VPN

Principe

• Connecter des hôtes/réseaux distants "comme si" ils appartiennent au même réseau local
• Chiffrer / Authentifier tout ce qui passe sur les réseaux publiques
• Intêret pour G5K
  • S'affranchir de la passerelle SSH
  • Accès au monde extérieur (à un serveur, à un réseau)

Implémentation

• OpenVPN : Interfaces virtuelles, Linux, portage Windows, SSL, flexible
• IPSec: Natif Windows, Linux, configuration complexe
• PPTP,L2TP

Configuration Réseau

• L2 VPN ou L3 VPN
  • Encapsulation de la trame Ethernet (L2) ou paquet IP (L3)
  • Fonctionnenment des applications non-IP

• Topologie Point à Point ou Réseau VPN ("Transport")

• Réseau VPN bridgé dans réseau existant (prod) ou dédié
  • Si VLAN existant, pas de nouveau sous réseau IP, pas de configuration des routeurs
  • Si VLAN dédié
    • meilleur isolation, pas le VLAN de production
    • non lié à un site
    • besoin de configuration des routeurs G5K

• Encapsulation dans UDP, TCP, ajout d'un "tag" (IPSec)

Configuration client

• addresse IP dans réseau VPN
• persistence:
  • Par nom de certificat / login
  • Par MAC addresse des interfaces VPN client (DHCP)
  • À la demande
• DNS name: vpn1.grid5000.fr, vpn2.grid5000.fr ou <login>.vpn.grid5000.fr
  • dynamique ?
• routes G5K (Golden rules !)
  • 172.16.0.0/16
  • 10.0.0.0/8
  • 172.17.0.0/16 ?
• DNS G5K

Securité

• Serveur : Idem access nationale
  • 1 interface DMZ + 1 interface VLAN VPN
  • Fail2ban, etc.

• Authentification Client
  • Certificat Serveur + Certificat Client (génération ? stockage ?)
  • Certificat Serveut + Login / password Client (module pam + LDAP)