Auteur Sujet: OpenVPN: 4 Mb/s avec VPN et 95 Mb/s sans VPN  (Lu 15624 fois)

0 Membres et 1 Invité sur ce sujet

MDR

  • Abonné SFR THD (câble)
  • *
  • Messages: 11
  • FTTLA 100 Mb/s
openvpn : débit /10.
« Réponse #12 le: 31 décembre 2013 à 19:34:36 »
@ Nico: pourquoi pas.
@ Marin: j'utilise openvpn comme indiqué ds le 1er post : bibliothèque d'authentification OpenSSL ainsi que le protocole SSLv3/TLSv1.

le log donne OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
.
le fournisseur est nvpn. Pas de trop de retours négatifs sur le forum. Et pas de serveur de débit à ma connaissance.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
openvpn : débit /10.
« Réponse #13 le: 31 décembre 2013 à 19:46:53 »
Tu devrais essayer de faire des tests de débit avec des services de VPN gratuits (utilisant le même protocole) pour voir si le problème est également présent avec.

corrector

  • Invité
openvpn : débit /10.
« Réponse #14 le: 31 décembre 2013 à 21:37:35 »
TLS pour un VPN, ça craint un peu, non?

MDR

  • Abonné SFR THD (câble)
  • *
  • Messages: 11
  • FTTLA 100 Mb/s
openvpn : débit /10.
« Réponse #15 le: 01 janvier 2014 à 20:26:33 »
je vais essayer de trouver des VPN gratuits.
Pourquoi TLS est pas bon dans le cas d'openvpn  ? faille ?

corrector

  • Invité
openvpn : débit /10.
« Réponse #16 le: 01 janvier 2014 à 21:05:29 »
Non, pas de faille. Enfin, peut être, tout dépend comment tu utilises TLS (si tu utilises un chiffrement faible = faille, si tu ne vérifies pas la clé publique = faille, si tu utilises un tiers de confiance corruptible = faille etc.)

TLS = TCP = protocole conçu pour la transmission fiable d'une suite d'octets = jamais de pertes de paquets transmis par le VPN = pas bon

(En version courte, si j'ai le temps je peux te la faire en version longue.)

MDR

  • Abonné SFR THD (câble)
  • *
  • Messages: 11
  • FTTLA 100 Mb/s
openvpn : débit /10.
« Réponse #17 le: 02 janvier 2014 à 19:32:55 »
la rénégociation TLS fait appelle aux lignes suivantes:

Wed Jan 01 20:26:53 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 01 20:26:53 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 01 20:26:53 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 01 20:26:53 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 01 20:26:53 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

C'est sécurisé ou pas ?

La dernière faille dans la bibliothèque OpenSSL date de 2009 . Elle permettait de l'injection de trafic.

Ma configuration de départ utilisait le port 1194 en UDP puis en le port 443 en TCP. Pas d'amélioration. J'ai bien compris qu'encapsulé du
TCP dans du TCP est pas très bon pour le débit.

Après je reviens à mon idée de filtrage de la part de numéricable. Peut-être uns solution DPI détecte et amoindri mon débit internet. (J'ai déjà lu un histoire chez SFR pour le protocole http). Les préconisations pour éviter ces désagrèments serait un tunnel SSL via une connexion SSH afin d'encapsuler openVPn.

Bon j'en suis pas là et en tant que particulier j'ai pas besoin de ce haut niveau de confidentialité.


corrector

  • Invité
openvpn : débit /10.
« Réponse #18 le: 02 janvier 2014 à 19:41:09 »
TLSv1 hum hum. En principe c'est à éviter surtout en CBC, mais je crois qu'OpenSSL évite le piège du bloc initial prévisible (par une astuce pas du tout conforme).

Sinon l'histoire de "Data Channel" je connais pas trop, il faudrait que je m'informe plus sur l'architecture.

MDR

  • Abonné SFR THD (câble)
  • *
  • Messages: 11
  • FTTLA 100 Mb/s
openvpn : débit /10.
« Réponse #19 le: 02 janvier 2014 à 19:59:44 »
il y a l'article de bortmzeyer , qui parle de cette astuce. http://www.bortzmeyer.org/tls-renego.html
Pour le reste je suis plus consommateur qu'acteur  :-X

vivien

  • Administrateur
  • *
  • Messages: 46 993
    • Twitter LaFibre.info
openvpn : débit /10.
« Réponse #20 le: 04 janvier 2014 à 09:38:56 »
Il faut faire un traceroute vers les différents acteurs proposé et voir le ping le plus faible.

Hors de France ,c'est généralement Londres et Amsterdam qui sont les plus proche et non la suisse qui est mal relié au réseau Français.

Après un VPN gratuit qui fait du 100 Mb/s, cela n'existe pas.