Openvpn filtre des clients

chris4916

@Musy:

Ce que je veux c'est la possibilité max de 250 client par serveur VPN.

donc pas avec le netmask que tu as pris en exemple car il ne permet que 5 clients.
/24 pour 250 clients, c'est bien  ;D

Que si les utilisateurs A et B sont connecté à un même serveur qu'il puisse communiqué (client-to-client). Mais que si les utilisateurs A et B sont dans deux serveurs différent qu'il ne puisse plus se voir.

Quand je dis "communiquer" je veux dire donner la possibilité de se voir sur le réseau comme si les utilisateurs étais sur un réseau local.

Donc c'est un simple serveur VPN par groupe de client dans lequel tu autorises les communications de client à client et u masque en /24

C'est aussi simple que ça si tu n'as pas de cas du type de celui que je décris, à savoir 3 clients qui ont besoin de se voir 2 à 2  ;)

enfin, presque…

En effet, dans les dimensions que tu décris, plusieurs VPN de 250 clients, il faut très probablement faire une étude sérieuse de dimensionnement de ton serveur VPN (et donc ici de pfSense) en terme de CPU. Normalement pas trop de soucis de mémoire mais pour le CPU, ça ne va pas marcher avec un LX800  ;D ;D ;D ça dépend également du niveau d'encryption.

Fait également attention au choix de TUN vs. TAP si au final tu veux que les utilisateurs se voient vraiment "comme sur un réseau local", sachant, mais rien n'est gratuit ni magique, que ça consomme également plus de bande passante.

Musy

@chris4916:

@Musy:

Ce que je veux c'est la possibilité max de 250 client par serveur VPN.

donc pas avec le netmask que tu as pris en exemple car il ne permet que 5 clients.
/24 pour 250 clients, c'est bien  ;D

Que si les utilisateurs A et B sont connecté à un même serveur qu'il puisse communiqué (client-to-client). Mais que si les utilisateurs A et B sont dans deux serveurs différent qu'il ne puisse plus se voir.

Quand je dis "communiquer" je veux dire donner la possibilité de se voir sur le réseau comme si les utilisateurs étais sur un réseau local.

Donc c'est un simple serveur VPN par groupe de client dans lequel tu autorises les communications de client à client et u masque en /24

C'est aussi simple que ça si tu n'as pas de cas du type de celui que je décris, à savoir 3 clients qui ont besoin de se voir 2 à 2  ;)

enfin, presque…

En effet, dans les dimensions que tu décris, plusieurs VPN de 250 clients, il faut très probablement faire une étude sérieuse de dimensionnement de ton serveur VPN (et donc ici de pfSense) en terme de CPU. Normalement pas trop de soucis de mémoire mais pour le CPU, ça ne va pas marcher avec un LX800  ;D ;D ;D ça dépend également du niveau d'encryption.

Fait également attention au choix de TUN vs. TAP si au final tu veux que les utilisateurs se voient vraiment "comme sur un réseau local", sachant, mais rien n'est gratuit ni magique, que ça consomme également plus de bande passante.

J'ai trouvé ça http://backreference.org/2010/05/02/controlling-client-to-client-connections-in-openvpn/
A priori avec cette solution, un seul serveur VPN suffit et derrière je contrôle les communications entre les utilisateurs. Plus qu'a faire un script pour tout automatisé ^^

jdh

(Quel problème invraisemblable …)

NB : Le dernier lien mentionne des lignes 'iptables' ! pFsense n'utilise absolument pas netfilter/iptables mais pf ! (D'où le nom !)

Musy

@jdh:

(Quel problème invraisemblable …)

NB : Le dernier lien mentionne des lignes 'iptables' ! pFsense n'utilise absolument pas netfilter/iptables mais pf ! (D'où le nom !)

Suffit juste d'adapter les règles à pfsense ;)

jdh

Suffit juste d'adapter les règles à pfsense

Je n'y avais pas pensé !

