Bonjour,
je dois installer un serveur VPN sur la passerelle (gentoo) d'un réseau de 5/6 clients Windows XP.
Ce vpn servira aux utlisateurs pour avoir accès aux fichiers partagés par samba et aux machines locales lorsqu'ils sont en déplacements.
 
Le réseau est comme suit :
 
Pc à distance ==== || Internet || ==== Passerelle ==== Pc locaux clients
 
J'ai deja passé la journée quasiment à lire et à me renseigner sur ce qui se faisait en vpn, et j'ai retenu deux solutions pour le moment :
- OpenVPN (avec SSL)
- FreeS/Wan (avec IPSec)
 
Par contre, dans le cas d'openvpn, il semble qu'il faut installer un programme client sur chaque machine cliente, alors que je voudrais utiliser LE CLIENT WINDOWS XP intégré, par souci de facilité d'utilisation pour les users. Pour FreeS/Wan je crois qu'il n'y en a pas besoin.
 
Par contre je n'ai pas très bien compris comment se passent concrètement les authentifications, s'il faut transférer des fichiers clés sur chaque machine cliente, etc ...
Comme il y a beaucoup de machines portables à configurer pour le VPN, je voudrais une solution la plus aisée à mettre en place, et à REmettre en place par la suite (par les users eux memes).
 
Je vous remercie d'avance si vous prenez un peu de votre temps pour m'aider à faire un choix.

Plutot que de relier une machine à plein d'autres, relie une machine à un réseau, tu gagneras ton temps et ce sera plus simple.

bah c'est ce qu'il compte faire non ?
Les clients distants se connectes sur la passerelle où tournera son "serveur VPN"
 
non ?

j'ai compris qu'il voulait relier son poste isolé aux machines distantes une par une mais je suis pas en super forme cela dit

oui oui les clients distants se connectent à la passerelle où est installé le serveur VPN  

ah donc peu importe
 
moi j'aime bien openvpn, c'est ce que j'utilise mais j'ai jamais essayé freeswan/openswan

moi j'aime IPsec parce que je suis un gros bourrin mais avec windows je sais pas, jamais essayé

Poptop est sympa, mais c'est du PPTP avec encryption MPPE 128 bits ...  
 
L'avantage c'est que les clients Windows se connectent sans aucun problèle !
 
http://www.poptop.org/

oui mais plusieurs attaques sont bien connues enn pptp avec mppe...
et il n'est pas réellement conseillé de le déployer tel quel...

up

 
ah ? une source ?
 
mici

open vpn necessite un client Win32 sur chaque poste XP il existe une interface GUI pour Win32 à voir sur http://openvpn.se  
Tu peux en plus emettre des certificats pour chaque utilistauer ce qui n'est pas un luxe...
Utilisé depuis un an en production c'est sans soucis un peu lourd à mettre en place mais tellement facile à maintenir (mode routeur pour mon cas il existe le mode bridge aussi)
A+

merci gandalf pour la réponse, seulement il y a un hic.
le problème c'est qu'il faudrait qu'il n'y est pas de maintenance ou de chose compliquées à faire une fois le vpn en place, donc éviter d'avoir à installer un client logiciel.
l'idéal serait qu'il aient juste à utiliser l'assistant windows de nouvelle connexion pour configurer le vpn sur les postes clients, sans avoir à toucher du tout au serveur (je dis ça parce que je ne sais pas si il faut y toucher pour emettre les certificats ou pas)

Dans ce cas c'est pas bon pour openvpn ça demande quand même un install sur chaque poste. Avec l'interface GUI y'a juste à cliquer dans la barre des taches (genre on et off)
Mais sous XP tu seras bien obligé de passer sur chaque poste avec des droits d'admin pour mettre en route les services non ?  tu vas déléguer ça aux utilisateurs ?  

Les postes sont des pc portables sans utilisateur dédié, il n'y a qu'un utilisateur qui a les droits d'admin. Je pourrai faire une doc avec des screenshots de l'assistant de connexion pour qu'ils configurent eux-memes le vpn sur leur poste.

