encapsuler traffic VPN dans HTTP - Windows & Software
Marsh Posté le 18-11-2005 à 03:43:13
Les admins des fac sont pas fous, rien passera, les entêtes sont filtrées et donc si c'est pour faire un truc qui est pas autorisé ça va être dur, très dur
Et le VPN sortira même pas s'ils l'ont pas autorisé
En gros pas de trafic illégal depuis une fac avec un admin non corrompu
PS: idem si c'est sur un APHP ou autre cern ou inserm
Historiquement internet vient d'eux, faut pas penser que tu les entuberas comme ça
L'analyse de trame tu connais?? Du https qui passe sur un port 80 ça sort pas alors un port exotique tu te fourres le doigt DTC
Marsh Posté le 18-11-2005 à 09:49:54
Il existe des softs pour genre directement ce que tu veux de façon beaucoup plus simple, comme le couple httport/htthost.
Mais c'est pas dit que ça passe si les admins de son réseau font bien leur travail, et de toutes façons faut bien être conscient qu'a plus ou moins long terme ton pote VA se faire gauler, c'est inévitable, et ce jour la tout ce qu'il va gagner c'est au minimum qu'il n'aura plus de connexion au net du tout.
Marsh Posté le 18-11-2005 à 10:14:29
oui effectivement sur la couche IP est indiqué le type de la trame par un flag
il faut donc que quand tu veux faire passer qu'il y ait ce flag sinon il sera bloquer ...
pour ce faire, tu as je crois httptunneling dans lequel tu peux mettre n'importe quoi ...
le plus simple dans ton cas, ca serais par exemple du ftp. tu créé une connexion http entre ton poste et celui de ton pote et tu utilise ce tunnel pour faire passer du ftp. Il s'installe un client et toi un serveur et zou ....
Par contre, je pense que tu peux voire ce qu'il y a dans une trame qui a été tunnelisé par httptunneling. Il faudra donc le sécurisé et faire par exemple du "ftp over ssh over httptunneling" (corrigé moi si je me trompe de sens avec les over)
Donc :
toi <-> ftp <-> ssh <-> httptunneling <-> Internet <-> httptunneling <-> ssh <-> ftp <-> ton pote
Marsh Posté le 18-11-2005 à 10:45:10
C est sur qu il doit y avoir un proxy, donc comme dit plus haut il filtre les trames.
Donc si ds la trameil y a un get ou post ca passe, sinon ca passe pas :\ , stout a mon avis tu peux rien s ils n ont pas envie ...
Marsh Posté le 18-11-2005 à 11:13:02
avec httptunneling justement si il fait passer une trame http avec le bon flag
Marsh Posté le 18-11-2005 à 11:58:30
Ca peut encore se detecter hein, des connexions http tres longues vers une IP dans le pool client d'un FAI c'est quand même un tout petit peu suspect...
Marsh Posté le 18-11-2005 à 12:27:06
euhhh, tu veux dire que cela se remarquerait sur le proxy de l'université la connexion http tres longue ?
nop ?
Marsh Posté le 18-11-2005 à 13:52:31
Merci pour vos réponses,
Si je désire créer un vpn entre nous deuxn c'est justement pour chiffer les trames encapsuler dans l'http. Avec Openvpn, c'est du TLS qui sera chargé de faire ce travail. De plus, j'ai bien préciser que je voulé tout faire passer par le port 80. Aujourd'hui, mon pot DL tout ce qu'il veut grace a mon serveur apache, mais il me demande avant ce qu'il ve, et je lui place ca dans le dossier www. Il ve mainteant un peu d'autonomie jouer en réseau par example etc...
leflos5 me disait que les entetes sont filtrées. Oui, biensur, tout est filtré par le proxy, mais si c'est de l'udp du vpn chiffré avec du TLS, encapsulé dans l'http, je vois mal comment le proxy pourrait rejeter les trames. Le GET/POST peut etre une raison valable, mais quant on surf sur le net, on ne fait pas que du GET/POST.
Aussi, le temps de connexion peut etre suspecté, mais je vous dis, il télécharge de chez moi des fichiers de plusieurs GIG tout le temps, et ca na jamais posé de problem.
Marsh Posté le 18-11-2005 à 13:55:54
weed a écrit : euhhh, tu veux dire que cela se remarquerait sur le proxy de l'université la connexion http tres longue ? |
Le copain de brethold n'est certainement pas le 1er a vouloir jouer au plus malin avec la connexion de sa fac, et il doit quand même y avoir des gens un minimum compétents et des systèmes un minimum bien configuré pour parer à ce genre de situation.
Parce que c'est bien gentil, mais ce genre de chose c'est pas juste un systeme anti-censure et anti-admins fachos, ça peut avoir de tres grosses implications en terme de sécurité ou au niveau légal.
Marsh Posté le 18-11-2005 à 14:08:08
brethold a écrit : Il ve mainteant un peu d'autonomie jouer en réseau par example etc... |
J'imagine bien le ping
Marsh Posté le 18-11-2005 à 14:20:36
Ce que tu cherche c'est proxytunnel. http://proxytunnel.sourceforge.net/
Avec ça tu peux te connecter directement a nimporte quel ordi par ssh de derriere un proxy qui utilise https, donc en général tous les proxys.
Sauf si il authorise que les connections sortantes https vers le port 443, dans cas il faut faire écouter ton serveur ssh sur le port 443.
C'est quasiment indetectable.
La seul chose c'est qu'il y a une deconnection apres un certain temps de idle, et ssh a parfois une options "keep alive".
Bref ça marchait impec pour moi, et un pote aussi à testé depuis sa boite.
Marsh Posté le 18-11-2005 à 14:24:16
El Pollo Diablo a écrit : Le copain de brethold n'est certainement pas le 1er a vouloir jouer au plus malin avec la connexion de sa fac, et il doit quand même y avoir des gens un minimum compétents et des systèmes un minimum bien configuré pour parer à ce genre de situation. |
Je pense que le seul moyen d'empecher la technique du proxytunnel par https c'est de suprimer https
Quand j'etais à la fac j'y avais pas pensé, dommage, mais je me suis ratrapé ailleurs
Marsh Posté le 18-11-2005 à 14:31:53
Merci ilaglisser, je ne conaissais pas cet outil. Vais donc me documenté
La technique du vpn reste comeme plus artistique !!
Marsh Posté le 18-11-2005 à 14:35:32
brethold a écrit : Merci ilaglisser, je ne conaissais pas cet outil. Vais donc me documenté |
Bah rien n'empeche de faire passer ton vpn par le tunnel ssh, c'est d'ailleurs recommandé de le faire
Je l'ai fait
Y a moyen de n'utiliser que TCP pour le tunnel et pas UDP.
Par contre il faut utiliser les clef ssh pour pas qu'il demande de password
Imparable
Oui il existe une faille de sécurité énorme dans tous les proxy, et c'est https. Ironique non ?
Marsh Posté le 18-11-2005 à 14:43:29
et oui, rien n'est parfait !!
Si j'ai bien compris, avec proxytunnel il pourra se connecter sur mon pc mais c'est tout. Cependant, je ve que cette connection joue le role d'un FAI. C'est à dire, une fois connecté, il se voit attribué des resources lui permettant d'utiliser sa connection restrictive d'une maniere completement libre. Le vpn crée une nouvelle interface réseau virtuelle ( tun) qui lui permet de faire ca. Mais avec proxytunnel je vois pas comment pourrait on faire la meme chose.
Marsh Posté le 18-11-2005 à 14:45:23
ilaglisser a écrit : Je pense que le seul moyen d'empecher la technique du proxytunnel par https c'est de suprimer https |
Bloquer automatiquement ce genre de truc est une chose, détecter que quelqu'un est joue au cowboyz en est une autre....
A moins d'avoir des admins completement jemenfoutsistes et/ou incompétents, il s'en rendront compte tôt ou tard, ça aussi c'est imparable.
