Sender
notified by
Mailtrack

24/09/19
à 08:28:24

Le mar. 24 sept. 2019 à 08:06, David Ponzone  a
écrit :

> Pour Wireguard:
> https://www.wireguard.com/papers/wireguard.pdf <
> https://www.wireguard.com/papers/wireguard.pdf>
>
> Pour Zerotier:
>
> https://www.zerotier.com/manual/#2_1_1 <
> https://www.zerotier.com/manual/#2_1_1>
>
> Tu nous fais un résumé après ? :)
>
>
> > Le 24 sept. 2019 à 07:29, Xavier Beaudouin  a écrit :
> >
> > Wireguard comme Zerotier ont l'air bien sur le papier (et sont supportés
> un peu partout).
> > La grosse question que je me pose avec Wireguard et Zerotier c'est
> comment ces trucs font
> > de la magie avec les pkts. Est-ce que ca passe par un truc semi
> centralisé ?
> >
> > J'avoue que je n'ai pas eu le temps de fouiller mais ça me titille...
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[David Ponzone]

Pour Wireguard:
https://www.wireguard.com/papers/wireguard.pdf 


Pour Zerotier:

https://www.zerotier.com/manual/#2_1_1 

Tu nous fais un résumé après ? :)


> Le 24 sept. 2019 à 07:29, Xavier Beaudouin  a écrit :
> 
> Wireguard comme Zerotier ont l'air bien sur le papier (et sont supportés un 
> peu partout).
> La grosse question que je me pose avec Wireguard et Zerotier c'est comment 
> ces trucs font
> de la magie avec les pkts. Est-ce que ca passe par un truc semi centralisé ? 
> 
> J'avoue que je n'ai pas eu le temps de fouiller mais ça me titille...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Xavier Beaudouin]

Hello Florent et la liste

> Hello la liste,
> Je suis surpris que personne ne mentionne Wireguard (
> https://www.wireguard.com/) alors qu'il fonctionne très bien sur (testé
> personnellement) :
> - MacOS
> - iOS
> - Debian
> - CentOS
> - Android
> - Windows
> 

Wireguard comme Zerotier ont l'air bien sur le papier (et sont supportés un peu 
partout).
La grosse question que je me pose avec Wireguard et Zerotier c'est comment ces 
trucs font
de la magie avec les pkts. Est-ce que ca passe par un truc semi centralisé ? 

J'avoue que je n'ai pas eu le temps de fouiller mais ça me titille...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Michel Py]

> Florent CARRÉ a écrit :
> d'utiliser un système comme Vault de Hashicorp ou autre système de gestion de 
> CA pour gérer ces clés
> publiques et privées. Je vais un peu regarder cela car c'est problématique 
> pour une automatisation correcte.

J'ai une question con : dans le monde du logiciel libre, c'est quoi 
l'équivalent de SSTP ?
Pour les clés, je ne m'emmerde pas. J'ai un certificat SSL "wildcard" pour mon 
domaine qui couvre mon besoin.

Je comprends que tout le monde (surtout ici) n'a pas forcément de domaine M$ 
AD, mais pour moi SSTP c'est gratos et le client déjà installé dans Windoze.
Le wildcard c'est devenu abordable, payer M$ pour la license serveur j'ai pas 
le choix je paye déjà.

Si je devais passer en logiciel libre je pense que je ferais OpenVPN, mais tant 
que M$ SSTP c'est gratuit pour moi je ne change pas.


> David Ponzone a écrit :
> PPTP c’est dead.

C'est carrément mort. En plus c'est pas bien supporté avec NAT, un ALG 
obligatoire pour regarder ce qui se passait sur 1723/TCP et ouvrir GRE au 
passage.
C'était un truc cool il y a 20 ans, mais plus maintenant. Je m'en suis servi 
pendant des années, ceci dit. Rien à faire.
Pour la même raison que je fais SSTP aujourd'hui : c'est gratuit, et c'est 
vachement bien intégré à mon écosystème.


> C’est plutôt simple d’installer FortiClient par exemple, qui se
> charge de toute la complexité, non ? Et ça marche même sur mobile.

