La Fibre
Télécom => Réseau => 
VPN => Discussion démarrée par: Techview le 20 avril 2021 à 11:09:54
-
C'est bien dommage qu'ils ne proposent pas Wiregard.
Honnêtement, vu les compétences moyennes des gens sur ce forum, je comprends pas bien l'intérêt de se casser la tête avec le VPN inclu dans la box vu les limitations dont vous parlez.
Un raspberry pi avec un wireguard et c'est plié pour celles et ceux qui ont pas un routeur/pfSense/OpenWRT/tractopelle (rayez la mention inutile) derrière qui le fait déjà.
Certains ne veulent pas ce prendre la tête, et préfère utiliser les outils mis à dispo par Free, il est donc normal que nous essayons les outils, afin de faire un retour sur l'offre.
-
Certains ne veulent pas ce prendre la tête, et préfère utiliser les outils mis à dispo par Free, il est donc normal que nous essayons les outils, afin de faire un retour sur l'offre.
Ah oui dans ce sens là ok :) C'est juste qu'on met tous la même chose dans "prise de tête"!
-
C'est Windows qui utilise des proposals IKEv2 très insécurisés par défaut.
Ouvre le registre,
mets dans la barre d'adresse HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\
Nouveau > Valeur DWORD 32 bits
Le nom de la valeur = NegotiateDH2048_AES256
Valeur 1 pour que le client VPN de Windows propose le proposal sécurisé en plus des proposals non sécurisés (si t'as d'autres serveurs legacy)
Valeur 2 pour imposer le proposal sécurisé
Si tu ne veux pas modifier le comportement du client VPN entier, je peux te guider avec PowerShell pour modifier les proposals uniquement sur l'entrée qui correspond au VPN de la Freebox.
Pour moi, c'est juste le meilleur protocole sécurisé...
-
C'est bien dommage qu'ils ne proposent pas Wiregard.
Honnêtement, vu les compétences moyennes des gens sur ce forum, je comprends pas bien l'intérêt de se casser la tête avec le VPN inclu dans la box vu les limitations dont vous parlez.
Un raspberry pi avec un wireguard et c'est plié pour celles et ceux qui ont pas un routeur/pfSense/OpenWRT/tractopelle (rayez la mention inutile) derrière qui le fait déjà.
natif windows > tout le reste
-
natif windows > tout le reste
Comment ça ? en matière de découvrabilité par les clients ? oui probablement. Pour la complexité du support client? j'ai des doutes. Pour les autres critères imaginables (perfo, simplicité, sécurité...) y a peu de chances. J'ai pas connu une seule boite qui faisait confiance aux client VPN natifs de windows. Je n'ai jamais vu que des clients tiers préconfigurés. Mais du coup je suis peut-être pas dans le bon segment de clientelle pour un VPN de box.
-
Comment ça ? en matière de découvrabilité par les clients ? oui probablement. Pour la complexité du support client? j'ai des doutes. Pour les autres critères imaginables (perfo, simplicité, sécurité...) y a peu de chances. J'ai pas connu une seule boite qui faisait confiance aux client VPN natifs de windows. Je n'ai jamais vu que des clients tiers préconfigurés. Mais du coup je suis peut-être pas dans le bon segment de clientelle pour un VPN de box.
Pas de logiciel tiers = pas de fuite de donnée/droit d'admin/intrusions/failles en plus
Complexité ? inexistante là dessus, un chouilla si on veut forcer la connexion drop si pas de sécurité (mais bon, elle existe).
Quel support ?
En outre, il me semble que c'est déployable par certificat par gpo (mais j'ai pas les conaissances)
-
Car IKEv2 c'est le meilleur protocole VPN
- Le plus sécurisé
- Le plus performant
- Le plus compatible nativement
- Le seul qui supporte le roaming (mobike) donc dans un train ou une voiture, on reste tout le temps connecté même quand l'IP change.
J'ai monté un VPN strongswan (comme Free) dans une entreprise, relié à l'AD et en fonction du groupe de l'utilisateur, je lui autorise un subnet du MPLS de l'entreprise. C'est ultra propre, ça se gère en GPO, avec le VPN always ON natif de Windows 10, on peut se connecter au VPN avant l'ouverture de session, pour y appliquer des GPO même hors du réseau de l'entreprise.
IKEv2 = 2021
Le reste = technologie du siècle dernier
Pour moi, c'est juste le meilleur protocole sécurisé...
Oui, je parle pas de la sécurité d'IKEv2 mais du proposal IKEv2 par défaut de Windows 10.
Du coup, ça marche avec ma clé de registre ??
-
- Le seul qui supporte le roaming (mobike) donc dans un train ou une voiture, on reste tout le temps connecté même quand l'IP change.
hum... visiblement tu n'as pas dû en tester beaucoup. OpenVPN ou Wireguard pour ne citer qu'eux savent faire ça. Donc les autres arguments...
