Installer un réseau privé virtuel VPN

Un réseau privé virtuel ou VPN (Virtual Private Network) permet de relier deux sites distants via un réseau public, généralement Internet de sorte que les 2 sites fonctionne comme un réseau local unique.
Cela permets d'échanger des données et des ressources sans contrainte. Comme le réseau intermédiaire est généralement peu sûr et hors de contrôle, les données peuvent être chiffrées à l'intérieur du VPN.

Il existe plusieurs protocoles pour monter un VPN.
PPTP (Point to Point Tunneling Protocol).
L2TP (Layer 2 Tunneling Protocol) avec ou sans règle IPSec. Le protocole L2TP est défini dans la RFC 266.
IPSec. Le protocole IPSec vise à sécuriser les échanges au niveau de la couche réseau. L'utilisation de ce protocole permet la gestion et l'échange de clés entre routeurs. L'authentification des paquets IP (méthode de sécurité AH : Authentication Header) et le chifrement des paquets IP (méthode de sécurité ESP : Encapsuling Security Payload).
Plusieurs niveaux de sécurité peuvent être utilisé avec IPSec.
Moyenne sécurité (AH). l'en-tête des paquets est authentifié.
Haute sécurité (ESP). les données sont chiffrées et l'en-tête peut-être authentifié selon le chifrement DES sélectionné.
DES sans authentification, les données sont chiffrées mais l'en-tête des paquets IP n'est pas authentifié.
DES avec authentification, les données sont chiffrées et l'en-tête des paquets IP est authentifié.
3DES sans authentification, les données sont chiffrées mais l'en-tête des paquets IP n'est pas authentifié.
3DES avec authentification, les données sont chiffrées et l'en-tête des paquets IP est authentifié.

Il existe 2 modes de fonctionnement de VPN.
Mode tunnel :
Chaque trame est encapsulée dans une enveloppe qui protège tout les champs de la trame. Il est utilisé entre 2 équipements gérant l'interconnexion (entre 2 passerelles ou routeurs). Les données peuvent être chiffrés (mode ESP) ou non (mode AH).
Mode transport
Seul le contenu de la trame IP est protégé, pas son en-tête. Ce miode est généralement utilisé entre deux équipement dont au moins un de type terminal (connexion d'un utilisateur isolé vers une passerelle ou routeur).

Windows 98/Me/NT supporte PPTP
Windows 2000 supporte PPTP et L2TP
Windows XP supporte PPTP et L2TP avec règle IPSec.

Il existe d'autres solutions pour monter des VPN tel que CIPE, vtun, tinc et OpenVPN.

Lorsque l'on souhaite simplement créer un tunnel pour quelques protocoles, SSH est la solution.
Un certains nombres de protocole ne fonctionne pas au travers d'un tunnel SSH comme :
FTP
Tout ce qui utilise UDP comme SMB/CIFS ou NFS ainsi que la plupart des protocoles de vidéo-conférence comme ICMP.
Le mode DCC de IRC (même problème que FTP)
La plupart des protocoles de messagerie instentannée
eDonke
les programmes qui nécessite une requête identd ou similaire revenant à l'appelant avant de répondre.

Lorsque l'on souhaire simplement chiffrer des données, SSL est la solution.

Christophe Merlet
redfox@redfoxcenter.org
©Tous droits réservés
12 juin 2003.