Citation : Quand j'etais à la fac j'y avais pas pensé, dommage, mais je me suis ratrapé ailleurs |
On peut aussi respecter le reglement de son taf/ecole et le travail des admins hein, c'est pas interdit et ces limitations sont pas juste la pour vous faire chier
Le jour ou vous ferez virer ou mettre a pied de votre boite ou qu'ils vous arrivera des bricoles a la fac faudra pas pleurer...
Marsh Posté le 18-11-2005 à 14:53:56
Salut El Pollo Diablo,
je suis d'accord avec toi, sur le respect des regles communes etc...
Mais dans le cas de mon pot, il a deja une connexion chez lui qu'il paye tout les mois. Il est parti faire un ans dans une autre ville ou il se retrouve avec cette connecion tres resctrictif. Donc deux raisons pour essayer de faire qque chose. La premiere, c'est qu'il paye deja une connexion et la deuxieme, les admins lui donnent une connexion 10 Mbit pour faire du surf sur le net. Il voudrait donc tout simplement en profiter un peu. Et pour finir, je ne pense pas que dans la charte qu'ils lui ont donné, l'utilisation de vpn ou de proxytunnel soit spécifiée qque part.
Marsh Posté le 18-11-2005 à 15:07:37
brethold a écrit : Salut El Pollo Diablo, |
Si t'etais pas d'accord, qu'est ce que ce serait
Citation : Mais dans le cas de mon pot, il a deja une connexion chez lui qu'il paye tout les mois. Il est parti faire un ans dans une autre ville ou il se retrouve avec cette connecion tres resctrictif. Donc deux raisons pour essayer de faire qque chose. La premiere, c'est qu'il paye deja une connexion |
Et alors, c'est le probleme de son école ça ?
Citation : et la deuxieme, les admins lui donnent une connexion 10 Mbit pour faire du surf sur le net. Il voudrait donc tout simplement en profiter un peu. |
C'est parfaitement logique, on lui donne gratuitement une connexion web 10Mb, c'est evidemment un droit inaliénable d'en faire absolument de qu'on veut dérrière, on est déjà bien gentil d'accepter d'utiliser leur connexion
Citation : Et pour finir, je ne pense pas que dans la charte qu'ils lui ont donné, l'utilisation de vpn ou de proxytunnel soit spécifiée qque part. |
Sans doute pas en des termes aussi précis, mais je t'assure que le fait de contourner toutes la sécurité de la connexion qui lui est gentilment mise a disposition doit pas être tres recommandé par la charte... Ce que vous voulez faire ne rentre evidemment pas dans le cadre des conditions d'utilisation de cette connexion, ai au moins l'honneteté de le reconnaitre, sinon ta question faut pas la poser ici suffit de demander aux admins de ton pote
C'est en plus profondément égoiste ce genre d'attitude, parce quela derniere chose que voulez c'est que tout le monde fasse la même chose que vous, parce que la la connexion deviendrait rapidement inutilisable et des mesures drastiques serait tres vite prise. Et en plus si vous vous faites chopper, ca amene souvent encore plus de retriction pour tous les utilisateurs...
Marsh Posté le 18-11-2005 à 15:32:31
Dans ma seconde fac y avait acces ssh dans les deux sens.
Ne pas avoir ssh dans ma premiere fac à été plutot lourd qu'autre chose, pour gerer les projets, les oublis d'envois, avant une presentation, ce genre de trucs
Sinon je trouve ça éxagéré de parler de charte pour un truc aussi simple que proxytunnel.
Tout ce que ça fait c'est enlever le debut de la reponse lors de la connec sur le port https, et tout le reste ce fait par ssl, sans bidouille de protocole, et sans client ssh traffiqué.
On peut pas vraiment parler de hack.
En fait ça serait vraiment tres simple à intégré à ssh d'office.
Marsh Posté le 18-11-2005 à 15:35:11
brethold a écrit : et oui, rien n'est parfait !! |
Avec proxy tunnel il pourra se connecter a nimporte quel pc avec un serveur ssh, sauf si le port sortant authorisé pour ssl est restreint au 443. Dans ce cas il faudra metre le bon port en ecoute sur ton ordi.