Certes, on a bien compris, c'est intégré à Windows donc c'est parfait. Mais cet argument ne suffit pas à tout le monde.
-
C'est vrai que ce déploiement oui c'est impressionnant, pratique etc... pas de souci là dessus. Est-ce que tu sais faire la part des choses entre ce qui est rendu possible par le protocole lui-même vs. ce qui vient du client implémenté dans windows ou de Stronswan ?
Car IKEv2 c'est le meilleur protocole VPN
- Le plus sécurisé
- Le plus performant
- Le plus compatible nativement
- Le seul qui supporte le roaming (mobike) donc dans un train ou une voiture, on reste tout le temps connecté même quand l'IP change.
Toutes ces assertions sont contestables. C'est beau de voir une tentative de fermer une discussion comme ça en usant d'un pseudo argument d'autorité. Heureusement ça n'en fait pas une vérité :).
- Sécurisé: le protocole l'est souvent, ce sont les implémentations qui ont des trous le plus souvent.
- Performant: mouahahah !.
- Compatible nativement: ça dépend de l'OS du parc.
- Le seul qui fait du roaming : non. juste non.
IKEv2 = 2021
Le reste = technologie du siècle dernier
C'est dommage de se fermer à ce qu'il y a à côté de la sorte, mais bon, chacun ses œillères je suppose. Bonne route!
-
Y'a pas d'offload matériel sur OpenVPN ou Wireguard, c'est bien pour les bidouilleurs tout ça, moins pour une entreprise.
Oui j'ai un argument dogmatique et je l'assume, tout ce qui n'est pas natif est inférieur. Donc à vos "clic clic suivant" ou apt install sur tous les clients, bonjour la daube pour la maintenance et la conf !
IKEv2 natif sur Windows, iOS, MacOS. Ça fait déjà un parc énorme. Le reste et bien, à vos bidouillages.
-
hum... visiblement tu n'as pas dû en tester beaucoup. OpenVPN ou Wireguard pour ne citer qu'eux savent faire ça. Donc les autres arguments...
Certes, on a bien compris, c'est intégré à Windows donc c'est parfait. Mais cet argument ne suffit pas à tout le monde.
c'est pas des "protocoles"... ikev2 si.
-
Y'a pas d'offload matériel sur OpenVPN ou Wireguard, c'est bien pour les bidouilleurs tout ça, moins pour une entreprise.
Rires.
C'est avec ce genre de raisonnement de DSI sans couilles que les boites finissent avec des firewall hardware (parce que c'est du vrai matos de grosse bite ça, tu vois) qui sont en fait juste des PC avec AES-NI et 3 softs :)
Bref, nous, gens serieux des télécoms avons arrêté de vouloir avoir des jolies features peu efficaces.
Et OpenVPN pas Hardware Offload ? AES-NI c'est pas juste pour décorer hein :)
Et sinon, "pas natif = inferieur", dans le vrai monde on utilise du MDM et de l'orchestration, on est pas faiblement limités par ce que supporte l'OS. Je sais, c'est fou :)
Bref, avis dogmatique oui, pertinent, probablement, vrai, certainement pas.
-
Qu'est-ce-que le MDM vient faire là dedans ? Je me base sur mon expérience en TPE/PME, désolé de pas travailler pour un grand compte qui peut arroser tout le monde pour tout faire à sa place ! Alors oui pour Intune = natif, ABM pour Apple, mais c'est clairement pas pour le commun des mortels. Quand t'as pas de budget, bah tu fais au mieux hein !
J'aimerais bien voir un S2S entre deux routeurs, l'un avec OpenVPN et l'autre en IPsec pour voir la tronche du CPU.
-
Ah donc sous prétexte que c'est une TPE, faut faire n'importe quoi et ne pas automatiser ? C'est intéressant, avec des raisonnements comme ça, on aura du boulot encore longtemps :)
Et sinon ton histoire de conso CPU, si comme tu dis on parle de TPE, qu'est-ce qu'on s'en tape ?
De toute façon l'heure est au zero trust ou aux VPN en DC, redescendre le VPN sur la box, qui plus est en FTTH, c'est complètement archaique et en cas de défaillance tu mets tout le monde sur la paille.
-
Rires.
C'est avec ce genre de raisonnement de DSI sans couilles que les boites finissent avec des firewall hardware (parce que c'est du vrai matos de grosse bite ça, tu vois) qui sont en fait juste des PC avec AES-NI et 3 softs :)
Bref, nous, gens serieux des télécoms avons arrêté de vouloir avoir des jolies features peu efficaces.
