Re: tunnel prive

[Grompf <grompf@gr.junk.ompf.net>]

jdd sur free a écrit :
> Grompf a écrit :
>
> > > De quel matériel aurions-nous besoin ?
> >
> > Sachant qu'openvpn passe tres bien les firewalls (une simple 
> > redirection de port est a ajouter sur le serveur/routeur actuel du 
> > culte) : il n'y a donc rien a modifier hormis une ligne a ajouter dans 
> > le /etc/init.d/rc.firewall sur cette machine.
> >
> > Ensuite, il faut avoir un serveur/routeur openvpn qui va permettre de 
> > se connecter au reseau (LAN) interne du CULTe depuis l'extérieur.
>
> je ne sais pas si je me suis biene xpliqué (en fait je ne suis pas sur 
> de savoir exactement ce que je veux, faute de savoir exactement ce qui 
> est possible)


> relier le forum des assos à la *salle* de la maison des assos serait un 
> plus, mais le besoin prioritaire serait de relier le forum (planete 
> science) à internet
Planete science a son propre accès à internet en accès libre si il y a 
physiquement accès aux prises (donc il faut montrer patte blanche) ou 
par wifi : il y a un point d'accès boulonné à une poutrelle du toit à 
l'interieur (il faut aussi montrer patte blanche pour avoir la clef WEP).

> ca n'a donc même pas besoin, au début, de rentrer chemin pouciquot :-)

Deux cas en fonction de la responsabilité légale désirée :

(1) P.S. endosse la responsabilité de l'usage "libre" de son accès à 
internet. Auquel cas, il suffit d'avoir eux points d'accès wifi 
brigeables donc de preference de meme marque ou capable de faire du 
WDS(backbone hertzien) et d'en connecter un sur leur reseau. L'autre 
dispatchant cet accès sur les lieux du crime. C'est du wifi brut... 
point barre. C'est réglé en deux coups de cuillère à pot.

(2) P.S. se reserve la responsabilté de l'usage "libre" de son accès à 
internet, mais laisse sa "confiance" au CULTe pour que le CULTe endosse 
la responsabilité de l'accès "libre" à internet via son propre accès.
La solution est moins directe et demande la mise en place d'un VPN.

Il faudra monter un VPN qui va utiliser l'accès coté poucicot et qui va 
transiter par l'accès internet de P.S. Il n'y aura ici en aucun cas 
accès public à internet via l'accès de P.S. mais uniquement par celui du 
CULTe. Dans ce cas, il te faut chez P.S. la même paire de points d'accès 
qu'évoqué ci-dessus avec les même réglages ; plus un routeur/client VPN 
posé chez P.S. qui gérera la plomberie, l'isolation du lieu du crime de 
l'accès internet de P.S. , ainsi que les diverses questions de routage 
IPs entre deux parties de réseaux pontées virtuellement.

Et en complement, il te faut un routeur/serveur VPN salle poucicot soit 
connecté sur le sous réseau de la salle comme un accès publique du culte 
soit sur le sous-reseau privé ou se trouve l'ultra.

La connexion sur la salle en fait fera du forum une simple extension de 
la salle commune de la maison des assos (et il reste normalement une ou 
deux prises de libres sur le switch de la salle dans l'armoire).


> s'il faut un serveur (c'est à dire si le ulet ne peut pas faire ca tout 
> seul),

Ca n'est pas tout a fait raisonnable et c'est s'exposer à quelques 
contrariétés bien chiantes en mettant le serveur VPN sur la meme machine 
que le serveur local qui fait aussi routeur et DNS. J'aime pas : c'est 
pas propre et très invasif pour le mulet.

> on doit pouvoir utiliser une des stations sun? (openBSD, ou on 
> installe une debian)

Oui. Surtout qu'il n'y aura qu'un seul client donc la charge de calcul a 
des chances d'etre supportée sans probleme par une vielle SUN en serveur.

Pour le client VPN qui routera vers le forum : il faut une machine avec 
deux interfaces ethernet physiques (ou virtuelles avec un switch en plus 
pour connecter l'AP sachant que l'usage d'une seule interface physique 
divisera la bande passante par deux).

a+

-----------------------------------------------------------------
Les listes de diffusion du CULTe - Pour une informatique libre
http://www.CULTe.org/listes/
Pour se desabonner:
mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER