Forum Linux.général VPN simple entre serveurs

Posté par P.-A. le 17 mars 2010 à 18:44.

Étiquettes : aucune

-1

mar.

2010

Bonjour,

J'ai plusieurs serveurs chez un même hébergeur et j'aimerai avoir une possibilité d'adressage privée. Mes serveurs ont tous une IP publique. Je souhaite juste simuler l'existence d'une interface privée, qui, d'un point de vue logique, permet uniquement de joindre mes machines. Bref, je veux un VPN.

Mais pour un cas simple comme celui là, quelle solution choisir?
- J'ai pas besoin de passer NAT, Firewall etc.
- Le plus light possible
- Concerne ~10 serveurs
- Utilisable "comme" une interface réseau (ifconfig)
- C'est un plus si c'est facilement utilisable sous les Ubuntu/Debian récentes.

Pour ma part, j'utilise déjà OpenVPN que je considère comme passe partout.

# aliases ?

Posté par NeoX le 17 mars 2010 à 22:09. Évalué à 3.

s'ils sont chez le meme hebergeur, il faut juste voir avec lui si tu peux utiliser une classe privée

par exemple :
192.168.1.0/28

qui te donne des IPs de 192.168.1.1 à 192.168.1.14
http://jodies.de/ipcalc?host=192.168.1.0&mask1=28

ensuite tu fais des aliases sur tes cartes

premiere machine :
ifconfig eth0:0 192.168.1.1 netmask 255.255.255.240

deuxieme machine :
ifconfig eth0:0 192.168.1.2 netmask 255.255.255.240

...

si les machines sont sur le meme reseau physique (reseau à plat ou meme switch) ca ne devrait pas poser plus de probleme que ca.
- [^] # Re: aliases ?
  
  Posté par P.-A. le 18 mars 2010 à 11:44. Évalué à 1.
  
  L'hébergeur en question propose en option de me les mettre ensemble sur un réseau privée. Ils ont donc blindés en conséquence. Et je trouve le surcoût trop important.
  - [^] # Re: aliases ?
    
    Posté par NeoX le 18 mars 2010 à 13:59. Évalué à 2.
    
    en meme temps faut voir quel serait l'interet
    surtout si tu n'as qu'une seule interface reseau sur les machines.
    - [^] # Re: aliases ?
      
      Posté par P.-A. le 18 mars 2010 à 19:44. Évalué à 1.
      
      De mon point de vue c'est juste pour une facilité d'administration.
# un tunnel ssh ?

Posté par Juke (site web personnel) le 18 mars 2010 à 13:03. Évalué à 1.

si c'est des machines unix, des tunnels ssh ?
# Pourquoi ?

Posté par benoar le 18 mars 2010 à 14:48. Évalué à 5.

Je ne vais pas t'expliquer comment te passer de ce que tu demandes, non. Mais je suis curieux : pourquoi tu veux faire ça ? Quelles sont les choses que tu y gagnes ? (sérieusement)
- [^] # Re: Pourquoi ?
  
  Posté par P.-A. le 18 mars 2010 à 19:43. Évalué à 1.
  
  C'est pas à cause d'une contrainte technique. C'est plutôt l'organisation logique que je recherche.
  
  J'ai actuellement l'équivalent de ce que je veux mettre en place sur mon réseau. Mais à ce niveau c'est facile de faire la distinction entre réseau interne/réseau externe. Et je souhaite déménager le tout chez un hébergeur en mode location.
  
  Si j'ai pas un équivalent d'une interface privée, je devrais jouer sur les options de routage (iptables), les contrôles d'accès réseau (tcpwrapper), etc et à chaque fois sur chacune des machines. J'ai le sentiment que le VPN privée me facilitera la gestion.
  - [^] # Re: Pourquoi ?
    
    Posté par NeoX le 18 mars 2010 à 21:22. Évalué à 2.
    
    je suis peut-etre bete mais ...
    
    aujourd'hui tu as une maquette en reseau privé ?
    et tu veux la transposer en production c'est ca ?
    
    pkoi ne pas utiliser le fichier /etc/hosts de chaque machine
    avec
    IP-A NOM-machine-A
    IP-B NOM-machine-B
    IP-C NOM-machine-C
    
    ensuite tes services se basent sur les noms plutot que sur les IPs
    ainsi si tu demenage tes serveurs (services) ca continue de fonctionner.
    
    ensuite je comprend pas ton probleme de jouer de iptables/tcpwrapper....
    - [^] # Re: Pourquoi ?
      
      Posté par P.-A. le 19 mars 2010 à 11:27. Évalué à 1.
      
      Pour être plus précis, j'ai une plateforme de virtualisation en interne et j'aimerai la déplacer sur des serveurs loués.
      
      Et du coup, j'ai besoin de faire communiquer mes machines virtuelles via un réseau privée. Elles ne doivent pas être directement accessibles par internet.
      - [^] # Commentaire supprimé
        
        Posté par Anonyme le 19 mars 2010 à 15:25. Évalué à 2.
        
        Ce commentaire a été supprimé par l’équipe de modération.
        
        [^] # Re: Pourquoi ?
        
        Posté par P.-A. le 19 mars 2010 à 15:58. Évalué à 1.
        
        Oui voilà c'était ce à quoi je pensais.
  - [^] # Re: Pourquoi ?
    
    Posté par benoar le 19 mars 2010 à 20:53. Évalué à 2.
    
    OK, je comprend un peu mieux.
    Par contre, si (comme j'ai compris) tes machines seront réparties sur plusieurs de tes serveurs, et que ceux-ci ont donc déjà une partie publique, tu devras quand même gérer quels services sont sur quelle interface, afin qu'ils ne soient pas accessibles au public. Tu trouves cette gestion plus facile que des règles iptables ou faire passer les services par un (x)inetd ?
    Je n'ai pas d'avis complètement tranché là-dessus, mais vu que (pour moi) tu devras séparer un minimum les parties publique et privée un peu niveau réseau, je penserais que c'est plus facile de tout gérer par là. Enfin, c'est vrai que ça se discute.
    - [^] # Re: Pourquoi ?
      
      Posté par P.-A. le 21 mars 2010 à 23:00. Évalué à 2.
      
      En effet, je trouve ça plus simple de bosser sur une interface dédiée au réseau local (même si elle n'est que "virtuelle"). Et j'ai horreur de trifouiller avec iptables (PF encore je dis pas).
      
      Bon vu que IPSec me donne un mal de crâne rien qu'en lisant les tutos, je vais rester sur mon bridge OpenVPN pour le moment, en espérant que j'ai pas trop d'overhead (j'ai pas masse de traffic de tt façon)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.