Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Quel client OpenVPN Windows ?

    Scheduled Pinned Locked Moved Français
    6 Posts 2 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J Offline
      jdh
      last edited by

      Attention un peu hors sujet pfSense !

      Contexte : milieu pro (groupe), expertise de l'admin : bonne, objectif production

      Besoin : Les firewall des différents sites du groupe doivent fournir un accès VPN à chaque site.
      Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.
      Le client 'classique' inclut dans la version communautaire est 'OpenVPN Gui' et il nécessite d'être administrateur.
      Or je ne veux plus avoir d'utilisateur administrateur local !

      Schéma : Classique : WAN <-> pfsense <-> DMZ + LAN

      WAN : typiquement un accès fibre

      LAN : typiquement une zone 'SERVEUR' (seule accédée en VPN), plus une zone 'DMZ', plus quelques LAN et un WIFI (GUEST)

      DMZ : oui mais non visé

      WIFI : oui mais non visé

      Autres interfaces : oui mais non visé (rôles variés : ToIP, Atelier, …)

      Règles NAT : non concerné

      Règles Firewall : à établir … : alias NetVPN -> NetSERVEUR

      Packages ajoutés : Test infructueux de 'ClientExport', donc génération directe des fichiers de conf du client (user par user)

      Question : déduit du besoin : quels clients OpenVPN pour Windows utilisez vous ? Et arrivez vous à fonctionner en non admin ?

      Pistes imaginées : J'ai testé

      • OpenVPN Gui (inclus dans communautaire) : semble limité à un tunnel VPN, donc inadapté.
      • OpenVPN MI Gui : nécessite de modifier les fichiers de conf d'origine, pas testé complétement.
      • Secure Point SSL Client : sait importer un .ovpn, fonctionne (en admin), pas encore testé en non admin.

      Recherches : Quelques liens trouvés

      • http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.html (doc ancienne avec 2 possibilités mais limité à un seul tunnel ?)
      • https://www.reddit.com/r/OpenVPN/comments/46t665/openvpn_in_windows_10_as_unprivileged_non_admin/ (m'a fait découvrir 'mi' …)

      Logs et tests : en cours …

      Merci de vos retours pratiques ...

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • C Offline
        chris4916
        last edited by

        d'après la doc, la version 32 bits fonctionne sans avoir besoin d'être admin  ;)

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • J Offline
          jdh
          last edited by

          Comme mentionné, j'ai eu une mauvaise (et ancienne) expérience du package 'Client Export'.
          Comme mentionné, la question est (un peu) hors pfSense et s'adresse à des admins de sites d'une certaine taille (expé -> taille).
          Mon contexte est une entreprise ETI multi-sites de ~1000 personnes, et il est possible que je (me) préconise autre chose que pfSense !
          (Le jeu des fusions et d'avoir une expertise … et si vous ne vous positionnez pas, on ne vous propose pas le job !)

          Merci pour vos retours d'expériences (pratiques) ...

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • C Offline
            chris4916
            last edited by

            Je croyais que tu visais un environnement de taille conséquente et des administrateurs sur des périmètres de cette taille.
            Affectivement, maintenant que tu donnes des chiffre,s je constate que je me suis trompé et ce n'est pas pour moi car environ 1000 utilisateurs, c'est, dans les environnement sur lesquels je travaille, plutôt la taille du site et non pas la taille de l'entreprise.

            Mon expérience est avec un et parfois deux zéro en plus  :P  mais encore une fois, ce n'est pas important d'avoir la plus grosse  :P

            Mais je vais quand même te faire quelques commentaires:

            Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.

            Tu peux oublier pfSense dans la cible que tu vises. Une vraie PKI qui s'appuie sur LDAP sera bien plus efficace, surtout lorsqu'il va s'agir de renouvelle les certificats, gérer les CRL etc…

            • OpenVPN Gui (inclus dans communautaire) : semble limité à un tunnel VPN, donc inadapté.

            Je ne comprends pas cette histoire de limite. Que vises-tu ? plusieurs tunnels simultanés ? je ne le pense pas. Tu peux très bien avoir plusieurs configurations (cibles) avec la version communautaire, qui au passage, j'insiste, adresse dans la version 32 bits la problématique du compte admin.

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • J Offline
              jdh
              last edited by

              Il y a, en effet, incohérence, avec PKI de 'Cert Manager' de pfSense : inadapté à la taille ! (Je l'avais oublié)

              Je vais prendre en charge l'IT d'un groupe multi-site d'~1000 personnes, et j'ai tout à faire. (Autrefois j'avais la responsabilité de plus gros, et plus petit depuis 10 ans.)
              Il n'est pas certain que je sélectionne pfSense comme firewall, mais je veux choisir un vpn à déployer, indépendamment du firewall, quitte à avoir en interne une VM Linux qui fera 'Remote Access' OpenVPN.

              ClientExport génère un exec Windows qui me parait boite noire.
              Il est vrai que j'ai tendance à installer OpenVPN 64 bits depuis que j'installe du Seven et 10 en 64 bits systématiquement (et Office 32).

              Quand on cherche les gui pour OpenVpn, on en trouve plusieurs, d'où mon appel à REX (retour d'expérience).

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • C Offline
                chris4916
                last edited by

                Client Export peut aussi, dans la dernière version de pfSense, ne générer que la config, ou l'archive

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.