Auteur Sujet: Quelle technologie VPN choisir afin de servir un service self hosted via un VPS  (Lu 1421 fois)

0 Membres et 1 Invité sur ce sujet

Mihoko-Okayami

  • Client Bbox fibre
  • *
  • Messages: 42
  • Saint Cezaire sur Siagne, 06530
    • Mihoko Okayami
Hello,

J’héberge plusieurs petits services sur des serveurs dans le garage, notamment quelques serveurs de jeu pour des amis et moi-même.
Pour les services web, Cloudflare "gratuit" semble pour le moment suffisant ( protection ddos, non exposition de mon ip perso ),
mais pour les serveurs de jeu, c'est une autre histoire ...

J'ai donc pour projet de prendre un petit VPS à 6,99€ disposant de l'anti-ddos "game" d'OVH ( avec 1vCPU, 2Go RAM, ... ),
et d'y installer un VPN personnel afin d'y connecter mes serveurs de jeu et donc,
d'avoir l'esprit "tranquille" & à moindre cout niveau ddos.

=> Quelle technologie ( PPTP, GRE/IPSec, ... ) conseillez-vous pour cet usage ?
Schéma "vulgaire" : https://pix.milkywan.fr/lDpFFbyL.PNG ( en rouge, la brique que je souhaite ajoute )

Notes :
- A la maison, les serveurs tournent sous Alpine Linux.
- Le VPS que je vise utilise OpenVZ, j'ai modif le container afin d'aussi être sous Alpine Linux, mais limitation au kernel host 4.19.0.
- Pas besoin d'IPv6 ( car de toute façon, pas encore dispo sur mon offre Bouygues 2Gb via réseau Altitude Infrastructure )

Par avance, merci de vos conseils !

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 9 460
  • Paris (19ème)
    • Twitter
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #1 le: 17 février 2021 à 14:49:35 »
GRE ou L2TP, le premier passe pas les NAT, le second oui.

L'avantage c'est que tu n'as pas de chiffrement donc des bonnes perfs et moins de complexité

Mihoko-Okayami

  • Client Bbox fibre
  • *
  • Messages: 42
  • Saint Cezaire sur Siagne, 06530
    • Mihoko Okayami
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #2 le: 17 février 2021 à 15:17:52 »
Merci Hugues  ;) !

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #3 le: 17 février 2021 à 19:22:48 »
on est en 2021: Wireguard (a la mano ou via Tailscale).
c'est 10x plus simple que n'importe quoi d'autre et aussi performant en plus d'être chiffré.

Avec Tailscale , tu mets le client sur toutes les machines concernées et tu peux inviter des amis via leur email ( https://tailscale.com/kb/1084/sharing )

Y'a pas de centralization des flux plus besoin de VPS,  tout ce fait en P2P, tailscale ne servant qu'a configurer les clients Wireguard dans chaque machine.
Ca marche meme d'une machine derriere un  NAT a une autre machine derriere NAT sans ouvrir aucun port.

Darkjeje

  • Client Free adsl
  • *
  • Messages: 555
  • Free VDSL2 Issy-les-Moulineaux (92)
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #4 le: 17 février 2021 à 22:12:01 »
on est en 2021: Wireguard (a la mano ou via Tailscale).
c'est 10x plus simple que n'importe quoi d'autre et aussi performant en plus d'être chiffré.

Avec Tailscale , tu mets le client sur toutes les machines concernées et tu peux inviter des amis via leur email ( https://tailscale.com/kb/1084/sharing )

Y'a pas de centralization des flux plus besoin de VPS,  tout ce fait en P2P, tailscale ne servant qu'a configurer les clients Wireguard dans chaque machine.
Ca marche meme d'une machine derriere un  NAT a une autre machine derriere NAT sans ouvrir aucun port.

Rapide question hors sujet pour toi kgersen.
On peut installer wireguard sur un QNAP sans passer par docker ? Car j'ai pas l'impression que Wireguard soit supporté d'après mes rapides recherches ?

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 9 460
  • Paris (19ème)
    • Twitter
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #5 le: 17 février 2021 à 22:36:23 »
on est en 2021: Wireguard (a la mano ou via Tailscale).
c'est 10x plus simple que n'importe quoi d'autre et aussi performant en plus d'être chiffré.
Je fais du Wireguard aussi, je ne vois pas en quoi c'est plus simple qu'un tunnel stateless comme GRE.
Et le chiffrement fait perdre des perfs, c'est des maths, c'est factuel.

Je ne vois pas en quoi être un 2021 devrait être un prétexte pour faire des usines à gaz qui vont carrément taper des services externes.

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #6 le: 18 février 2021 à 08:54:00 »
Rapide question hors sujet pour toi kgersen.
On peut installer wireguard sur un QNAP sans passer par docker ? Car j'ai pas l'impression que Wireguard soit supporté d'après mes rapides recherches ?

aucune idée. Je ne connais pas les NAS QNAP.
Mais a la vue de https://github.com/ivokub/tailscale-qpkg, je dirais oui (ils utilisent Docker pour build le client tailscale (qui inclus wireguard) mais pas pour le run on dirait. essai avec wireguard-go dans ce cas, il me semble que tailscale l'utilise aussi).

Je fais du Wireguard aussi, je ne vois pas en quoi c'est plus simple qu'un tunnel stateless comme GRE.
Et le chiffrement fait perdre des perfs, c'est des maths, c'est factuel.