Marsh Posté le 18-11-2005 à 15:41:03
ilaglisser a écrit : Tout ce que ça fait c'est enlever le debut de la reponse lors de la connec sur le port https, et tout le reste ce fait par ssl, sans bidouille de protocole, et sans client ssh traffiqué. |
Y'a des restrictions et diverses mesures de sécurité sur la connexion.
Vos softs permettent de passer totalement outre ces restrictions et toute la sécurité de la connexion.
Si vous voyez pas ou est le probleme et ce qu'on pourrait vous repprocher, vous etres soit de tres mauvaise foi, soit franchement idiots
Je répète, ce genre de choses dans plein de sociétés c'est licenciement immédiat pour les coupables, dans une école je vois pas comment ça ne pourrait pas entrainer au minimum une suppression immédiate de tous les privilèges internet de la personne concernée. C'est pas juste une bricole pour montrer qu'on est plus malin, ca peut etre tres lourd de conséquences ce genre de choses, j'en ai été témoin (et acteur) plusieurs fois.
Marsh Posté le 18-11-2005 à 16:59:14
El Pollo Diablo a écrit : Y'a des restrictions et diverses mesures de sécurité sur la connexion. |
Je suis d'accord que faire un VPN c'est plutot trash, vu que ça permet explicitement un acces de l'exterieur vers l'interieur, mais un simple ssh de l'interieur vers l'exterieur bon, c'est pas scandaleux.
Pour moi il y a probleme si tu permets un acces de l'exterieur.
Les restrictions authorisent un acces par https, ssh utilise ssl, je vois pas ou est le probleme
Marsh Posté le 18-11-2005 à 17:03:03
ilaglisser a écrit : Je suis d'accord que faire un VPN c'est plutot trash, vu que ça permet explicitement un acces de l'exterieur vers l'interieur, mais un simple ssh de l'interieur vers l'exterieur bon, c'est pas scandaleux. |
Si ça l'est, ça bypasse quand même quasiment une bonne partie des restrictions et sécurité de la connexion, perso si je tombe sur un user qui s'amuse à ça je vais pas faire beaucoup de différence avec un VPN, et tu ne devrais pas esperer une seule seconde plus de clémence des admins réseau ou tu as ça en place.
Marsh Posté le 18-11-2005 à 17:09:56
El Pollo Diablo a écrit : Si ça l'est, ça bypasse quand même quasiment une bonne partie des restrictions et sécurité de la connexion, perso si je tombe sur un user qui s'amuse à ça je vais pas faire beaucoup de différence avec un VPN, et tu ne devrais pas esperer une seule seconde plus de clémence des admins réseau ou tu as ça en place. |
C'est comme quelqu'un qui se plain de s'être fait cambrioler et qu'on prouve que la porte n'etait pas fermée a clef.
Là, la porte est ouverte.
Marsh Posté le 18-11-2005 à 17:34:58
si le gars laisse sa porte ouverte, ca me donnerais encore moins envie de le combrioler.
Il me fais confiance, je n'ai surtout pas envie de trahir sa confiance, morallement cela me ferait tres tres mal ...
Apres El Pollo D iablo, je suis ok avec toi. Ton pote risque bcp pour si peu de chose ...
Cela dit mis à part ce point, cela peut etre sympa de savoir comment bypasser techniquement ....
ilaglisser, tu as dit : "ssh utilise ssl", ca j'en suis moins sur. ssh est completement à part. La principal grosse différence, c'est qu'avec le ssl un simple navigateur suffit alors qu'avec ssh il te faut un client ssh...
Marsh Posté le 18-11-2005 à 18:49:47
SSH utilise SSL ( Secure Socket Layer) ssh est un protocole tt comme http, l https c est de l http avec des socket SSL
Marsh Posté le 18-11-2005 à 18:59:31
ilaglisser a écrit : C'est comme quelqu'un qui se plain de s'être fait cambrioler et qu'on prouve que la porte n'etait pas fermée a clef. |
Super mentalité, vraiment.
