Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Résolu] pfSense échange entre clients OpenVPN

    Scheduled Pinned Locked Moved Français
    14 Posts 4 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ccnet
      last edited by

      Non, ce qui est étrange c'est votre solution. L'option Pfsense ne fait que, probablement, ajouter le routage nécessaire. Ce qui est étrange c'est de faire manuellement cette modification, qui sera difficilement maintenable, alors que l'option est disponible dans l'interface.

      1 Reply Last reply Reply Quote 0
      • F
        fabienfs
        last edited by

        Je vais enlever les routes statics et essayer avec cette option :)

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Le paramètre "client-to-client" est généralement considéré comme peu sûr et à ne pas utiliser, et il est, d'ailleurs, inactif par défaut.
          En outre, l'échange passant via le serveur est lent.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • F
            fabienfs
            last edited by

            @jdh:

            Le paramètre "client-to-client" est généralement considéré comme peu sûr et à ne pas utiliser, et il est, d'ailleurs, inactif par défaut.
            En outre, l'échange passant via le serveur est lent.

            Peu sur pourquoi ?
            Le VPN ici ne sert qu'à moi, c'est pour faire parler mes machines ensemble donc je ne vois pas de risque

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
              Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

              En entreprise, le VPN est généralement conçu en mode road-warrior, et il y a peu de raison qu'il y ait 2 connexions simultanées et nécessitant un accès d'un client vers l'autre.
              Certains paramètres existent mais ont une utilité discutable : p.e. "duplicate-cn" : le même certificat peut être utilisé simultanément ou "client-cert-not-required" qui permet d'utiliser un user/mdp alors qu'il est facile d'utiliser des certificats. Ou encore "no-replay" qui enlève la sécurité contre un "replay" !

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • P
                psylo
                last edited by

                @jdh:

                Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
                Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

                […]

                Les seules fois où j'ai dû configurer quelque chose de similaire, c'est pour de la VoIP: les clients distants ayant un softphone et devant s'appeler l'un l'autre.

                1 Reply Last reply Reply Quote 0
                • F
                  fabienfs
                  last edited by

                  @psylo:

                  @jdh:

                  Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
                  Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

                  […]

                  Les seules fois où j'ai dû configurer quelque chose de similaire, c'est pour de la VoIP: les clients distants ayant un softphone et devant s'appeler l'un l'autre.

                  Donc aucun filtrage entre les clients tout était ouvert ?

                  1 Reply Last reply Reply Quote 0
                  • P
                    psylo
                    last edited by

                    Aucun filtrage (contre mon avis)…

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Il est bien ce Psylo : il donne un exemple d'utilisation et il confirme une limitation plutôt "unsecure".

                      Bravo !

                      Néanmoins, on peut trouver des scripts de filtrage (en iptables) pour filtrer ces flux.
                      p.e. cf http://john.de-graaff.net/wiki/doku.php/links/openvpn (exemples fournis et complet)

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • P
                        psylo
                        last edited by

                        @jdh:

                        Il est bien ce Psylo : il donne un exemple d'utilisation et il confirme une limitation plutôt "unsecure".

                        Bravo !
                        […]

                        La prochaine fois, je me tairai…

                        Juste une remarque: la théorie des labos et la pratique des clients est parfois bien bien différente (je me suis sûrement mal exprimé mais c'est ce que je voulais dire avec mon exemple).

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.