[RESOLU] Sécuriser un acces temporaire de BLEU vers VERT

[Green]

Bonjour à tous,

Ma config IPCOP rouge/vert/bleu avec en addon Zerina. Plusieurs sites liés en VPN.
Mon utilisation est purement pour un usage privé.
J'ai actuellement des VPN (IPCOP to IPCOP) entre les sites et des VPN (zerina roadwarior) pour accès distant sur mon LAN (a partir d'iphone et ou laptop en 3G ou wifi) et tout ça tourne super.

Je souhaiterais maintenant lorsque j'arrive chez moi avec mon laptop qui se connecte en wifi sur le bleu de mon ipcop avoir accès (occasionnellement) à mon LAN (vert) mais sans mettre en péril le cloisonnement vert/bleu.

Mon idée d'origine était d'utiliser une sorte de vpn pour aller de mon laptop (bleu) vers mon LAN (vert), mais apres de multiple lecture cela me semble impossible (en tous les cas j'ai pas trouvé la solution théorique).

Auriez vous une idée de comment faire ?

J'ai bien penser a faire : laptop--(VPN rodwarior)--bleu IPCOP 1--rouge IPCOP1--rouge IPCOP 2--vert ipcop 2---VPN (net to net)---vert ipcop 1

mais je suis certain qu'il à une solution moins usine à gaz que ça

Merci d'avance pour vos idée.

[jdh]

(Je ne suis pas spécialiste Ipcop.)

On doit bien pouvoir faire un VPN OpenVPN (alias Zerina) depuis Blue pour aller vers Green.
Mais c'est quand même du gâchis CPU !

Je verrais plutôt une bonne clé WPA/AES et quelques règles BOT Blue vers Green ...

[Green]

J'ai pas trouvé pour l'instant la méthode pour faire le vpn via Zerina de blue vers green, mais je vais re-regarder car j'suis loin d'être expert..... j'suis juste un bon lecteur de tuto Pour le gâchis CPU c'est pas bien grave vu que c'est réellement une utilisation ponctuelle et que c'est dans un cadre "privé".

La solution BOT est une bonne idée, merci. Je vais étudier BOT également même si cela me fait peur car bien utiliser BOT me semble compliqué par rapport à mon niveau.

En tous les cas merci pour ta contribution.

[jdh]

BOT est l'addons par excellence : il devrait être obligatoire et toujours installé en tout premier.

C'est l'outil qui permet de contrôler précisément les flux, par source, destination, protocole !

[Green]

je sais, je sais, il est installé depuis déjà longtemps mais j'ai jamais osé l’activer pour l'instant

[trollineto]

Mon idée d'origine était d'utiliser une sorte de vpn pour aller de mon laptop (bleu) vers mon LAN (vert), mais apres de multiple lecture cela me semble impossible (en tous les cas j'ai pas trouvé la solution théorique).

Auriez vous une idée de comment faire ?

J'ai bien penser a faire : laptop--(VPN rodwarior)--bleu IPCOP 1--rouge IPCOP1--rouge IPCOP 2--vert ipcop 2---VPN (net to net)---vert ipcop 1

mais je suis certain qu'il à une solution moins usine à gaz que ça

L'idée d'origine est la bonne... A mon avis, BOT c'est l'usine à gaz en usage privé : beaucoup de travail pour finalement tout ouvrir tant c'est emm... (oui, je sais que jdh sait tout, mais comme il le dit si souvent : il ne connait pas IPCop personnellement ! De plus il a une vision très 'corporate' qui est loin des aspirations d'usage qu'ont les 'moyens' et plus 'petits' utilisateurs. Et pour finir, cela ne règle pas tous les problèmes d'écoute sur le WiFi, alors que le tunnel va s'en charger.

Avec Zerina installé sur IPCop 1, il n'y a aucun problème :

--------------------tunnel OpenVPN ---
laptop----------bleu IPCop 1----------vert IPCop 1
--------------------tunnel OpenVPN ---

Avec un client Windows, il suffit de modifier le fichier .ovpn :

cocher 'OpenVPN on BLUE', et redémarrer le serveur OpenVPN, puis
télécharger le fichier zip de configuration, et dans le fichier .ovpn, commenter la ligne 'remote' d'origine et 'uncoment'er (jé lécé la fote exprait pour jdh) la ligne 'remote' depuis 'blue' prémachée. Du velour...

Depuis un client Linux (ou Mac), c'est pas plus compliqué et cela fonctionne très bien. Bon amusement...
Au besoin, on peut avoir plusieurs fichiers de configuration en fonction du lieu d'origine du tunnel (depuis l'Internet, depuis bleu, orange...), et choisir le bon lors de l'établissement du tunnel, mais cela, je ne devait pas le dire, hein!