Gandalf, au pire, chaque portable aura un dvd avec tout ce que les users ont besoin en déplacement, est-ce que tu pourrais me direce qu'il y aurait besoin d'avoir pour installer le vpn sur les postes clients (à part le client logiciel) ?
par exemple des certificats, des clés, ce genre de chose qui doivent être procurées par le serveur

Il faut emettre a partir du serveur les certificats par utilisateur et les copier dans un repertoire sur le poste client (3 fichier *.crt *.ca et *.key ensuite dans le fichier de conf tu indiques le chemin vers les certificats. Si le user n'a pas de certificat valide pas d'ouverture (mais c'est transparent pour l'utilisateur) Ovpn fonctionne avec une couche SSL et la mise en place des certificats est très rapide mais pas indispensable
Lire le How-to très bien fait et tester...
il faut lancer ensuite opvpn comme service sous XP
Ajouter la route vers ton serveur pour chaque client route add <ip serveur vpn> <mask> <ip de la passerelle>
et vogue la galère
 

merci beaucoup,
je me suis donc lancé là-dedans, j'ai créé les certifs et la clé ; j'ai fait la config du serveur, il faut que je fasse le client puis les tests.
J'ai trouvé quelques tutos, mais bon il y a des lignes différentes dans chacun qui ne sont pas expliquées souvent, mais je vais fouiller pour trouver à quoi elles servent.

ca marche ?  

je travaille pas le dimanche

voila, j'ai fait les fichiers de conf coté serveur et client, je fais des tests actuellement.
 
la conf coté serveur est celle-ci :

 
coté client :

 
Je ne suis pas sûr de la nécessité de toutes les lignes, j'ai lu plusieurs tutos mais il n'y a pas beaucoup d'explciations sur les lignes de conf.
J'ai placé ces fichiers dans /usr/local/etc/openvpn/
J'ai remplacé le répertoire par défaut (/etc/openvpn) dans le script /etc/init.d/openvpn par celui ci dessus.
Les certificats, les clés PEM, la clé dh et la clé M2M (pour tls) ont été créés et sont aussi dans ce répertoire pour le serveur, et dans ./test/ pour les fichiers relatifs au client.
 
Voici les lignes rajoutées pour le firewall :
iptables -A INPUT -i $WAN_INT -m state --state NEW -p udp --dport 5000 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
 
Sur mon portable client, à l'extérieur du réseau bien sur, j'ai installé openvpn avec sa GUI, et placé les fichiers : cacert.pem, testcert.cert, testkey.pem, ta.key et openvpn-client.ovpn dans le répertoire /config.
 
Quand je lance la connexion, il y a une erreur, le fichier de log du client me dit :  

 
J'en déduis que la connexion s'est établie, mais que l'authentification TLS n'a pas pu se faire.
Y a-t-il quelque chose que j'aurai oublié dans la conf ??

hmmm je crois que le ca.pem devrait etre ca.cert en fait, j'ai du me tromper quand j'ai fais le certif ... jvais les refaire

oui et surtout le nom de ton interface reseau sous win doit correspondre à celui déclaré dans le fichier de conf client  
ligne avec dev-node myinterface /mytap
myinterface à le meme nom sous win (nom de la connection)
Attention au FW XP SP2
Si tu as un cnx reussie sur le serveur elle apparait dans les logs
 
dev-node MyInterface/MyTap manque dans ton fichier de conf client apparement
gaffe au chemin des certifs sous win il faut doubler les slashs

Apres quelques essais j'arrive à établir la connexion vpn, mais bien sur il reste quelques problèmes.
 
voici ma conf serveur :  

 
et ma conf client :

 
Le client peut pinger le serveur vpn (qui fait passerelle), mais pas les pc à l'intérieur du réseau.
Les partages du serveur (samba) ne sont pas visibles par le client non plus.
 
 
Une idée pour ces petits problèmes svp ? une route manquante/mal configurée ??

 
J'ai le meme pb que toi.
 
Bonjour,
 
J'ai installé openvpn 2 sur une RedHat AS4 pour avoir acces en "direct" à mon réseau privé sur lequel se trouve des serveurs linux pour les administrer.
 
voici le schema du réseau :
                                                           
Internet<--------> @ip publique fixe [Routeur sous RH AS]<----- 192.168.0.x ---------->[serveurs 192.168.0.x]    
                                                                                                                                |
                                                                                                                                |
[domicile] 192.168.0.102 <--- vpn ---> 192.168.0.101 [Passerelle VPN] 192.168.0.90 ----------
 
 
J'ai monté le serveur openVPN en mode "routé"
 
Je monte le Vpn, j'assigne bien une @ip au client (XP), j'accede bien au serveur openVPN (ssh et ping sur l'interface 192.168.0.90 relie au reseau local) mais je n'arrive pas à joindre les serveurs du reseau local  par ex : ping 192.168.0.21
 
Je precise que j'ai activé le routage sur le serveur vpn (echo "1" > /proc/sys/net/ipv4/if_forward  ou par webmin )
 
Je ne comprend pas ...
 
Dois je assigner au client un reseau prive (sur le vpn) different de celui que je souhaite "attaqué" (intranet) ou dois je configuerer le serveur openvpn en mode "bridge"
 
merci