Cà coute du pognon, en plus mon docteur a dit que utiliser Fortinet c'était pas 
bon pour ma santé mentale.
On leur donne encore cette année plusieurs $K, mais çà va pas durer 
éternellement.
M$ je peux pas (encore) m'en passer (soupir). Fortinet bye bye.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Florent CARRÉ]

Vivement qu'il passe en version stable 1.0, (j'avais pas réalisé que
c'était toujours pas en stable)
Mais dernièrement, j'ai vu un lien 10Gb/s être saturé en grosse copie
serveur à serveur et c'est juste impressionant même s'il y a la contre
partie de l'udp.

La seule contre partie actuelle que je vois, c'est l'impossibilité
d'utiliser un système comme Vault de Hashicorp ou autre système de gestion
de CA pour gérer ces clés publiques et privées.
Je vais un peu regarder cela car c'est problématique pour une
automatisation correcte.

On Mon, Sep 23, 2019, 17:16 Hervé BRY  wrote:

> Le mar. 24 sept. 2019 à 00:07, Florent CARRÉ  a
> écrit :
>
>> Je suis surpris que personne ne mentionne Wireguard
>>
>
> Peut être parce-que, selon leur site, "WireGuard is currently working
> toward a stable 1.0 release. Current snapshots [...] may contain security
> quirks (which would *not* be eligible for CVEs, since this is pre-release
> snapshot software)."
> Ceci dit il est vrai que WireGuard est très prometteur, en particulier en
> terme de performances.
>
> Hervé BRY
> Administrateur Système
> Geneanet (http://www.geneanet.org)
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Hervé BRY]

 Le mar. 24 sept. 2019 à 00:07, Florent CARRÉ  a
écrit :

> Je suis surpris que personne ne mentionne Wireguard
>

Peut être parce-que, selon leur site, "WireGuard is currently working
toward a stable 1.0 release. Current snapshots [...] may contain security
quirks (which would *not* be eligible for CVEs, since this is pre-release
snapshot software)."
Ceci dit il est vrai que WireGuard est très prometteur, en particulier en
terme de performances.

Hervé BRY
Administrateur Système
Geneanet (http://www.geneanet.org)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Florent CARRÉ]

Hello la liste,
Je suis surpris que personne ne mentionne Wireguard (
https://www.wireguard.com/) alors qu'il fonctionne très bien sur (testé
personnellement) :
- MacOS
- iOS
- Debian
- CentOS
- Android
- Windows

Excellente soirée tout le monde

Florent

On Mon, Sep 23, 2019, 16:27 Hervé BRY  wrote:

> Tu peux regarder du côté de SoftEther (https://www.softether.org/), un
> système de VPN open source qui supporte de nombreux protocoles.
> Très pratique pour utiliser les clients intégrés dans la plupart des OS...
>
> Hervé BRY
> Administrateur Système
> Geneanet (http://www.geneanet.org)
>
>
> Le lun. 23 sept. 2019 à 21:47, Guillaume LUCAS <
> guillaume.lu...@univ-avignon.fr> a écrit :
>
>> Bonsoir,
>>
>> Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes
>> permettant de connecter des utilisateurs distants faiblement technophiles
>> et motivés [1] au réseau d'une entité ? Évidemment, le service info n'a pas
>> la main sur le terminal de l'utilisateur, sinon c'est trop facile, donc il
>> faut que ce soit facile à installer et à utiliser.
>>
>> Depuis de (trop nombreuses ?) années, j'en suis resté à :
>> * L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en
>> UDP, mais, pour l'activer sous un winwin 10, il faut modifier la base de
>> registre, ce qui réduit drastiquement la facilité d'utilisation ;
>> * PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ;
>> * TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque
>> équipementier a son implémentation et il faut télécharger le binaire (voire
>> la conf) kiVaBien pour chaque système. De plus, les binaires non-signés
>> (comme le binaire OpenVPN+conf' généré par un PFSense) sont décriés par le
>> SmartScreen d'un winwin 10, ce qui réduit la facilité d'utilisation et
>> ferme le jeu.
>>
>> Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes
>> (winwin, mac os, GNU/Linux, Android) ?
>>
>> Bonne fin de soirée.
>>
>> [1] Moins motivés que pour accéder à des newsgroups ou autre activité
>> passionnante, quoi ;
>>
>> [2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a
>> empêché le démarrage d'une application non reconnue. L'exécution de cette
>> application peut mettre votre ordinateur en danger. […] Éditeur inconnu »
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Hervé BRY]

Tu peux regarder du côté de SoftEther (https://www.softether.org/), un
système de VPN open source qui supporte de nombreux protocoles.
Très pratique pour utiliser les clients intégrés dans la plupart des OS...