Marsh Posté le 18-11-2005 à 19:24:07
Moi, ce qui me fait halluciner, c'est que ce topic soit encore vivant
Marsh Posté le 18-11-2005 à 20:00:28
Oula oula, je vois qu'on est perdu dans notre topic. Au début je voulais un conseil d'une personne experimentée sur un sujet technique. Maintenant, je vois qu'on est parti sur des questions d'ethique et de principes. Pesonelmenent, et comme je l'ai deja dis, je suis d'accord avec El Pollo Diablo, mon pot a deja le privilege d'avoir une connexion de qualité mais qui permet juste de surfer sur le net. Mais comme il aimerai des fois controler sa machine à distance avec sa connexion actuelle ou autre chose, je lui ai proposé ce workaround en ésperant avoir raison. Je ne pense pas serieusement, que les admins refusent le fait que mon pot se conecte que son serveur vnc avec sa conexion, ou sur le serveur web de sa mule etc .... Il fait de la config a disantce de sa machine, il ne veut utiliser aucun protocole peer to peer ou tenter de pirater le réseau qui lui ai mis a sa disposition. Donc, revenant a l'essentiel, qui est la réalisation technique de ce mini projet si on pe dire. Pour finir, j'aimerai juste dire a wolfman que je ne comprend pas pourquoi est ce que ce sujet devrai etre supprimé. Il a interessé beaucoups de gens, et dans qque réponse, il ya des gars qui ont cité des solutions qui peuvent plus tard servir à kk1 dans sa recherche.
Merci et bon weekend !!
Marsh Posté le 18-11-2005 à 20:18:10
brethold a écrit : Je ne pense pas serieusement, que les admins refusent le fait que mon pot se conecte que son serveur vnc avec sa conexion, ou sur le serveur web de sa mule etc .... |
Alors pourquoi tu utilises une méthode permettant de contourner les connexions en place et exposant le réseau de l'ecole de ton pote a des risques que les admins s'éforcent de limiter par ailleurs plutot que de demander aux admins d'autoriser directement ça ?
Citation : Pour finir, j'aimerai juste dire a wolfman que je ne comprend pas pourquoi est ce que ce sujet devrai etre supprimé. |
Parce que quoi que tu en penses, ce que tu demande au final c'est une forme de piratage, et que c'est explicitement interdit par les règles de ce forum.
Citation : Il a interessé beaucoups de gens, et dans qque réponse, il ya des gars qui ont cité des solutions qui peuvent plus tard servir à kk1 dans sa recherche. |
Et ce topic revient 4 ou 5 fois par mois, avec toujours les mêmes réponses et le même débat idiot
Marsh Posté le 18-11-2005 à 20:47:56
Le_Tolier a écrit : SSH utilise SSL ( Secure Socket Layer) ssh est un protocole tt comme http, l https c est de l http avec des socket SSL |
ok, merci pour l'info je ne savais pas ...
il faudra que je revois ca moi ...
ce topic est super interessant techniquement ca serait dommage qu'il soit supprimé.
Marsh Posté le 18-11-2005 à 21:12:14
El Pollo Diablo a écrit : Bloquer automatiquement ce genre de truc est une chose, détecter que quelqu'un est joue au cowboyz en est une autre....
|
Bah attends parle pas non plu comme un admin pour qui le monde vient de s'écrouler suite à cette révélation.
A ma fac il y avait eu une attaque sur les switchs et ça mis le réseau a genoux pendant presque une semaine. Ca c'est grave.
A mon avis faire du ssh par https, la plupart des admins penseraient même pas que c'est possible.
Enfin pour moi le plus grave qu'on puisse faire avec ça c'est de mettre à dispo depuis l'exterieur et pour nimporte qui l'intranet et toutes les machines du parc et des données sensibles.
Ca c'est grave.
Quand à faire son petit VPN tranquilou bon ça au pire on te dirait d'arreter de suite.
Bref se faire virer pour ça, personnellement j'y crois pas.
Pour moi l'interet d'un proxy etait d'empecher tout d'abord les acces depuis l'exterieur, mais bon ça un firewall normal le fait, mais surtout d'eviter qu'un troyen puisse se connecter de l'interieur vers l'exterieur.
