Auteur Sujet: VPN : IKEv2 vs openvpn vs ... et combat de coqs  (Lu 4852 fois)

0 Membres et 1 Invité sur ce sujet

Techview

  • Abonné Free fibre
  • *
  • Messages: 89
  • Dieffenbach Au Val 67
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« le: 20 avril 2021 à 11:09:54 »
C'est bien dommage qu'ils ne proposent pas Wiregard.
Honnêtement, vu les compétences moyennes des gens sur ce forum, je comprends pas bien l'intérêt de se casser la tête avec le VPN inclu dans la box vu les limitations dont vous parlez.
Un raspberry pi avec un wireguard et c'est plié pour celles et ceux qui ont pas un routeur/pfSense/OpenWRT/tractopelle (rayez la mention inutile) derrière qui le fait déjà.

Certains ne veulent pas ce prendre la tête, et préfère utiliser les outils mis à dispo par Free, il est donc normal que nous essayons les outils, afin de faire un retour sur l'offre.

Aquarius

  • Abonné Free fibre
  • *
  • Messages: 13
  • Toulouse, 31
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #1 le: 20 avril 2021 à 11:15:26 »
Certains ne veulent pas ce prendre la tête, et préfère utiliser les outils mis à dispo par Free, il est donc normal que nous essayons les outils, afin de faire un retour sur l'offre.
Ah oui dans ce sens là ok :) C'est juste qu'on met tous la même chose dans "prise de tête"!

sf!

  • Abonné Free fibre
  • *
  • Messages: 419
  • Nord - 59
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #2 le: 20 avril 2021 à 11:22:37 »
C'est Windows qui utilise des proposals IKEv2 très insécurisés par défaut.

Ouvre le registre,
mets dans la barre d'adresse HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\
Nouveau > Valeur DWORD 32 bits
Le nom de la valeur = NegotiateDH2048_AES256
Valeur 1 pour que le client VPN de Windows propose le proposal sécurisé en plus des proposals non sécurisés (si t'as d'autres serveurs legacy)
Valeur 2 pour imposer le proposal sécurisé

Si tu ne veux pas modifier le comportement du client VPN entier, je peux te guider avec PowerShell pour modifier les proposals uniquement sur l'entrée qui correspond au VPN de la Freebox.
Pour moi, c'est juste le meilleur protocole sécurisé...

sf!

  • Abonné Free fibre
  • *
  • Messages: 419
  • Nord - 59
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #3 le: 20 avril 2021 à 11:23:23 »
C'est bien dommage qu'ils ne proposent pas Wiregard.
Honnêtement, vu les compétences moyennes des gens sur ce forum, je comprends pas bien l'intérêt de se casser la tête avec le VPN inclu dans la box vu les limitations dont vous parlez.
Un raspberry pi avec un wireguard et c'est plié pour celles et ceux qui ont pas un routeur/pfSense/OpenWRT/tractopelle (rayez la mention inutile) derrière qui le fait déjà.
natif windows > tout le reste

Aquarius

  • Abonné Free fibre
  • *
  • Messages: 13
  • Toulouse, 31
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #4 le: 20 avril 2021 à 11:29:41 »
natif windows > tout le reste
Comment ça ? en matière de découvrabilité par les clients ? oui probablement. Pour la complexité du support client? j'ai des doutes. Pour les autres critères imaginables (perfo, simplicité, sécurité...) y a peu de chances. J'ai pas connu une seule boite qui faisait confiance aux client VPN natifs de windows. Je n'ai jamais vu que des clients tiers préconfigurés. Mais du coup je suis peut-être pas dans le bon segment de clientelle pour un VPN de box.

sf!

  • Abonné Free fibre
  • *
  • Messages: 419
  • Nord - 59
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #5 le: 20 avril 2021 à 12:17:14 »
Comment ça ? en matière de découvrabilité par les clients ? oui probablement. Pour la complexité du support client? j'ai des doutes. Pour les autres critères imaginables (perfo, simplicité, sécurité...) y a peu de chances. J'ai pas connu une seule boite qui faisait confiance aux client VPN natifs de windows. Je n'ai jamais vu que des clients tiers préconfigurés. Mais du coup je suis peut-être pas dans le bon segment de clientelle pour un VPN de box.
Pas de logiciel tiers = pas de fuite de donnée/droit d'admin/intrusions/failles en plus
Complexité ? inexistante là dessus, un chouilla si on veut forcer la connexion drop si pas de sécurité (mais bon, elle existe).
Quel support ?


En outre, il me semble que c'est déployable par certificat par gpo (mais j'ai pas les conaissances)

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #6 le: 20 avril 2021 à 17:44:09 »
Car IKEv2 c'est le meilleur protocole VPN
- Le plus sécurisé
- Le plus performant
- Le plus compatible nativement
- Le seul qui supporte le roaming (mobike) donc dans un train ou une voiture, on reste tout le temps connecté même quand l'IP change.

