Projet

Général

Profil

Comparatif VPN » Historique » Version 6

Baptiste Jonglez, 31/05/2014 04:41

1 1 Laurent GUERBY
h1. VPN
2 1 Laurent GUERBY
3 4 Baptiste Jonglez
Comparaison de différentes solutions de VPN, selon plusieurs critères (facilité de mise en place, performance, sécurité, etc).  L'usage considéré est celui de transport d'IP publiques (collecte virtuelle), voir [[Partage ADSL OpenVPN]].
4 4 Baptiste Jonglez
5 4 Baptiste Jonglez
Pour des benchmarks détaillés sur des petits routeurs OpenWRT, voir [[Benchmark VPN]].
6 4 Baptiste Jonglez
7 6 Baptiste Jonglez
Overview OpenWRT : http://wiki.openwrt.org/doc/howto/vpn.overview
8 6 Baptiste Jonglez
9 4 Baptiste Jonglez
h2. OpenVPN
10 4 Baptiste Jonglez
11 4 Baptiste Jonglez
Avantages :
12 4 Baptiste Jonglez
13 4 Baptiste Jonglez
* simple à mettre en place, éprouvé, documenté
14 4 Baptiste Jonglez
* standard de fait, existe pour tous les OS décents
15 4 Baptiste Jonglez
* chiffrement (optionnel)
16 4 Baptiste Jonglez
* authentification forte (certificat SSL, secret partagé, ...)
17 5 Baptiste Jonglez
* transport UDP ou TCP (passe bien le NAT, voire les firewalls restrictifs)
18 5 Baptiste Jonglez
* fragmentation intégrée (mais peut aussi poser problème niveau performances)
19 4 Baptiste Jonglez
20 4 Baptiste Jonglez
Inconvénients :
21 1 Laurent GUERBY
22 4 Baptiste Jonglez
* faible performance sur des petits routeurs (même sans chiffrement) → raison : tunnel userspace
23 5 Baptiste Jonglez
* maintenabilité : obligé de configurer un nouveau tunnel point-à-point pour chaque connexion VPN (alternative : mode serveur multi-client, mais peu pratique pour faire du routage un peu complexe)
24 4 Baptiste Jonglez
25 4 Baptiste Jonglez
Liens :
26 4 Baptiste Jonglez
27 4 Baptiste Jonglez
* [[OpenVPN]]
28 1 Laurent GUERBY
* [[Partage_ADSL_OpenVPN]]
29 1 Laurent GUERBY
30 5 Baptiste Jonglez
h2. GRE
31 5 Baptiste Jonglez
32 5 Baptiste Jonglez
Avantages :
33 5 Baptiste Jonglez
34 5 Baptiste Jonglez
* extrêmement simple à mettre en place, disponible absolument partout
35 5 Baptiste Jonglez
* performance : implémentation kernelspace, encapsulation très simple
36 5 Baptiste Jonglez
37 5 Baptiste Jonglez
Inconvénients :
38 5 Baptiste Jonglez
39 5 Baptiste Jonglez
* pas d'authentification
40 5 Baptiste Jonglez
* pas de chiffrement
41 5 Baptiste Jonglez
* maintenabilité : configurer un nouveau tunnel pour chaque connexion VPN
42 5 Baptiste Jonglez
* ni TCP, ni UDP : certains firewalls n'aiment pas (e.g. Livebox)
43 5 Baptiste Jonglez
* pas de keepalive intégré : pose problème pour la connectivité bidirectionnelle à travers un NAT / firewall stateful
44 5 Baptiste Jonglez
* IPv6 pas super bien intégré (notamment, pas mal de bugs sur le link-local)
45 1 Laurent GUERBY
46 6 Baptiste Jonglez
h2. PPP/L2TPv2
47 6 Baptiste Jonglez
48 6 Baptiste Jonglez
On parle ici de L2TPv2 (RFC 2661), qui encapsule obligatoirement du PPP et qui est obligatoirement transporté sur UDP.
49 6 Baptiste Jonglez
50 6 Baptiste Jonglez
Liens :
51 6 Baptiste Jonglez
52 6 Baptiste Jonglez
* https://www.kernel.org/doc/Documentation/networking/l2tp.txt
53 6 Baptiste Jonglez
54 6 Baptiste Jonglez
55 6 Baptiste Jonglez
h2. PPP/L2TPv2/IPsec
56 6 Baptiste Jonglez
57 6 Baptiste Jonglez
Liens :
58 6 Baptiste Jonglez
59 6 Baptiste Jonglez
* RFC 3193
60 6 Baptiste Jonglez
61 6 Baptiste Jonglez
h2. L2TPv3
62 6 Baptiste Jonglez
63 6 Baptiste Jonglez
Il existe également L2TPv3 (RFC 3931) qui est censé permettre plus de choses : transport d'autres protocols que PPP (IP, Ethernet, etc), sécurité, tunnels statiques, encapsulation directe dans IP, etc.
64 6 Baptiste Jonglez
65 6 Baptiste Jonglez
Linux supporte L2TPv3 depuis quelques années (2.6.35), et 
66 6 Baptiste Jonglez
67 6 Baptiste Jonglez
Liens :
68 6 Baptiste Jonglez
69 6 Baptiste Jonglez
* https://www.kernel.org/doc/Documentation/networking/l2tp.txt
70 6 Baptiste Jonglez
* http://wiki.openwrt.org/doc/uci/network#protocol.l2tp.l2tp.pseudowire.tunnel
71 6 Baptiste Jonglez
* http://wiki.openwrt.org/doc/howto/pseudowire#l2tpv3.with.openwrt
72 6 Baptiste Jonglez
* http://en.wikipedia.org/wiki/L2TPv3
73 6 Baptiste Jonglez
* http://www.openl2tp.org/pipermail/openl2tp-users/2010-April/000836.html
74 5 Baptiste Jonglez
75 5 Baptiste Jonglez
h2. Tinc
76 4 Baptiste Jonglez
77 4 Baptiste Jonglez
h2. Autres
78 1 Laurent GUERBY
79 1 Laurent GUERBY
* http://www.dest-unreach.org/socat/doc/socat-tun.html
80 1 Laurent GUERBY
* http://www.tinc-vpn.org/