Je ne vois pas en quoi être un 2021 devrait être un prétexte pour faire des usines à gaz qui vont carrément taper des services externes.

question de qui fait quoi et de temps a y consacrer. Tout le monde n'est pas forcement toi ou n'a pas forcement le temps ou l'envi de passer des heures a installer puis gérer et maintenir un vps et des configs manuelles.

vu qu'il passe déjà par Clouflare , aka "une usine à gaz qui utilise un service externe", c'est qu'il n'est pas hostile a ce genre de solutions simples et "turnkey".

Le but ici est de donner un max de solutions possibles sachant que la 'meilleure' n'existe pas et dépend de plein de paramètres, notamment humains.

Pour ce qui est des tunnels GRE, j'en ai conseillé pendant longtemps, avant  les années 2000 même. J'en ai mis en place partout jusqu'au jour ou je l'ai regretté fortement a cause du non chiffrement. Même en situation 'perso' et pas pro, je ne recommanderai plus jamais de faire du GRE non chiffré. Chacun a son vécu sur ce sujet.

En plus le besoin exprimé parle de serveurs de jeux vidéo pas de transfert haut-débit...donc  niveau perfs entre un GRE et wireguard ca doit pas se sentir...

Mihoko-Okayami

  • Client Bbox fibre
  • *
  • Messages: 42
  • Saint Cezaire sur Siagne, 06530
    • Mihoko Okayami
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #7 le: 18 février 2021 à 09:26:36 »
Pas vraiment chaud pour un service externe en plus :-X

Au passage, si la solution de me "cacher"derrière un petit VPS low budget avec un tunnel & du port forwarding s'avère réellement concluante,
je pense également m'affranchir de Cloudflare pour servir mon 80/443 via cette solution également ( n'ayant pas un réel besoin de CDN ).

Je vais faire plusieurs essais ( GRE / L2TP / Wireguard ) et voir le niveau de performance ( débit / consommation / stabilité ),
bien qu'avec les performances aléatoires d'un VPS low budget, mes résultats risquent de ne pas être vraiment fiables ...

C'est dommage, du self hosting, il ne me reste plus que le plaisir de maintenir quelques machines ;D c'est tellement la jungle dehors
que sans se protéger derrière ce genre de solutions centralisatrices #OVH ( qui du coup, retire un gros argument au "pourquoi le self hosting" ),
je risque encore de me voir refuser la commande d'extinction des lumières par Siri car quelqu'un test un ip stresser sur mon adresse IP ...

---

Edit : pour Wireguard, le VPS étant sous OpenVz, chargement du module kernel impossible ( try plusieurs petites bidouilles sans succès )
« Modifié: 18 février 2021 à 11:20:44 par Mihoko-Okayami »

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #8 le: 18 février 2021 à 11:31:19 »
Pas vraiment chaud pour un service externe en plus :-X

oui tailscale n'est qu'un plus pour configurer wireguard, tu peux le faire  a la main directement si tu veux le fun.

coté perf, wireguard sur un VPS OVH 1 core j'atteint les limites de la BP du VPS ( 100 Mbps) avec 30% du cpu avec iperf3.
C'est VPS 2016 SSD 1 donc pas récent.
En direct sans wireguard j'ai 15% du cpu avec iperf3.
donc, a la louche, wireguard rajoute 15% de cpu pour  100Mbps.

Mihoko-Okayami

  • Client Bbox fibre
  • *
  • Messages: 42
  • Saint Cezaire sur Siagne, 06530
    • Mihoko Okayami
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #9 le: 18 février 2021 à 11:48:26 »
En effet, 15% d'utilisation CPU sur un petit VPS, c'est très correct !
Merci pour les informations kgersen.

Douks

  • Client Orange Fibre
  • *
  • Messages: 161
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #10 le: 25 février 2021 à 16:53:41 »
Ben hamachi cébien ?

J'ai fais quelque chose de semblable avec Wireguard (faut d'avoir réussi à monter un tunnel L2TP sans chiffrement. Aheum aheum  :-X). Le serveur est sur une instance stardust et ça tourne correctement, mais le trafic sur celui-ci reste léger.

J'en ai un second pour un (ex) serveur de jeu hébergé sur une brêle OneProvider, toujours avec Wireguard malheureusement (mais vu les perf du serveur, je m'en fiche un peu de l'utilisation du CPU). Les pings affichés en jeu n'ont quasiment pas bougés, ils se sont un peu améliorés pour l'Asie. J'ai même vu des joueurs d'autres pays arriver (hasard ou pas).

Je ne sais pas si c'est considéré comme une façon de faire "propre" par les pros du réseau, mais en tout cas c'est bien pratique pour ajouter un peu de protection ou pour "avoir" plusieurs IP à la maison

Citation de: kgersen
Même en situation 'perso' et pas pro, je ne recommanderai plus jamais de faire du GRE non chiffré.
Mais du coup, si ce qui passe dedans est déjà chiffré à la base (HTTPS au hasard), ça sert à rien de chiffrer au dessus de ça ?!

Mihoko-Okayami

  • Client Bbox fibre
  • *
  • Messages: 42
  • Saint Cezaire sur Siagne, 06530
    • Mihoko Okayami
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #11 le: 25 février 2021 à 18:44:38 »
De mon côté, je ne vous partage pas encore mon retour d’expérience car je galère avec le port forwarding via iptables pour Wireguard  ;D
( le but étant de n'avoir que quelques services de la machine via le tunnel Wireguard )