J'ai monté un VPN strongswan (comme Free) dans une entreprise, relié à l'AD et en fonction du groupe de l'utilisateur, je lui autorise un subnet du MPLS de l'entreprise. C'est ultra propre, ça se gère en GPO, avec le VPN always ON natif de Windows 10, on peut se connecter au VPN avant l'ouverture de session, pour y appliquer des GPO même hors du réseau de l'entreprise.

IKEv2 = 2021

Le reste = technologie du siècle dernier

Pour moi, c'est juste le meilleur protocole sécurisé...

Oui, je parle pas de la sécurité d'IKEv2 mais du proposal IKEv2 par défaut de Windows 10.

Du coup, ça marche avec ma clé de registre ??

FloBaoti

  • Abonné MilkyWan
  • *
  • Messages: 1 300
  • 34
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #7 le: 20 avril 2021 à 22:42:09 »
- Le seul qui supporte le roaming (mobike) donc dans un train ou une voiture, on reste tout le temps connecté même quand l'IP change.
hum... visiblement tu n'as pas dû en tester beaucoup. OpenVPN ou Wireguard pour ne citer qu'eux savent faire ça. Donc les autres arguments...
Certes, on a bien compris, c'est intégré à Windows donc c'est parfait. Mais cet argument ne suffit pas à tout le monde.

Aquarius

  • Abonné Free fibre
  • *
  • Messages: 13
  • Toulouse, 31
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #8 le: 20 avril 2021 à 23:09:54 »
C'est vrai que ce déploiement oui c'est impressionnant, pratique etc... pas de souci là dessus. Est-ce que tu sais faire la part des choses entre ce qui est rendu possible par le protocole lui-même vs. ce qui vient du client implémenté dans windows ou de Stronswan ?

Car IKEv2 c'est le meilleur protocole VPN
- Le plus sécurisé
- Le plus performant
- Le plus compatible nativement
- Le seul qui supporte le roaming (mobike) donc dans un train ou une voiture, on reste tout le temps connecté même quand l'IP change.
Toutes ces assertions sont contestables. C'est beau de voir une tentative de fermer une discussion comme ça en usant d'un pseudo argument d'autorité. Heureusement ça n'en fait pas une vérité :).
- Sécurisé: le protocole l'est souvent, ce sont les implémentations qui ont des trous le plus souvent.
- Performant: mouahahah !.
- Compatible nativement: ça dépend de l'OS du parc.
- Le seul qui fait du roaming : non. juste non.

Citer
IKEv2 = 2021

Le reste = technologie du siècle dernier
C'est dommage de se fermer à ce qu'il y a à côté de la sorte, mais bon, chacun ses œillères je suppose. Bonne route!


iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #9 le: 20 avril 2021 à 23:52:57 »
Y'a pas d'offload matériel sur OpenVPN ou Wireguard, c'est bien pour les bidouilleurs tout ça, moins pour une entreprise.

Oui j'ai un argument dogmatique et je l'assume, tout ce qui n'est pas natif est inférieur. Donc à vos "clic clic suivant" ou apt install sur tous les clients, bonjour la daube pour la maintenance et la conf !

IKEv2 natif sur Windows, iOS, MacOS. Ça fait déjà un parc énorme. Le reste et bien, à vos bidouillages.

sf!

  • Abonné Free fibre
  • *
  • Messages: 419
  • Nord - 59
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #10 le: 21 avril 2021 à 00:06:17 »
hum... visiblement tu n'as pas dû en tester beaucoup. OpenVPN ou Wireguard pour ne citer qu'eux savent faire ça. Donc les autres arguments...
Certes, on a bien compris, c'est intégré à Windows donc c'est parfait. Mais cet argument ne suffit pas à tout le monde.
c'est pas des "protocoles"... ikev2 si.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
VPN : IKEv2 vs openvpn vs ... et combat de coqs
« Réponse #11 le: 21 avril 2021 à 00:18:50 »
Y'a pas d'offload matériel sur OpenVPN ou Wireguard, c'est bien pour les bidouilleurs tout ça, moins pour une entreprise.

Rires.

C'est avec ce genre de raisonnement de DSI sans couilles que les boites finissent avec des firewall hardware (parce que c'est du vrai matos de grosse bite ça, tu vois) qui sont en fait juste des PC avec AES-NI et 3 softs :)


Bref, nous, gens serieux des télécoms avons arrêté de vouloir avoir des jolies features peu efficaces.

Et OpenVPN pas Hardware Offload ? AES-NI c'est pas juste pour décorer hein :)


Et sinon, "pas natif = inferieur", dans le vrai monde on utilise du MDM et de l'orchestration, on est pas faiblement limités par ce que supporte l'OS. Je sais, c'est fou :)

Bref, avis dogmatique oui, pertinent, probablement, vrai, certainement pas.