« VPN Intranet » : différence entre les versions

An alternative space dedicated to technology and culture at Charleroi.
Aller à la navigation Aller à la recherche
Ligne 2 : Ligne 2 :
Le terme intranet prend tous son sens lorsque son accès est réservé avant tout aux gens interne au projet. Dans notre cas nous avons un intranet qui se présente comme un extranet mais au final accessible comme un site internet... Donc voici un premier pas vers un vrai intranet via la mise en place d'un serveur VPN que nous utiliserons pour accéder aux ressources internes au projet et donc accessible a tous les membres du projet via un simple client vpn. Ce VPN sera aussi très utile dans le cadre d'échange d'informations/fichiers. On pourrait de manière plus sécurisé proposé un NFS pour du partage, par exemple, avec une synchro différentielle et l'auth SSL du VPN. Le SSL n'est pas LA solution car reste facilement contournable dans le cas de MITM et de fasification de CA mais c'est mieux que rien. J'ai écris un fichier de config' basique mais fonctionnel pour le serveur et les clients ainsi que les infos commune pour les SSL. (Les infos étant a adapter dans le cas de des cert clients).
Le terme intranet prend tous son sens lorsque son accès est réservé avant tout aux gens interne au projet. Dans notre cas nous avons un intranet qui se présente comme un extranet mais au final accessible comme un site internet... Donc voici un premier pas vers un vrai intranet via la mise en place d'un serveur VPN que nous utiliserons pour accéder aux ressources internes au projet et donc accessible a tous les membres du projet via un simple client vpn. Ce VPN sera aussi très utile dans le cadre d'échange d'informations/fichiers. On pourrait de manière plus sécurisé proposé un NFS pour du partage, par exemple, avec une synchro différentielle et l'auth SSL du VPN. Le SSL n'est pas LA solution car reste facilement contournable dans le cas de MITM et de fasification de CA mais c'est mieux que rien. J'ai écris un fichier de config' basique mais fonctionnel pour le serveur et les clients ainsi que les infos commune pour les SSL. (Les infos étant a adapter dans le cas de des cert clients).


== Configurations ==
== Architecture ==
=== Services ===
OpenVPN comme serveur semble le choix le plus simple.


=== SSL ===
=== Node ===
<source lang="text" line>
Les points d'entrée dans l'intranet seront répartis géographiquement pour des questions de charge et de continuité de services. De plus un réseau distribué est beaucoup plus intéressant qu'un réseau centralisé qui atteindra plus vite ses limites
countryName          :PRINTABLE:'BE'
Les nodes sont possèdent un NDD et une délégation d'autorité sur leur zone destine a leurs services (ex nom du membre dans home)
stateOrProvinceName  :PRINTABLE:'Hainaut'
Ces NDD seront aussi ceux employé en interne.
localityName          :PRINTABLE:'Charleroi'
organizationName      :PRINTABLE:'WolfplexHackerspace'


commonName            :PRINTABLE:'WolfplexVPN'
=== Services complémentaires ===
emailAddress          :IA5STRING:'vpnadmin@wolfplex.org'
- Asterisk
</source>


; Ou avec une OU :
Il pourrait être intéressant de fournir un service de VoIP over VPN. // TODO


<source lang="text" line>
- HotSpot
Country Name (2 letter code) [BE]:
State or Province Name (full name) [Région wallonne]:Hainaut
Locality Name []:Charleroi
Organization Name (eg, company) []:Wolfplex
Organizational Unit Name (eg, section) []:Wolfplex Hackerspace
Common Name (eg, YOUR name) []:WolfplexVPN
Email Address []:vpnadmin@wolfplex.org
</source>


=== Server ===
- Dn42/Freenet
<source lang="text" line>
port 1122
proto udp
dev tun
;utilisateur et groupe a droits limité pour le daemon
user openvpn
group openvpn


ca <ca cert filename>
[[Fichier:Hotspot.png]]
cert <cert srv filename>
key <key srv filename>
dh <diffie haleman filename>


;srv en 10.10.15.1
== Participants au projet ==
server 10.10.15.0 255.255.255.0
push "route 10.10.15.0 255.255.255.0"
push "dhcp-option DNS 10.10.15.1"
push "dhcp-option DOMAIN wolfplex.org"
; on se voit entre nous ? vlan ?
client-to-client


keepalive 10 120
Si vous désirez participer, vous pouvez inscrire ci dessous votre nom et si vous désirez être node, le matériel dont vous disposez et ce dont vous pourriez avoir besoin (sans exagérer, ne pas mettre il me faut 12 000€ pour un blade system...)
comp-lzo


persist-key
'''Nom :''' Manu404
persist-tun


status vpn-status.log
'''Services : ''' Node, Hotspot, Filesharing


; verbosité max mid ou min ? (9, 3, 1)
'''Matériel : ''' //A completer
verb <level>
 
</source>
'''Besoin : '''
=== Clients ===
<source lang="text" line>
client
dev tun
proto udp
remote 10.10.15.1 1122
resolv-retry infinite
nobind
persist-key
persist-tun
ca <ca cert filename>
cert <cert client filename>
key <key client filename>
comp-lzo
; verbosité max mid ou min ? (9, 3, 1)
verb <level>
</source>
[[Category:Ideas]]

Version du 30 janvier 2011 à 23:14

Pourquoi un VPN ?

Le terme intranet prend tous son sens lorsque son accès est réservé avant tout aux gens interne au projet. Dans notre cas nous avons un intranet qui se présente comme un extranet mais au final accessible comme un site internet... Donc voici un premier pas vers un vrai intranet via la mise en place d'un serveur VPN que nous utiliserons pour accéder aux ressources internes au projet et donc accessible a tous les membres du projet via un simple client vpn. Ce VPN sera aussi très utile dans le cadre d'échange d'informations/fichiers. On pourrait de manière plus sécurisé proposé un NFS pour du partage, par exemple, avec une synchro différentielle et l'auth SSL du VPN. Le SSL n'est pas LA solution car reste facilement contournable dans le cas de MITM et de fasification de CA mais c'est mieux que rien. J'ai écris un fichier de config' basique mais fonctionnel pour le serveur et les clients ainsi que les infos commune pour les SSL. (Les infos étant a adapter dans le cas de des cert clients).

Architecture

Node

Les points d'entrée dans l'intranet seront répartis géographiquement pour des questions de charge et de continuité de services. De plus un réseau distribué est beaucoup plus intéressant qu'un réseau centralisé qui atteindra plus vite ses limites Les nodes sont possèdent un NDD et une délégation d'autorité sur leur zone destine a leurs services (ex nom du membre dans home) Ces NDD seront aussi ceux employé en interne.

Services complémentaires

- Asterisk

Il pourrait être intéressant de fournir un service de VoIP over VPN. // TODO

- HotSpot

- Dn42/Freenet

Participants au projet

Si vous désirez participer, vous pouvez inscrire ci dessous votre nom et si vous désirez être node, le matériel dont vous disposez et ce dont vous pourriez avoir besoin (sans exagérer, ne pas mettre il me faut 12 000€ pour un blade system...)

Nom : Manu404

Services : Node, Hotspot, Filesharing

Matériel : //A completer

Besoin :

Récupérée de « https://www.wolfplex.org/w/index.php?title=VPN_Intranet&oldid=335 »