VPN - C'est pas clair :o

VPN - C'est pas clair :o - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 28-09-2016 à 08:33:16    

Bonjour

 

Voilà, alors pour moi c'est un peu flou le VPN :o
Ce qui me perturbe c'est l'existance de Firewall/VPN hardware du genre Netgear FVS318. On dirait qu'il n'y a plus que du matos ancien (le plus récent de chez netgear date de 2012...)

 

Bref, je vous explique.
Histoire de faire de la vidéo surveillance à distance, je me suis dit qu'une connexion vpn était le choix le plus sécurisé plutôt que d'exposer les dizaines de ports des caméras IP et du switch (smart-managed).

 

On est d'accord, une connexion site to site vpn, est le meilleur choix?

 

Mais niveau matos, j'ai besoin de quoi pour connecter mon réseau local à l'autre réseau distant?
Est-ce qu'il me faut un FVS318 de chaque côté??? Un seul suffit n'est-ce pas?

 

Ou est-ce mieux une solution software avec un mini-pc dédié?

 

Merci


Message édité par fredo3 le 28-09-2016 à 08:43:45
Reply

Marsh Posté le 28-09-2016 à 08:33:16   

Reply

Marsh Posté le 28-09-2016 à 12:09:59    

Bon je viens de mater quelque video.

 

Donc si je comprends bien:
- un VPN hardware suffit, faudra par contre utiliser un logiciel VPN client sur tous les PC voulant accéder au tunnel.

 

- alors qu'avec des VPN hardware des 2 côtés il n'y a pas besoin d'utiliser de logiciel VPN client sur les PC voulant accéder au tunnel.

 

- avec un VPN purement software (OpenVPN) faut un PC qui sert de serveur.

 


Juste?


Message édité par fredo3 le 28-09-2016 à 12:11:00
Reply

Marsh Posté le 28-09-2016 à 13:50:47    

oui en gros


---------------
IT IS UNREFUTABLE - WHEREVER THIS TYRANT TRANSPORTS, DISASTER FOLLOWS
Reply

Marsh Posté le 28-09-2016 à 14:27:56    

mmh, il n'y aurait pas un routeur/switch managed (récent) qui ferait VPN et qui aurait 16 ports PoE et à un prix acceptable???

 

Il y a le Cisco RV325 qui semble vraiment intéressant mais ses ports ne sont pas PoE et je voudrais éviter de devoir utiliser masse d'injecteurs PoE, surtout que j'aimerais pourvoir commander la mise sous tension de chaque port à distance.

 

Surtout que j'aimerais une config qui consomme "peu", je voudrais donc éviter de multiplier les appareils inutilement.
Ces machins consomme déjà beaucoup en idle. C'est dommage d'avoir un VPN hardware avec x ports dispo si dernière il me faut un switch PoE de 16 ports, qui fait doublon dans 90% des fonctions.


Message édité par fredo3 le 28-09-2016 à 14:34:04
Reply

Marsh Posté le 28-09-2016 à 14:30:22    

routeur avec 16 ports poe tu peux oublier à mon avis.


---------------
IT IS UNREFUTABLE - WHEREVER THIS TYRANT TRANSPORTS, DISASTER FOLLOWS
Reply

Marsh Posté le 28-09-2016 à 14:35:56    

:/
 
Mais pourquoi les switch managed ou routeur n'ont-ils pas tous ces fonctions serveur VPN? Ce n'est que du software, bon à la limite faut peut-être des unités de chiffrement supplémentaires sur leur SoC, mais bon dieu, ça coûte rien du tout ces trucs SoC de nos jours.

Reply

Marsh Posté le 28-09-2016 à 14:51:24    

pour les switchs : personne n'a besoin de VPN dessus.
pour les routeurs : la plupart font VPN


---------------
IT IS UNREFUTABLE - WHEREVER THIS TYRANT TRANSPORTS, DISASTER FOLLOWS
Reply

Marsh Posté le 28-09-2016 à 15:00:32    

Bon.
Une dernière question.

 

Objectivement, entre Netgear et D-Link, quelle marque est reconnue pour avoir le hardware le plus fiable et ayant les firmware les plus surs?


Message édité par fredo3 le 28-09-2016 à 15:01:01
Reply

Marsh Posté le 28-09-2016 à 18:21:34    

Ni l'un, ni l'autre.
Ubiquity. (bon par contre c'est en ligne de commande sur le Edge Router, mais en client c'est simple et on retrouve les mêmes options suivant ton client VPN)


Message édité par bardiel le 28-09-2016 à 18:26:56

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 28-09-2016 à 19:09:43    

Je ne connaissais même pas cette marque :D

 

Bon pour le routeur VPN j'étais partant pour du Cisco RV325

 

Mais d'après quelque commentaires sur Amazon, la gamme "Small Business" serait en fait du matos Linksys et serait pas mal buggué, du genre, il plante et il faut carrément couper le courant pour qu'il se réinitialise /bref gros problème pour un routeur qui se trouve à distance :D ). Après bon...