Code: Tout sélectionner

#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
;remote mydomain.com 1194
#Coment the above line and uncoment the next line, if you want to connect on the Blue interface
remote 192.168.3.1 1194
pkcs12 johndoe.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server

[jdh]

Quelques remarques :
- je ne sais pas tout, très loin de là !
- j'ai une vision entreprise: oui ! mais cela ne peut pas nuire que d'agir avec calme et en essayant de mettre le plus de sécurité possible !
- je ne connais pas ipcop ... dans la pratique : Oui (1 seule install), mais je raisonne par analogie et avec, en ce qui concerne ipcop, quelques notions.

BOT est indispensable puisque les règles par défaut sont laxistes ou contraignantes (cf newbie-kit).
Par défaut Green vers Red = tout autorisé; et Blue vers Green = tout interdit.

J'ai donc indiqué, dans l'ordre, que l'on pouvait faire un VPN Blue vers Green, ou utiliser BOT.

Avec pfSense (mon firewall de prédilection), l'équivalent de BOT est intégré, et est tellement simple (grâce aux alias) que la question ne se pose même plus !


Concernant le fichier de conf d'OpenVPN,
- il est bien vu d'indiquer l'ip Blue d'Ipcop et non celle de Red (ou du routeur),
- il est de bon conseil que d'avoir plusieurs fichiers de conf selon l'endroit,
- une faute d'orthographe : pas de commentaires !

[trollineto]

Sujet: Sécuriser un acces temporaire de BLEU vers VERT

- je ne sais pas tout, très loin de là !
- j'ai une vision entreprise: oui ! mais cela ne peut pas nuire que d'agir avec calme et en essayant de mettre le plus de sécurité possible !
- je ne connais pas ipcop ... dans la pratique : Oui (1 seule install), mais je raisonne par analogie et avec, en ce qui concerne ipcop, quelques notions.

Quelle belle humilité... Près de 1800 posts quand même ! Sur un sujet que l'on ne maitrise pas ! Whaow ! C'est classe !
Sinon, je n'ai pas parlé d'entreprise, mais de 'corporate', ce qui signifie plus précisément 'très grande entreprise' (trop grande diront de mauvaises langues). A la différences des PME ou TPE qui sont également des entreprises. Il est ainsi possible d'avoir différentes 'visions entreprise'.

BOT est indispensable puisque les règles par défaut sont laxistes ou contraignantes (cf newbie-kit).
Par défaut Green vers Red = tout autorisé; et Blue vers Green = tout interdit.

C'est (partiellement) faux : tout dépend du contexte, des demandes, des nécessités, des dangers. Souvent, 'DMZ Pinholes' suffit largement pour Blue vers Green, quant à Green vers Red, il ne faut pas se leurrer, c'est ce que les 'petits' et 'moyens' clients désirent la plupart du temps... même si j'ajoute en sous main des règles spéciales pour le traffic SMTP par exemple. BOT demande beaucoup de travail pour être mis en œuvre et maintenu. Finalement, c'est tenter (habillement, je le reconnais) de justifier une mauvaise solution (du WiFi ! Ouarf ! un responsable réseau qui se targe d'être spécialiste en sécurité et qui promeut le WiFi : un mois de bannissement et flagellation en place publique chaque dimanche) à un problème donné par une solution à un autre problème : "BOT n'est pas la solution, mais de toute façon, il faut BOT".

J'ai donc indiqué, dans l'ordre, que l'on pouvait faire un VPN Blue vers Green, ou utiliser BOT.

BOT n'est pas la bonne solution (voir 10 cm plus haut, ou http://forums.ixus.net/viewtopic.php?f=10&t=44197#p279112 - c'est lassant - et il n'y a pas la méthode pour le VPN, alors que (voir 20cm plus haut, ou http://forums.ixus.net/viewtopic.php?f=10&t=44197#p279076 Green explique clairement :

cela me semble impossible (en tous les cas j'ai pas trouvé la solution théorique)

C'est un peu lui dire "T'es dans l'bon mon p'tit gars, mais j'peux pas t'aider...". Parler pour ne rien dire est inutile. Je vous retourne ce commentaire reçu en privé :

Est ce que vos posts font avancer le schmillblick ?
Non aucunement, je pense.

Alors, qu'en pensez-vous ? Vos posts font-il avancer ce Schmilblick-ci (et oui, on écrit ce mot magique - pour les plus anciens - avec une majuscule et un seul 'l' http://fr.wikipedia.org/wiki/Schmilblick. Et deux 'fôtes' en plus, toc!) ? A part augmenter votre compteur de quelques points ? Si vous avez un besoin viscéral de parler (pour ne rien dire d'intéressant), il vous reste le café du commerce ou le marché du dimanche matin...

Avec pfSense (mon firewall de prédilection), l'équivalent de BOT est intégré, et est tellement simple (grâce aux alias) que la question ne se pose même plus !

Étonnant que la "solution" pfSense ne soit pas apparue plus tôt ! C'est pourtant ce que vous proposez habituellement... quand vous n'avez pas de solution...! En plus, ce n'est que du blabla pour tenter une nouvelle fois de justifier la - mauvaise - solution BOT ! Lamentable.

Le reste, je l'envoie en conversation privée... sorry tout le monde...

[Franck78]

Modération et respect : deux qualités qui semblent vous manquer. Votre fausse politesse ne trompe personne. Qu'en pensez-vous ?
Pour me résumer : vous en faites $%#&! plus d'un ici, et je ne vais pas vous louper.
Je n'ai pas besoin de réponse.
Au plaisir.

Ceci est la fin d'un MP, reçu je ne sais trop pourquoi. J'ai toujours du mal a comprendre comment des gens perdent du temps à écrire des trucs inutiles (il y en a une bonne page quand même) au lieu de réfléchir à leur problème.

Si encore c'était cohérent, mais même pas:
modération/respest : le type menace;
qu'en pensez-vous? : Je n'ai pas besoin de réponse !

Pour les modérateurs, j'aimerais bien ne plus recevoir de MP origine Troll....

Bye

[ccnet]

Quoi que vous en pensiez BOT est indispensable, les règles de base d'ipcop sont insuffisantes. Le trafic sortant est aussi dangereux que le trafic entrant lorsqu'il n'est pas souhaité. Le paramétrage de BOT, même si il n'est pas immédiat, n'est pas très complexe. Après une prise en main qui demande une quinzaine de minutes, l'utilisation est simple.

quant à Green vers Red, il ne faut pas se leurrer, c'est ce que les 'petits' et 'moyens' clients désirent la plupart du temps

Ce n'est pas exact. Au surplus il vous revient l'obligation d'expliquer, le cas échéant, au titre de l'obligation de conseil en quoi cette demande est dangereuse et infondée. A partir du moment où un cloisonnement du réseau est en place, ce n'est pas pour autoriser la totalité du trafic entre les zones. La pratique quotidienne me mntre qu'il est parfaitement viable de filter fortement le trafic sortant sans pénaliser l'activité.

Si je ne suis pas un spécialiste du firewall Arkoon par exemple, je sais néanmoins quelles sont les règles nécessaires à mettre en place pour répondre à une politique de sécurité donnée. De même si j'assiste un client dans une méthode d'analyse de risque je n'ai pas besoin de connaitre ni la marque, le fonctionnement de son firewall ou de ses switchs. Il faudrait voir à ne pas confondre la traduction technique d'une politique de sécurité, pour la partie qui relève de la technique, de sa réalisation.

En dehors de votre avis sur BOT qui a sa place ici, même si je ne le partage pas, le reste de votre post ne me semble pas correspondre aux objectifs du forum.

[ccnet]

Je crois que l'on va pouvoir fermer compte tenu du comportement du participant.

[Green]

Avec Zerina installé sur IPCop 1, il n'y a aucun problème :

--------------------tunnel OpenVPN ---
laptop----------bleu IPCop 1----------vert IPCop 1
--------------------tunnel OpenVPN ---

Avec un client Windows, il suffit de modifier le fichier .ovpn :

cocher 'OpenVPN on BLUE', et redémarrer le serveur OpenVPN, puis
télécharger le fichier zip de configuration, et dans le fichier .ovpn, commenter la ligne 'remote' d'origine et 'uncoment'er (jé lécé la fote exprait pour jdh) la ligne 'remote' depuis 'blue' prémachée. Du velour...

Depuis un client Linux (ou Mac), c'est pas plus compliqué et cela fonctionne très bien. Bon amusement...
Au besoin, on peut avoir plusieurs fichiers de configuration en fonction du lieu d'origine du tunnel (depuis l'Internet, depuis bleu, orange...), et choisir le bon lors de l'établissement du tunnel, mais cela, je ne devait pas le dire, hein!

Code: Tout sélectionner

#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
;remote mydomain.com 1194
#Coment the above line and uncoment the next line, if you want to connect on the Blue interface
remote 192.168.3.1 1194
pkcs12 johndoe.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server

Je vais tester ça, merci

[Green]

Marche super bien avec iphone et/ou laptop

Merci beaucoup pour vos conseils

[trollineto]

Marche super bien avec iphone et/ou laptop

Merci beaucoup pour vos conseils

C'était un plaisir...
Reste à modifier le titre :

- Faire usage des drapeaux :
* [RESOLU] : à insérer par l'auteur du sujet dans le titre du sujet lorsqu'il se voit solutionné.

Belle journée.

[jdh]

Après le message de Green, j'étais certain que ce crétin allait se la péter (comme si c'était lui qui avait donné les bonnes réponses) !

Je ne reproduirais pas les MP d'insultes reçus de ce triste sire (vous avez pu lire le premier puisqu'il l'a mis aussi ici).
(Je ne suis pas modérateur mais il aurait été nécessaire d'avertir ce rigolo.)
Son seul mérite (le mot est fort) a été de donner un exemple de fichier de conf d'OpenVPN/Zerina avec comme seul modif l'adresse ip du remote !
Sinon ce sont le démontage de BOT sans la moindre justification, la provocation, les insultes par MP, ...

Il parait qu'il faut de tout pour faire le monde ...

Je répète mon premier post dont la trame était "un vpn est possible mais BOT doit faire l'affaire".
Je persiste et signe ! (malgré les c.ons)