Hervé BRY
Administrateur Système
Geneanet (http://www.geneanet.org)


Le lun. 23 sept. 2019 à 21:47, Guillaume LUCAS <
guillaume.lu...@univ-avignon.fr> a écrit :

> Bonsoir,
>
> Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes
> permettant de connecter des utilisateurs distants faiblement technophiles
> et motivés [1] au réseau d'une entité ? Évidemment, le service info n'a pas
> la main sur le terminal de l'utilisateur, sinon c'est trop facile, donc il
> faut que ce soit facile à installer et à utiliser.
>
> Depuis de (trop nombreuses ?) années, j'en suis resté à :
> * L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en
> UDP, mais, pour l'activer sous un winwin 10, il faut modifier la base de
> registre, ce qui réduit drastiquement la facilité d'utilisation ;
> * PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ;
> * TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque
> équipementier a son implémentation et il faut télécharger le binaire (voire
> la conf) kiVaBien pour chaque système. De plus, les binaires non-signés
> (comme le binaire OpenVPN+conf' généré par un PFSense) sont décriés par le
> SmartScreen d'un winwin 10, ce qui réduit la facilité d'utilisation et
> ferme le jeu.
>
> Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes
> (winwin, mac os, GNU/Linux, Android) ?
>
> Bonne fin de soirée.
>
> [1] Moins motivés que pour accéder à des newsgroups ou autre activité
> passionnante, quoi ;
>
> [2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a
> empêché le démarrage d'une application non reconnue. L'exécution de cette
> application peut mettre votre ordinateur en danger. […] Éditeur inconnu »
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Sébastien Lesimple]

Le 23/09/2019 à 22:09, David Ponzone a écrit :
> PPTP c’est dead.
>
> C’est plutôt simple d’installer FortiClient par exemple, qui se charge de 
> toute la complexité, non ?
> Et ça marche même sur mobile.
Y'a des soucis avec la resolution DNS avec les iPhones.
Sinon ca fait le job, sur un VPN SSL.
>
> David Ponzone
>
>
>
>> Le 23 sept. 2019 à 21:46, Guillaume LUCAS  
>> a écrit :
>>
>> Bonsoir, 
>>
>> Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes 
>> permettant de connecter des utilisateurs distants faiblement technophiles et 
>> motivés [1] au réseau d'une entité ? Évidemment, le service info n'a pas la 
>> main sur le terminal de l'utilisateur, sinon c'est trop facile, donc il faut 
>> que ce soit facile à installer et à utiliser. 
>>
>> Depuis de (trop nombreuses ?) années, j'en suis resté à : 
>> * L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en 
>> UDP, mais, pour l'activer sous un winwin 10, il faut modifier la base de 
>> registre, ce qui réduit drastiquement la facilité d'utilisation ; 
>> * PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ; 
>> * TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque 
>> équipementier a son implémentation et il faut télécharger le binaire (voire 
>> la conf) kiVaBien pour chaque système. De plus, les binaires non-signés 
>> (comme le binaire OpenVPN+conf' généré par un PFSense) sont décriés par le 
>> SmartScreen d'un winwin 10, ce qui réduit la facilité d'utilisation et ferme 
>> le jeu. 
>>
>> Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes 
>> (winwin, mac os, GNU/Linux, Android) ? 
>>
>> Bonne fin de soirée. 
>>
>> [1] Moins motivés que pour accéder à des newsgroups ou autre activité 
>> passionnante, quoi ; 
>>
>> [2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a 
>> empêché le démarrage d'une application non reconnue. L'exécution de cette 
>> application peut mettre votre ordinateur en danger. […] Éditeur inconnu » 
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[darcosion]

Idem pour moi, OpenVPN en déploiement pur, même sans pfsense passe très bien.
En revanche, il faut fournir une conf prédéfinie aux utilisateurs et de manière 
générale, une procédure de mise en place...

Mention honorable pour son système de détection de device sur son interface de 
connexion qui propose un installateur pour tout, que ce soit les windows, 
linux, android, etc...

En général, les équipementiers ont la moche habitude de rajouter leur 
tambouille sur un OpenVPN (eh oui, l'Open Source, c'est cool de l'utiliser, 
mais si on peut mettre notre logo dessus, c'est encore plus sympa) et ça génère 
plus de problèmes que de solution (dernièrement, j'ai vu un déploiement Sophos 
VPN qui était parvenu à transformer les claviers AZERTY en QWERTY uniquement 
dans sa GUI, incroyable bug).

Bref, utiliser de l'OpenVPN simple, ça demande un peu de maîtrise, mais c'est 
vachement bien. Et on peut noter l'existence d'une version entreprise chez 
OpenVPN qui fournit énormément de choses pré-configurés.

Des bisous,
Darcosion


‐‐‐ Original Message ‐‐‐
Le lundi 23 septembre 2019 22:11,  a écrit :

> Je déploie du OpenVPN via pfsense et ça passe crème de mon côté sur tous les 
> OS (iOS, Win, Mac).
>
> Sous Windows il faut installer le client officiel et charger la conf générée 
> par pfsense pour ne pas avoir de soucis smart screen ni de soucis avec les 
> dns.
>
> Kevin LABECOT
> Responsable Infrastructure
> Service Informatique
>
> 1001pneus
> 4/6 cours de l'intendance
> 33000 Bordeaux
>
> Envoyé depuis mon mobile Tel: 05 35 54 31 10
> Mob: 06.08.46.96.50
> Fax: 01.83.64.28.70
> E-mail: kevin.labe...@1001pneus.fr
>
> Le 23 sept. 2019 à 10:02 PM +0200, Michel Py 
> mic...@arneill-py.sacramento.ca.us, a écrit :
>
> > > Guillaume LUCAS a écrit :
> > > [VPN]
> >
> > Je me sers de SSTP, intégré dans M$ serveur, client intégré à windoze (rien 
> > à installer), marche en https donc traverse la plupart des pare-feu, 
> > directement intégré à AD.
> > Pour le réseau d'entreprise avec un domaine M$, çà juste marche.
> > Michel.
> >
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
>
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[kevin . labecot]

Je déploie du OpenVPN via pfsense et ça passe crème de mon côté sur tous les OS 
(iOS, Win, Mac).

Sous Windows il faut installer le client officiel et charger la conf générée 
par pfsense pour ne pas avoir de soucis smart screen ni de soucis avec les dns.


Kevin LABECOT
Responsable Infrastructure
Service Informatique

1001pneus
4/6 cours de l'intendance
33000 Bordeaux

Envoyé depuis mon mobile Tel: 05 35 54 31 10
Mob: 06.08.46.96.50
Fax: 01.83.64.28.70
E-mail: kevin.labe...@1001pneus.fr


Le 23 sept. 2019 à 10:02 PM +0200, Michel Py 
, a écrit :
> > Guillaume LUCAS a écrit :
> > [VPN]
>
> Je me sers de SSTP, intégré dans M$ serveur, client intégré à windoze (rien à 
> installer), marche en https donc traverse la plupart des pare-feu, 
> directement intégré à AD.
> Pour le réseau d'entreprise avec un domaine M$, çà juste marche.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[David Ponzone]

PPTP c’est dead.

C’est plutôt simple d’installer FortiClient par exemple, qui se charge de toute 
la complexité, non ?
Et ça marche même sur mobile.

David Ponzone



> Le 23 sept. 2019 à 21:46, Guillaume LUCAS  a 
> écrit :
> 
> Bonsoir, 
> 
> Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes 
> permettant de connecter des utilisateurs distants faiblement technophiles et 
> motivés [1] au réseau d'une entité ? Évidemment, le service info n'a pas la 
> main sur le terminal de l'utilisateur, sinon c'est trop facile, donc il faut 
> que ce soit facile à installer et à utiliser. 
> 
> Depuis de (trop nombreuses ?) années, j'en suis resté à : 
> * L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en UDP, 
> mais, pour l'activer sous un winwin 10, il faut modifier la base de registre, 
> ce qui réduit drastiquement la facilité d'utilisation ; 
> * PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ; 
> * TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque 
> équipementier a son implémentation et il faut télécharger le binaire (voire 
> la conf) kiVaBien pour chaque système. De plus, les binaires non-signés 
> (comme le binaire OpenVPN+conf' généré par un PFSense) sont décriés par le 
> SmartScreen d'un winwin 10, ce qui réduit la facilité d'utilisation et ferme 
> le jeu. 
> 
> Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes 
> (winwin, mac os, GNU/Linux, Android) ? 
> 
> Bonne fin de soirée. 
> 
> [1] Moins motivés que pour accéder à des newsgroups ou autre activité 
> passionnante, quoi ; 
> 
> [2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a 
> empêché le démarrage d'une application non reconnue. L'exécution de cette 
> application peut mettre votre ordinateur en danger. […] Éditeur inconnu » 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Michel Py]

> Guillaume LUCAS a écrit :
> [VPN]

Je me sers de SSTP, intégré dans M$ serveur, client intégré à windoze (rien à 
installer), marche en https donc traverse la plupart des pare-feu, directement 
intégré à AD.
Pour le réseau d'entreprise avec un domaine M$, çà juste marche.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quelles catégories de VPN multi-systèmes en 2019 ?

[Olivier Lange]

Tu fournis un Mikrotik Map (https://mikrotik.com/product/RBmAP2nD)
préconfigurés en l2tp udp, donc ça traverse le nat, avec soit le second
port si il est en ethernet, soit le wifi. Si tu fais bien les choses, tu
n'a rien a configurer côté pc, ou autre, juste un DHCP client sur le Map et
la bonne conf.

Ça coûte rien, fa prends pas de place,vet c'est simple a mettre en place !

Olivier

Le lun. 23 sept. 2019 à 21:49, Guillaume LUCAS <
guillaume.lu...@univ-avignon.fr> a écrit :

> Bonsoir,
>
> Quelles sont, en 2019, les grandes catégories de VPN multi-systèmes
> permettant de connecter des utilisateurs distants faiblement technophiles
> et motivés [1] au réseau d'une entité ? Évidemment, le service info n'a pas
> la main sur le terminal de l'utilisateur, sinon c'est trop facile, donc il
> faut que ce soit facile à installer et à utiliser.
>
> Depuis de (trop nombreuses ?) années, j'en suis resté à :
> * L2TP/IPSec, mais ça ne passe pas le NAT, sauf la version encapsulée en
> UDP, mais, pour l'activer sous un winwin 10, il faut modifier la base de
> registre, ce qui réduit drastiquement la facilité d'utilisation ;
> * PPTP, mais c'est non-sécurisé (on retrouve MS-CHAPv1, v2, etc.) ;
> * TLS et TLS-like (Cisco, Fortinet, OpenVPN, Wireguard, etc.) mais chaque
> équipementier a son implémentation et il faut télécharger le binaire (voire
> la conf) kiVaBien pour chaque système. De plus, les binaires non-signés
> (comme le binaire OpenVPN+conf' généré par un PFSense) sont décriés par le
> SmartScreen d'un winwin 10, ce qui réduit la facilité d'utilisation et
> ferme le jeu.
>
> Cela a-t-il évolué ? Je ne vois rien de natif aux principaux systèmes
> (winwin, mac os, GNU/Linux, Android) ?
>
> Bonne fin de soirée.
>
> [1] Moins motivés que pour accéder à des newsgroups ou autre activité
> passionnante, quoi ;
>
> [2] « Windows a protégé votre ordinateur - Windows Defender SmartScreen a
> empêché le démarrage d'une application non reconnue. L'exécution de cette
> application peut mettre votre ordinateur en danger. […] Éditeur inconnu »
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/