Utilisation avancée d'un réseau privé virtuel

Comme nous l’avons vu, il est tout à fait possible d’utiliser OpenVPN avec un fichier de configuration simple et légèrement adapté et en utilisant easy-rsa pour générer les clés et les certificats. Nous allons voir ici qu’il existe de nombreuses autres possibilités très intéressantes permettant d’augmenter significativement le niveau de sécurité et la souplesse d’utilisation.

IPSec est la version « officielle » de tunneling pour TCP/IP. Il a été développé pour IPv6 puis backporté vers IPv4. Cet ensemble de protocoles est disponible sur toutes les plateformes, mais sa mise en œuvre est un peu plus complexe que celle d’OpenVPN.

Dans cet article, nous allons aborder d’autres systèmes d’exploitation côté client, ce qui nous permettra de mettre en lumière certaines limitations. Nous allons tout d’abord passer en revue ceux qui fonctionnent en IKEv2 puis en examiner qui ne supportent que L2TP/IPSec en IKEv1.

Lorsque l'on utilise le mode bridge d'OpenVPN et donc les interfaces de type tap, les paquets ne passent pas par le firewall Linux, mais sont traités directement par le serveur qui fait office de switch. Une fonction méconnue et peu documentée permet quand même de filtrer un minimum les communications de client à client, et ce dynamiquement.

Comme de nombreux logiciels dignes de ce nom, OpenVPN est capable d'accepter des plugins écrits en C et disponibles sous la forme de bibliothèques partagées. Regardons comment écrire les nôtres.

Cet article relate un retour d'expérience sur le développement d'une solution « sexy » pour allier sécurité et réduction des coûts. Cette dernière consiste à associer une authentification Active Directory et un token utilisant l'application Google Authenticator afin de former une authentification à 2 facteurs pour un VPN d'entreprise.