ZeroShell    Forum
   Feed RSS Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      Qu'est ce que c'est?
      Screenshots
      Licence
      Annonces
      Liste de diffusion
      Forum
      Documentation  
      FAQ
      Hardware
      Download
      On-line Updates
      Kerberos Tutorial  
      Conditions d'utilisation
      Contactez-moi


  Dans plus de détails:
      Performances
      Net Balancer
      UMTS Routeur
      Proxy avec Antivirus
      Point d'accès WiFi
      OpenVPN Client
      OpenVPN Server
      QoS
      OpenDNS
      Kerberos 5
      NIS et LDAP
      Certificats X.509
      RADIUS
      Captive Portal
      VPN
      Firewall


Réseau privé virtuel (VPN)

Host to LAN VPN

La mobilité croissante des utilisateurs d'une organisation ainsi que la nécessité de ces utilisateurs d'accéder à leur réseau local comme s'ils étaient physiquement connectés, même si loin de leurs bureaux, a conduit au développement de l'hôte à un réseau local VPN. Ce type de connexion comprend un tunnel crypté qui, via Internet, le client externe se connecte à un serveur VPN à l'intérieur du LAN. Une connexion point à point est démarré dans ce tunnel avec les deux extrémités attribué des adresses IP appartenant à l'organisation. En faisant cela, le client de l'emplacement distant apparaît à l'intérieur du pare-feu et peut ainsi dialoguer avec les machines du réseau local sans courir le risque d'être filtrés.

Pour mettre en œuvre ce type de VPN Zeroshell utilise le L2TP/IPSec. L'authentification est via RADIUS dans MS-CHAP2 avec le même nom d'utilisateur et mot de passe utilisé pour authentifier pour le Kerberos 5 services. Ce type de VPN a été choisi parce que, pour le L2TP/IPSec il ya des clients pour chaque plate-forme et la plupart des systèmes Microsoft, comprennent déjà une prise en charge intégrée.

LAN to LAN VPN

La présence de succursales au sein d'une organisation, combinés avec le coût élevé des lignes de communication spécialisées a conduit à la nécessité d'utiliser Internet comme un moyen d'échange de données. D'autre part, depuis le réseau public est ouvert et l'insécurité, elle ne garantit pas la confidentialité des données qui y circulent. Ainsi, la généralisation du modèle de VPN vu dans le paragraphe précédent est utilisé.

LAN-to-LAN (ou de site à site) VPN est un tunnel crypté qui relie deux réseaux locaux (géographiquement séparées) par l'Internet. En d'autres termes un VPN peut être considéré comme un câble virtuel reliant les deux réseaux locaux: ce n'est pas grave le nombre de routeurs sont nécessaires pour traverser l'Internet, les deux réseaux locaux apparaissent séparés par un seul segment de réseau.

Tunnels VPN peuvent être classés selon qu'ils contiennent encapsulé la couche 2 (Data Link) ou paquets de couche 3 (réseau) des paquets. Dans le premier cas les deux réseaux locaux sont généralement comblé, et ainsi tout le niveau 3 du protocole (IP, IPX, Apple Talk) peut passer à travers eux. Naturellement, le niveau 2 de broadcast se propage également entre les 2 réseaux locaux.
Au lieu de cela, dans le second type de VPN, un seul protocole de couche 3 peuvent transit (généralement IP) et le trafic est acheminé via des routes statiques. De cela, il est possible de déduire que les deux réseaux locaux doivent appartenir à des sous-réseaux distincts.

Différents protocoles standards existent pour construire des VPNs. La plus connue pour les VPN IP type est certainement IPSEC où, pour chaque paquet unique l'en-tête est authentifié par le protocole AH et la charge utile cryptées par le protocole ESP. Toutefois, le fait de chiffrer la charge utile, contenant également la source et le numéro de port de destination du TCP/UDP niveau de la transmission, crée des problèmes pour les routeurs intermédiaires effectuer NAT. Ces derniers, en outre, générer des erreurs de somme de contrôle pour le protocole d'authentification AH en changeant la source de paquets IP. La solution, connue sous le nom NAT Traversal (NAT-T), est généralement d'encapsuler dans des datagrammes UDP IPSEC sur le port 4500. Un autre problème de IPSEC est que pour être en mesure d'authentifier et de crypter les paquets d'une structure d'échange de clé appelé IKE (Internet Key Exchange) est nécessaire. Ce serveur, qui répond sur le port UDP 500, appuie généralement l'authentification avec des clés pré-partagées ou les certificats X.509.

Zeroshell préfère encapsuler des paquets Ethernet dans les tunnels TLS avec authentification par certificats X509 sur les deux points de terminaison en tant que solution au VPN de site à site. Cette solution non-standardisés nécessite l'utilisation d'une Routeur Zeroshell dans les deux réseaux locaux ou un autre système utilisant le logiciel opensource OpenVPN. Cette solution a été choisie car elle présente les avantages suivants:

  • En créant une connexion Ethernet (couche 2) entre les deux réseaux locaux, en plus du routage, de pontage de réseaux est rendue possible en garantissant le passage d'un protocole de niveau 3 (IP, IPX, Apple Talk);
  • Le protocole VLAN 802.1Q est pris en charge. Cela signifie que si un réseau est divisé en réseaux locaux virtuels, ces derniers peuvent également être transportés sur le réseau de pairs avec un seul tunnel VPN;
  • collage (Bonding) de deux ou plusieurs réseaux privés virtuels est pris en charge l'équilibrage de charge ou la configuration de la tolérance aux pannes. Cela signifie, par exemple, que s'il ya deux ou plusieurs connexions ADSL, un VPN peut être créé pour chaque connexion et ils peuvent être combinés augmentation de la bande ou la fiabilité
  • Merci à l'algorithme de compression LZO en temps réel, les données sont compressées de manière adaptative. En d'autres termes, la compression se produit uniquement lorsque les données sur le VPN peut vraiment être comprimé;
  • L'utilisation de tunnels TLS sur TCP ou UDP ports permet de transit où le routeur NAT est activé sans problèmes.



    Copyright (C) 2005-2012 by Fulvio Ricciardi