 

C'est pour le switch smart managed que j'hésitais en D-Link et Netgear (plutôt partant pour du D-Link DGS-1100-24P).

 

Ubiquity, c'est juste le truc à la mode ou c'est fondé cette opinion positive de cette marque?


Message édité par fredo3 le 28-09-2016 à 19:18:56
Reply

Marsh Posté le 28-09-2016 à 19:09:43   

Reply

Marsh Posté le 29-09-2016 à 18:25:02    

Ils faisaient surtout les pros, mais se sont diversifiés en proposant leurs modèles en fonctions "plus réduites" (moins de ports) pour les TPE.
Comme ça se trouve facilement (LDLC par exemple), on peut s'équiper à titre perso de matos de chez eux.
J'avais mis le lien vers le topic ici des utilisateurs du matos Ubiquity.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 01-10-2016 à 21:08:25    

Merci

 

Le GUI des Ubiquity est à des années lumière des autres, faut avouer.

 

Mais si j'ai bien compris, faut installer un software sur un PC, le switch/routeur ne possède pas de page web administrable, seulement du CLI. C'est bien ça?

 

Bon un truc qui me déplaît, contrairement aux récents Cisco, l'Ubiquity ne supporte que le SHA-1, or il est vulnérable. :/

 

Pour le VPN, ben le manuel en parle très peu. J'ai l'impression que le support est très basique comparé aux Cisco, je suis un peu perdu.
Faut que je jette encore un oeil au divers protocole...

 

Site-to-site VPN
SSL VPN
...

 

C'est flou.

Message cité 1 fois
Message édité par fredo3 le 01-10-2016 à 21:26:52
Reply

Marsh Posté le 02-10-2016 à 02:25:18    

Salut,

fredo3 a écrit :

Mais si j'ai bien compris, faut installer un software sur un PC, le switch/routeur ne possède pas de page web administrable, seulement du CLI. C'est bien ça?


 
Non, tu as aussi une interface d'admin web. Le soft sur le PC sert par exemple pour administrer des flottes de points d'accès wifi. Pas d'intérêt pour manager un simple routeur.
Par contre toutes les options ne sont pas forcément paramétrables facilement en GUI, et il faut de temps en temps sortir la ligne de commande.
 
 

fredo3 a écrit :


Bon un truc qui me déplaît, contrairement aux récents Cisco, l'Ubiquity ne supporte que le SHA-1, or il est vulnérable. :/


 
Heuu pas vraiment non. Tu as regardé quoi exactement ? Le manuel de quel matériel ? Quel type de VPN ?
J'ai l'impression que tu as des notions relativement floues sur le truc, et que tu essaies de te raccrocher à fond à ce que tu connais (je suppose que t'as déjà bossé sur du Cisco, ou alors c'est un nom qui rassure ?).
 
Tu dois monter quoi exactement comme infra, pour quel budget ?

Reply

Marsh Posté le 02-10-2016 à 08:47:31    

Salut
 
OK, j'ai du confondre alors.
 
Pour le sha-1 et VPN
Et bien simple, j'ai regardé la documentation. D'une part il n'y a que quelque paramètres dispo sur le GUI, d'autre part dans la doc ça en parle sur 1 page à peine. Ça fait un peu léger.
 
Alors que sur les Cisco t'as des tonnes d'options, et des doc complètes sur le sujet.
Sans parler du support du SHA-2.
 
Donc oui l'Ubiquity me plaît plus de part son GUI et matos (Routeur 5 ports POE), mais niveau richesse de fonctions, j'ai l'impression que le Cisco se débrouille mieux, quitte à ce que ce soit plus complexe à paramétrer.
 
Mes besoins:
- "fusionner" 2 réseaux distants (2 routeur vpn) sans avoir à installer de logiciel vpn client sur les PC. J'imagine que c'est du Site-to-Site VPN.
- que je puisse aussi me connecter à un des routeur avec mon Phone en VPN.


Message édité par fredo3 le 02-10-2016 à 08:55:10
Reply

Marsh Posté le 02-10-2016 à 11:21:44    

A l'heure actuelle, en firmware 1.9, voici la liste des algos implémentés sur le matos Ubiquiti pour le hashage ESP :

 

En accéléré niveau CPU : md5, sha1, sha256
En non accéléré niveau CPU (calculé en software) : sha384, sha512

 

Source : changelog du firmware 1.9

 

Il est vrai que chez Ubiquiti la doc n'est pas super centralisée et que tu n'as pas de "bible" qui te sort toutes les options possibles sur chaque type de matériel.

 

La doc que tu as consultée sert juste plus ou moins de "tour de table" pour présenter la GUI. La véritable doc n'est pas sous forme d'un PDF mais se consulte sur leur wiki et forum pour des exemples pratiques de mise en place de conf.

 

Après, leur matos n'est pas du tout tarifé comme du Cisco, et ils n'ont pas de manne de revenu via un support payant. Du coup ils se concentrent plus sur le hardware et les mises à jour firmware que sur la doc.