Mais là force est de reconnaitre que le proxy montre ses limites, d'autant plus qu'on ne peut plu enlever https !
Marsh Posté le 18-11-2005 à 21:17:29
ilaglisser a écrit : A mon avis faire du ssh par https, la plupart des admins penseraient même pas que c'est possible. |
MDR.
Quand on s'interesse à la sécurité et aux accès distants; les tunnels SSL sont un des premiers trucs qu'on voit (tunnels ssh; https et autres...)
Ne les prenez pas pour plus cons qu'ils ne le sont.
Marsh Posté le 18-11-2005 à 21:20:51
dreamer18 a écrit : MDR. |
Ah ouais, et cette technique du tunnel par https est aussi secrete que le Fight Club ?
Marsh Posté le 18-11-2005 à 22:02:53
lol, je vois que ca continue !! Je ne pensais pas que ca allait lancé un tel débat. Les admins ne sont pas tous cons ilaglisser, mais rare sont ceux qui sont vraiment compétents, car la plus parts sont sous payés. D'ailleur, El Pollo Diablo pourrait nous le confirmer peut etre
Marsh Posté le 18-11-2005 à 22:12:45
Je dis pas qu'ils sont cons, ni même incompétents.
Quand j'ai découvert ce truc sur google j'étais un peu sur le cul.
Bon ok, je suis pas admin réseau mais j'aime bien ça. Je m'interesse pas du tout au hacking ou autre, donc me faire traiter de pirate pour ça je trouve ça un peu déplacé.
J'avais éssayé déjà avec des tunnel http mais ça avait toujours merdé.
Comme je disais le principal c'est que le proxy freine les troyens, mais si un troyen utilisant se genre de proxy apparait ça va etre tendu
Marsh Posté le 19-11-2005 à 00:27:10
ilaglisser a écrit : Bah attends parle pas non plu comme un admin pour qui le monde vient de s'écrouler suite à cette révélation. |
J'ai bien sur attendu que tu viennes sur ce topic pour apprendre l'existence de cette méthode, c'est d'ailleurs pour ça que je parlais d'httport dans mon 1er post
Citation : A ma fac il y avait eu une attaque sur les switchs et ça mis le réseau a genoux pendant presque une semaine. Ca c'est grave. |
Toute remise en question de la sécurité du réseau est grave.
Avec ce genre de methode, tu peux faire rentrer et sortir ce que tu veux du réseau, peut être que pour toi c'est super pratique, pour les admins c'est un peu un cauchemar.
Citation : A mon avis faire du ssh par https, la plupart des admins penseraient même pas que c'est possible. |
Mais bien sur, prend tous les admins pour des cons.
Un truc qu'un rigolo comme toi a du trouver en 30 secondes de google c'est evidemment totalement inconnu de la plupart des admins...
Citation : Enfin pour moi le plus grave qu'on puisse faire avec ça c'est de mettre à dispo depuis l'exterieur et pour nimporte qui l'intranet et toutes les machines du parc et des données sensibles. |
Tu veux pas l'admettre pour te rassurer, mais tout ça c'est du pareil au même.
Citation : Bref se faire virer pour ça, personnellement j'y crois pas. |
Et ben continue a faire ton malin, faudra juste pas t'etonner le jour ou il t'arrivera des bricoles.
Citation : Pour moi l'interet d'un proxy etait d'empecher tout d'abord les acces depuis l'exterieur, mais bon ça un firewall normal le fait, mais surtout d'eviter qu'un troyen puisse se connecter de l'interieur vers l'exterieur. |
Tu ne sais visiblement pas du tout ce que sont un proxy et un firewall...
Citation : Je m'interesse pas du tout au hacking ou autre, donc me faire traiter de pirate pour ça je trouve ça un peu déplacé. |
Compromettre d'une façon ou d'une autre un syteme d'information qui ne t'appartient pas = piratage, pas besoin d'aller hacker les serveurs de la CIA pour ça.