Et OpenVPN pas Hardware Offload ? AES-NI c'est pas juste pour décorer hein :)
Et sinon, "pas natif = inferieur", dans le vrai monde on utilise du MDM et de l'orchestration, on est pas faiblement limités par ce que supporte l'OS. Je sais, c'est fou :)
Bref, avis dogmatique oui, pertinent, probablement, vrai, certainement pas.
Je me suis toujours demandé ce que ça valait du matos comme les fortigate.
Tu préconise simplement un routeur avec son pare feu bien configuré ?
Déjà le premier point pour une TPE c'est de tomber sur le bon prestataire.
La pluspart ne font juste que remplacer des ordis, et ne savent pas mettre en place une strategie de télétravail avec la téléphonie.
-
Ça dépend vraiment les besoins en vrai, il n'y a pas de bonne réponse absolue.
Moi j'aime bien les appliances pour leur facilité de maintenance, pas pour leurs performances.
Ce que je préconise généralement chez mes clients, c'est de l'appliance virtualisée en Datacenter et du CPE le plus simple possible, et un petit L2/L3VPN porté par l'opérateur entre les deux.
Coté VPN, y'a deux écoles : Les OpenVPN ou autres Wireguard qui ont l'énorme avantage d'être quasi plug&play (une app à installer, un profil a double cliquer et c'est parti) VS les solutions de VPN L7 SSL avec client lourd, je ne suis pas fan, mais visiblement ça fait bien le café et ça sait se dépatouiller même sur des profils de connexion compliqués
Ah et de toute façon, en split tunneling (une bonne pratique si il fallait le rappeler), les perfs vers les applis métier... Pour une TPE (encore une fois), c'est tellement pas un sujet, si le vpn fait 4mbit/s de moyenne c'est déjà bcp :)
-
c'est pas des "protocoles"... ikev2 si.
https://openvpn.net/community-resources/openvpn-protocol/
https://www.wireguard.com/protocol/
OK d'accord ! Allez je m'arrête là pour ce topic, c'est du grand n'importe quoi.
P.S. : IKE n'est pas un protocole de tunneling ("vpn"), au fait ;) Mais on n'est plus à ça près.
-
c'est pas des "protocoles"... ikev2 si.
Je cherche du sens à cette réponse.
-
Cherchez pas, si y'a pas la case dans windows, ça n'a pas droit de cité.
-
Ah donc sous prétexte que c'est une TPE, faut faire n'importe quoi et ne pas automatiser ? C'est intéressant, avec des raisonnements comme ça, on aura du boulot encore longtemps :)
Excuse d'avoir une vision à taille humaine... Oui, dans une petite structure, il vaut mieux privilégier l'emploi que de payer des programmes automatiques venus de je ne sais où (qui rajoutent une couche et des failles supplémentaires, sans contrôle).
Mais tu auras un autre discours quand ton emploi sera remplacé par un logiciel :)
Pour les appliances, tu fais ton switching avec des machines virtuelles aussi ?
-
Ah oui donc j'imagine que tu n'utiliseras pas non plus le vpn de la freebox puisqu'il est sans contrôle :)
Ridicule.
-
un échange calme et sympathique entre les différents participants c'est possible?
Sans balancer que le mec en face est une sombre bouse parce qu'il n'utilise pas tel ou tel techno
-
un échange calme et sympathique entre les différents participants c'est possible?
Sans balancer que le mec en face est une sombre bouse parce qu'il n'utilise pas tel ou tel techno
Non mais c'est pénible le mec qui débarque en disant que son truc est meilleur que les autres en assumant son dogmatisme.
-
@Hugues
ça on est d'accord.
par contre ce n'est pas une raison pour rentrer dans son jeux et faire pareil.
@iMarco27 que tu aimes IKEv2 on a compris
je ne remets pas en doute que ça fonctionne bien.
par contre il existe d'autres techno différentes qui peuvent fonctionner tout aussi bien.
@all si vous n'êtes pas capable de ne pas vous enguirlander je ferme le sujet définitivement.
savoir reconnaître les défauts et les forces des technologies c'est aussi ça être un bon administrateur systèmes/réseaux.
-
En fait moi je suis juste consterné de lire ce genre d'avis dogmatique en 2021, qui plus est ici.
savoir reconnaître les défauts et les forces des technologies c'est aussi ça être un bon administrateur systèmes/réseaux.
Et je suis tout à fait d'accord avec toi ;)
-
En attendant, tes messages sont tout autant subjectifs que les miens, puisque tu parles des solutions que tu utilises au quotidien, sans démontrer à la communauté les avantages.
Bref comme on tourne en rond, c'est mon dernier message sur ce thread. On trouvera pas de terrain d'entente car on est pas dans le même domaine (toi professionnel des réseaux et problématiques de FAI, moi mise en place de VPN serveur - clients itinérants et BYOD). Donc voilà, cela ne sert à rien de se battre.
A+