Dans l"exemple indiqué au départ, 2 questions :

• pourquoi un adressage comme 4.0.0.x ? Cela semble non rfc1918 compatible ?
• comment obtenez vous des clients avec .2, .3, .4 ? J'obtiens des clients (windows) en .5; .9, .13, … (soit 63 clients max si réseau /24) !

Un question générale :

• quel est le contexte ? scolaire, perso, stage ou pro réel ?

chris4916

@jdh:

Dans l"exemple indiqué au départ, 2 questions :

• pourquoi un adressage comme 4.0.0.x ? Cela semble non rfc1918 compatible ?
• comment obtenez vous des clients avec .2, .3, .4 ? J'obtiens des clients (windows) en .5; .9, .13, … (soit 63 clients max si réseau /24) !

Parce que son subnet mask est /21 (et non pas /29 comme je l'ai lu et écrit par erreur. C'est 255.255.248.0 et non pas 255.255.255.248)
Mea culpa, J'ai lu un peu vite  :-[  (ce serait trop simple d'utiliser CIDR  :P)

Tous les clients de son exemple son dans le même subnet et on reste dans l'approche d'utiliser la fonction magique de OpenVPN qui est un peu plus fine que "tous les utilisateurs se voient ou aucuns se voient"

Donc un peu plus de 2000 clients par serveur VPN  ;)

Reste que c'est effectivement une adresse étrange qui va potentiellement poser des problèmes sur le réseau US.

jdh

/21 (au lieu de /24) ne change rien au problème !

Observé en pratique :

• pfSense avec un serveur OpenVPN avec réseau 10.0.8.0/24
• pfsense reçoit l'ip 10.0.8.1
• le premier client (windows) recoit l'ip 10.0.8.6 /32 et une route pour 10.0.8.1 via 10.0.8.5 (en utilisant l'interface 10.0.8.6)
• (en sus, sont définis 10.0.8.4 et .7 et associées à 10.0.8.6)
• le client suivant obtient 10.0.8.10 et ainsi de suite …
  (Il est vrai que 'client-to-client' n'est pas activé mais je doute que cela change l'adressage fourni ...)

Bref, je répète mes 3 questions :

• 4.0.0.x est-il rfc1918 compliant ?
• comment obtenir .2, .3, .3, .4
• quel contexte ?
  (et l'adaptation d'iptables à pf)

En fait je pense que la situation de test n'a jamais été obtenue en réel, et que tout cela est 'discussion théorique' sans réel fondement ni analyse ...

Musy

Bref, je répète mes 3 questions :

• 4.0.0.x est-il rfc1918 compliant ?
• comment obtenir .2, .3, .3, .4
• quel contexte ?
  (et l'adaptation d'iptables à pf)

Alors je réitère ma demande.
Ce que je cherche c'est obtenir un seul réseau (ici 4.0.0.0/16), dans le lequel je souhaite plusieurs serveurs VPN qui ne communique pas entre eux.

Si l'utilisateur A est dans le premier serveur, l'utilisateur B dans le second puis l'utilisateur C dans le troisième, ils ne doivent pas pouvoir communiqué ou être vu entre eux.
Toutefois si l'utilisateur A et B sont dans le premier serveur, l'utilisateur C dans le troisième, seul les utilisateur A et B peuvent communiqué entre eux.

Et oui j'arrive facilement à obtenir un adressage 4.0.0.2, 4.0.0.3, 4.0.0.4, etc sans difficulté avec un serveur VPN standard et un réseau en 4.0.0.0/16.

Quant au choix du réseau 4.0.0.0 c'est juste une préférence, mais j'aurai pu mettre 5.0.0.0 ou encore 6.0.0.0 peut importe car cela restera du local et ne pose aucun problème.

En fait je pense que la situation de test n'a jamais été obtenue en réel, et que tout cela est 'discussion théorique' sans réel fondement ni analyse …

Et non j'ai mis en pratique un serveur qui fonctionne actuellement avec plusieurs VPN :
4.0.0.0/23
4.0.2.0/23
4.0.4.0/23
etc

Et cela fonctionne sauf que j'aimerai avoir un seul réseau.

jdh

Stop pour moi.

Pas un instant …

ccnet

Stop aussi.