 

Au final, je pense qu'il faut aussi replacer le matériel non pas par rapport à ce qu'il te permet de faire en théorie (parce que je ne doute pas qu'un "vrai" routeur Cisco, je ne parle pas des modèles d'entrée de gamme, sait faire plus de choses), mais aussi par rapport aux tarifs et à tes besoins réels.

 

Un UBNT a moins de 100€ route du 1Gbit/s, te permet de faire du VPN l2tp/ipsec accéléré hard à des vitesses > 100 Mbit/s (en général aux alentours de 150Mbit/s). Il y a forcément des contreparties.


Message édité par ccp6128 le 02-10-2016 à 12:09:00
Reply

Marsh Posté le 02-10-2016 à 12:18:31    

C'est aussi pour ça que j'ai lancé sur Ubiquity... quand ça parle "je prend quoi entre Netgear et D-Link", on se doute que ce n'est pas pour sortir du Cisco à 500euroboules l'entrée de gamme correct avec les fonctions recherchées.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 02-10-2016 à 12:22:11    

Ah non, Netgear et D-Link c'était juste pour un bête switch :D

 


Pour les routeurs en question, c'est soit:
- Cisco RV320 / RV325 qui est à 140€ respectivement 250€ (sachant qu'il n'est pas PoE, je pense que le RV320 me suffirait vu qu'il me faudra un switch PoE avec plein de ports de toute façon)

 

- soit l'Ubiquiti EdgeRouter PoE ERPOE-5 à 150€

 

Vais jeter un coup d'oeil au wiki d'Ubiquity alors :jap:

 


Merci


Message édité par fredo3 le 02-10-2016 à 12:57:24
Reply

Marsh Posté le 02-10-2016 à 13:17:45    

Par rapport aux specs des RV320/325, pour moi l'EdgeRouter est moins limité pour l'ensemble des fonctionnalités à part l'URL Filtering et le support d'un modem 3G/4G via USB (plus de fonctionnalités, pas de limitation au niveau du nombre de règles applicables).
 
Apres vu que le budget est équivalent, prend le matériel avec lequel tu te sens le plus à l'aise.
 
Edit : je ne vois pas le support du sha2 dans les specs du RV320 par contre.


Message édité par ccp6128 le 02-10-2016 à 13:37:01
Reply

Marsh Posté le 02-10-2016 à 16:23:19    

Ouep c'est pas dans le datasheet et manuel. Mais je l'ai vu sur une video demo sur Youtube, le SHA-2 256 était dans la droplist :D (bref doc pas à jour non plus).

 

Vais regarder quelque vidéos youtube sur la configuration VPN des Edgerouter. J'espère qu'il n'y a pas de lignes de commande à taper, parce que c'est bien ça qui me rebute un peu.

 

Vais prendre ce qui me semble le plus simple à configurer  :jap: .


Message édité par fredo3 le 02-10-2016 à 16:40:02
Reply

Marsh Posté le 02-10-2016 à 17:03:02    

Mm sur cette vidéo du Edge Router 5 ports PoE, il n'y a que du Sha1, pourtant la vidéo date de ce mois. Son firmware ne serait pas à jour?
https://youtu.be/RY4rmmahruw
 
(Vers les 5 minutes)

Reply

Marsh Posté le 02-10-2016 à 18:44:18    

L'option n'est pas disponible en GUI. En CLI tu as autrement plus de choix, capture d'écran prise à l'instant sur mon matos :
 
http://i.imgur.com/5vlBDWu.png

Reply

Marsh Posté le 23-06-2017 à 21:32:50    

Bon je up ce topic.
J'ai une nouvelle question qui me vient en tête alors que suis entrain de configurer mon routeur Ubiquiti.

 

J'ai un site en 192.168.2.0/24 et un autre en 192.168.1.0/24.
Si je crée un VPN Site-To-Site entre les deux, les adresses IP locales de ne seront pas traduites, j'aurais toujours 2 réseaux distingues non?

 

En gros un équipement sur mon site A (192.168.2.0/24) ne pourra toujours pas communiquer avec mon site B (192.168.1.0/24)???
Ou est-ce que le routeur fait le routage implicitement???
Mon PC Windows sur le site A verra les autres PC présents sur le site B???

 



Message édité par fredo3 le 23-06-2017 à 21:33:57
Reply

Marsh Posté le 24-06-2017 à 20:23:22    

Up please

Reply

Marsh Posté le 26-06-2017 à 12:58:38    

normalement sur du site to site, le routage est implicite.
après ça dépend parfois des fabricants.
c'est une route a ajouter de chaque coté.
 
pour le PC A qui voit les machines du site B, si la question est "Est-ce que le service de découverte réseau va marcher", la réponse est non.
les trames de broadcast ne passent pas les routeurs.

Reply

Marsh Posté le 26-06-2017 à 13:08:59    

Ok merci :jap:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed