vpn entre OpenVPN et un Cisco (ipsec)

vpn entre OpenVPN et un Cisco (ipsec) - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 15-11-2007 à 18:44:40    

Salut,
 
j'ai a monter un VPN entre un serveur tournant sous Debian Etch et un Cisco Pix (je ne connais pas le modèle, il est situé aux US). J'ai cherché de la doc sur le net, mais toutes les solutions que j'ai trouvé proposaient des VPN d'OpenVPN à OpenVPN, et pas de OpenVPN vers "autre".
 
Je ne souhaites pas utiliser d'échanger de certificat SSL, mais uniquement une preshared-key. Si vous avez une bonne doc à me proposer, ou des conseils à m'apporter, je suis preneur ! J'ai également jeter un oeil du coté de racoon, est ce que ce soft peut me permettre de faire ce que je veux, sans passer par OpenVPN ?
 
Petite précision, le serveur qui fera office de concentrateur VPN est une des machines du LAN, cela ne devrait pas poser de problème... je me trompe ?
 
Merci d'avance pour vos conseils !

Reply

Marsh Posté le 15-11-2007 à 18:44:40   

Reply

Marsh Posté le 16-11-2007 à 21:34:45    

Ca fait de l'IPSec OpenVPN ? :heink:
 
Regarde plutôt du côté des IPSec-Tools : http://sourceforge.net/projects/ipsec-tools/


Message édité par BMenez le 16-11-2007 à 21:35:58
Reply

Marsh Posté le 16-11-2007 à 21:57:31    

merci pour ta réponse et en effet, je me suis penché du coté de ipsec-tools et racoon... cependant entre temps, la boite qui nous reclame le vpn a décidé de mettre en place des cisco dédié à ca vu qu'ils ont de la tune a claquer au lieu d'utiliser des logiciels libre  [:kiki]

Reply

Marsh Posté le 16-11-2007 à 22:04:40    

ils achètent surtout un contrat de support.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 17-11-2007 à 10:49:23    

dreamer18 a écrit :

ils achètent surtout un contrat de support.


 
Le bonne blague :love:
M'enfin si ça peut les rassurer de claquer du fric bêtement pourquoi pas...

Reply

Marsh Posté le 17-11-2007 à 11:42:27    

tu fais de la GTR 4 heures avec de l'openvpn quand ça tombe en panne ? quand y a un bug t'appelle qui ? une mailing list ? super support :D


Message édité par dreamer18 le 17-11-2007 à 11:42:51

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 17-11-2007 à 11:55:58    

si y'a un admin d'astreinte derriere ca prend 10mns (si tout va bien) ;-)

Reply

Marsh Posté le 17-11-2007 à 12:05:09    

c'est ce que je dis, y a pas de support. Parce qu'entre nu truc fait maison et ça : http://www.vantronix.com/ (basé sur openbsd) je pense que la comparaison est dure à tenir.


Message édité par dreamer18 le 17-11-2007 à 12:07:59

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 17-11-2007 à 12:43:50    

Je comprends que ça rassure ceux qui ne connaissent rien mais lorsque ton équipe met en place un OpenVPN, elle est capable de dépanner (ou alors tu as un vrai problème de gestion de ton entreprise...)

Reply

Marsh Posté le 17-11-2007 à 12:56:04    

Quand il y a un bug tu te retournes vers qui ?
pour la maintenance tu te retournes vers qui ?
pour la formation tu te retournes vers qui ?
 
la solution "fait maison" est tout juste bon pour la PME.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 17-11-2007 à 12:56:04   

Reply

Marsh Posté le 17-11-2007 à 13:11:21    

dreamer18 a écrit :

Quand il y a un bug tu te retournes vers qui ?
pour la maintenance tu te retournes vers qui ?
pour la formation tu te retournes vers qui ?


 
Tes fournisseurs ne t'ont jamais fait un coup de Trafalgar ?
Pour avoir eu des embrouilles avec certains (dont Cisco), je préfère m'assurer que je maitrise au minimum ce qui intervient dans mon SI ;)
Mais c'est surement moi qui m'y prend comme un manche avec ces gens là... (ceux qui vendent un "contrat de support adapté" :lol:)


Message édité par BMenez le 17-11-2007 à 13:13:09
Reply

Marsh Posté le 17-11-2007 à 13:17:56    

bah j'ai travaillé chez un partenaire gold cisco, quand j'ai des problèmes chez un client :
 
- bug ou problème de conf : j'ouvre un case, dans l'heure un mec du TAC prend contact avec moi.
- carte de supervision en panne, le client ouvre l'appel, la carte de spare était sur site dans les deux heures, livrée par DHL.
 
Je ne nie pas le fait qu'il puisse y avoir des problèmes, mais perso je n'ai  jamais eu en direct de gros souci


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 21-11-2007 à 04:14:30    

dreamer18 a écrit :

bah j'ai travaillé chez un partenaire gold cisco, quand j'ai des problèmes chez un client :
 
- bug ou problème de conf : j'ouvre un case, dans l'heure un mec du TAC prend contact avec moi.
- carte de supervision en panne, le client ouvre l'appel, la carte de spare était sur site dans les deux heures, livrée par DHL.
 
Je ne nie pas le fait qu'il puisse y avoir des problèmes, mais perso je n'ai  jamais eu en direct de gros souci


 
Oui, alors la, c'est de la belle theorie .. parce qu'en pratique, on en est loin, excuse moi ...
J'ai deja eu pas mal de bug avec cisco ou la resolution du probleme etait loin de ce que tu dis ...
Sans compter les procédure de debug halluciante (quoi? vous avez un bug avec une carte de votre chassis de backbone? rebootez-le, et rappelez nous ... super pratique)

Reply

Marsh Posté le 21-11-2007 à 06:29:57    

quand t'ouvre un case en niveau 1 les mecs du tac se connectent sur tes bécanes, alors c'est sur faut un CCIE d'astreinte devant les machines, dans mon ancienne société c'est arrivé 2 fois mais dans l'heure le tac était en console sur les machines.
 
J'ai déjà ouvert des cases pour des trucs complexes (FWSM, VPN-SPA...) et j'ai jamais eu de problème notoire (à part une réponse évasive sur les virtual links une fois) même s'il est vrai que je n'ai jamais eu le cas du bug qui impacte fortement une prod.
 
j'ai eu infiniment plus d'emmerdes avec le TAC Citrix que le TAC Cisco :/


Message édité par dreamer18 le 21-11-2007 à 06:58:43

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 21-11-2007 à 08:57:56    

trictrac a écrit :


quoi? vous avez un bug avec une carte de votre chassis de backbone? rebootez-le, et rappelez nous ... super pratique


 
j'adore :love: ca me rappel un probleme avec du Foundry où notre intégrateur S*** *** nous avait proposer de la merde et faisait ensuite du relais de mails alors qu'on avait une presta de support chez eux :/  
 
enfin bref dans l'absolu faut savoir nouer de bons contacts chez ses fournisseurs l'idéal étant directement chez le constructeur et ça ça vaut tous les supports du monde parce que des fois memes les TAC spa ça ;) par exemple pour l'anecdote précédente c'est sympa quand on arrive a avoir la réalisation d'un nouvelle OS en -24h en pasant par les bonnes personnes :whistle:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed