VPN sur RaspberryPi (ou assimilé)

Tout est dans le titre ou presque. J’ai déjà demandé à notre ami commun Google mais il ne réussi à me sortir que des pseudo HowTo abscons remplis de commandes et d’options sans aucun commentaire ou presque. J’aime bien le bash mais là vraiment c’était pas digeste.

J’aimerais donc l’aide d’un vrai barbu (ou pas) qui saurais m’expliquer comment configurer un serveur VPN L2TP/IPsec pour qu’il soit compatible nativement avec OSX/iOS (donc on oublie tout de suite OpenVPN) ou m’orienter vers un HowTo compréhensible, je lui en serais fortement reconnaissant.

A tout hasard, je ping @LoneWolf, qui a défaut d’être barbu, est particulièrement compétent dans ce genre de domaine.

Je connais un peu le sujet et justement, si:
_Tout le monde dans le monde libre utilise OpenVPN
_Les tutos L2TP/IPsec sont si compliqué/improbable/ca marche jamais/whateva-, c’est parce que le système a été implémenté via des technos plus ou moins windowsiennes.

Donc oui, la mise en place sur Linux est complexe car elle fait intervenir un grand nombre de technos differentes, et notamment Raduis, mais aussi MS-CHAP et Kerberos 5. Donc ouais, c’est ultimement indigeste.

Donc je n’ai pas de howto digeste puisque c’est cryptique a la base, malheureusement.

Perso, j’aurais tendance a m’orienter dans une Pi2 avec un windows 10 IoT (s’il permet ce genre de truc) car sous linux, c’est juste Pain in the Ass

Ce qui explique pourquoi on utilise OpenVPN…

Zut :cold_sweat: Apple n’est pas si manchotte avec son service VPN dans OSX server alors :confused:
Je serais bien partis sur un Pi2 et Win10 mais j’ai déjà un Pi1B+ donc pas d’investissement en vue dans l’immédiat…
Je vais ptet tenter le pfsense sur le Pi ou une autre distrib que celle de base. J’ai juste besoin d’un dhcp/dns/VPN

pfsense est exclusivement pour des archi intel x32/x64 donc déjà tu peux oublier sur ton Pi.

A mon humble avis, ton meilleur choix de distro est OpenWRT (dispo pour plein d’archi hw dont le Pi) qui a un GUI http et une communauté plutôt active.

Quant au choix de protocole vpn, OpenVPN est certainement ce qu’il y aura de plus simple à mettre en place. D’autant plus que ca fonctionne sur à peu prêt n’importe quel OS (Tunnelblick pour OSX, merci google).

Techniquement, pour une conf basique, à part le client/server pas besoin de grand chose à part du ssl/tls, rsa (si authent par certificat), et tap/tun.

J’ajoute que le site OpenVPN contient des exemples de conf et est globalement une bonne source de documentation. De même pour la page wiki OpenVPN du site OpenWRT.

Pas supporté sous iOS directement dans les settings Open VPN ça nécessite un ajout et j’ai pas trouvé ça concluant?
Si t’as un mac fixe pourquoi pas lui ajouter la composante server ?

Et non pour l’instant ni dans OSX ni dans iOS OpenVPN n’est supporté nativement. J’ai déjà un NAS et un Raspberry en plus de 2 PC fixe mais mes 2 Macs sont des portables. Alors j’ai bien un MacBookPro 13’ sans écran qui pourrais faire office de serveur, mais niveau conso électrique le raspberry est quand même un poil supérieur, et à la base je l’avait acheté aussi pour ça (en plus du DNS et du DHCP)

Ça veut dire quoi pas supporté nativement ? Ça veut dire que tu ne veux pas installer un package ? Si oui, c’est quoi la vrai raison derrière ça ? (je cherche juste à comprendre)

Ça implique pas mal de chose en fait.

_OpenVPN un programme externe, donc qui n’est pas intégré au système d’exploitation (sur le site web, je vois pas de binaire pour MacOS d’ailleurs)
_Il faut donc le récupérer sur le web, d’une source fiable ( https://openvpn.net/index.php/open-source/downloads.html )
_Éventuellement le compiler pour le système cible ou utiliser un logiciel parent ( https://openvpn.net/index.php/access-server/docs/admin-guides/183-how-to-connect-to-access-server-from-a-mac.html <–apparemment, c’est pas openvpn qui fait le client mac) en binaire
_Dans le cas de Windows, c’est aussi un logiciel externe et son principal probleme est qu’il nécessite les droits administrateur pour fonctionner. Si le logiciel aurait été intégré a Windows, la configuration serait faite en admin mais son utilisation aurait pu se faire qu’avec des droits utilisateur classique (comme la mise en place d’un wifi quoi)

Pour un logiciel de sécurité, ça pose plein de probleme: fiabilité de la source logiciel, mode administrateur obligatoire, c’est pas forcement idéal.

Rien n’est parfait…

Comme l’a dit LoneWolf. Sur OSX ça implique d’utiliser une app (TunnelBlick) spécialement et uniquement pour ce VPN qui est pas spécialement belle/ergonomique/efficace et sur iOS j’ai pas testé mais ça me semble pas beaucoup mieux.
Cà implique donc un travail supplémentaire si je veux intégrer ça sur les machines de mes clients en autres.

Ouais enfin un soft qui n’est pas intégré directement à l’OS, c’est un peu une fausse excuse. Si tu pars sur ce principe tu ne fais plus rien avec l’OS …

Pour la parenthèse du cas Windows, les droits d’admin sont uniquement requis pour l’ajout des routes statiques, c’est Windows qui veut ca, pas le soft. Sinon le tunnel monte très bien sans droits d’admin mais ca te limite l’accès au ‘endpoint’. Par ailleurs le client Android ne nécessite aucun droit root.

A un moment j’ai cru que la raison était pour des contraintes de sécurité, mais je suis rassuré, la vrai raison c’est que Darkomen ne veut pas d’un client dédié parce qu’il n’est pas ‘spécialement beau/ergonomique/efficace’. Darkomen, je te souhaite donc bonne chance avec L2TP/IPSec …

Non mais y a déjà les VPN PPTP / IPsec / Cisco d’intégrés donc c’est dommage que les Open ne le soit pas.