Marsh Posté le 19-11-2005 à 01:04:17
Citation : J'ai bien sur attendu que tu viennes sur ce topic pour apprendre l'existence de cette méthode, c'est d'ailleurs pour ça que je parlais d'httport dans mon 1er post |
Tu es hautin là ou c'est moi qui délire ?
Citation : Toute remise en question de la sécurité du réseau est grave. |
C'est pas la remise en question qui est grave.
Ce qui est grave c'est de mettre en péril le réseau et son contenu.
Faire un tunnel ssh pour son utilisation personnelle ne mettra pas la réseau en péril.
Citation : Mais bien sur, prend tous les admins pour des cons. |
Il remet ça sur le tapis.
ahah gros con.
Etant donné que tu persistes à croire que je le pense, voilà, c'est dit spécialement pour toi.
Citation : Tu veux pas l'admettre pour te rassurer, mais tout ça c'est du pareil au même. |
Euh ouais super, me rassurer d'exactions que j'aurai comises ?
Vraiment je vais avoir du mal a prendre un ton sérieux.
Citation : Et ben continue a faire ton malin, faudra juste pas t'etonner le jour ou il t'arrivera des bricoles. |
Oh oui, fouette moi
Citation : Tu ne sais visiblement pas du tout ce que sont un proxy et un firewall... |
Si tu comptes t'en servir comme définition du Larousse ça va pas le faire c'est certain.
Citation : Compromettre d'une façon ou d'une autre un syteme d'information qui ne t'appartient pas = piratage, pas besoin d'aller hacker les serveurs de la CIA pour ça. |
Et maintenant tu trouves le moyen de me parler de la CIA, il faut le faire quand même !
Manquerai plu que tu parles de Sarkozy
Tu es vex qu'on puisse allégrement passer à travers un proxy sans hack et tu viens pourrir ce topic.
T'as qu'a demander à le faire fermer et nous faire bannir.
Ou alors tu viens nous prevenir pour notre bien, mais ça non j'y crois pas.
Bonne chasse
Marsh Posté le 18-11-2005 à 00:47:40
Bonjour,
J'aimerai faire profiter un amis de ma connexion free dégroupée. Il se trouve que cette personne dispose d'une connexion très rapide ( RENATER ) mais qui est derrière un proxy/firewall très restrictif. Il ne peut utiliser que son port 80 pour toutes les connexions entrantes et sortantes. (443 pour du ssl surement )
J'aimerai donc lui faire office de FAI avec sa connexion http. Pour cela, j'ai pensé a crée un vpn entre nos deux pc sur le port 80. Il va se connecter avec son ip sur le serverur vpn et par conséquent se verra attribuer une ip privée. Ensuite il faut modifier sa table de routage avec un script qui fait en sorte que tout traffic entrant/sortant de l'interface réseau locale ( de sa connexion RENATER ) soit redirigé vers l'interface virtuelle créée par le vpn. De l'autre coté, il faut que tout trafic entrant sur l'interface du vpn soit redirigé vers la freebox pour exécuter la requette demandée et lui envoyé ensuite sur le vpn le résultat.
Conclusion : Mon pot veut se connecter en TCP sur le port 6699 :
[ requette 10.1.1.2:6699 en TCP ]
son_ip_publique-->client_vpn ======================== > serveur_vpn-->ip_publique_freebox
201.x.x.x 10.1.1.2 10.1.1.1 81.x.x.x
[ résultat de la requette 10.1.1.1:80 ]
Interface locale<--Interface virtuelle <======================== serveur_vpn<--ip_publique_freebox
201.x.x.x 10.1.1.2 10.1.1.1 81.x.x.x
Mes questions sont les suivantes :
- Ce schémas est il réalisable ?
- Si oui, est ce que OpenVpn conviendrai-il comme client/serveur vpn
- Comment faire en sorte que le serveur vpn transmette la requête demandée à la freebox, récupérer le résultat et le renvoyer à mon pot
Je suis bien sur ouvert à toute autre alternative. Je vous remercie donc de votre lecture pour ceux qui sauront réponde pour leur savoir faire
Message édité par brethold le 18-11-2005 à 00:58:15