Product SiteDocumentation Site

8.5. Réseaux Privés Virtuels

Un réseau privé virtuel (VPN) est un groupe d'au moins deux ordinateurs, habituellement reliés à un réseau privé offrant un accès réseau public limité, qui communiquent de façon sécurisée par l'intermédiaire d'un réseau public. Les VPN peuvent connecter un seul ordinateur à un réseau privé (client serveur) ou un réseau local (LAN) distant à un réseau privé (serveur serveur). Les VPN incluent souvent l'utilisation du chiffrement, une authentification forte des utilisateurs ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.
Debian fournit un nombre assez important de paquets pour mettre en place des réseaux privés virtuels chiffrés :
  • vtun
  • tunnelv (section non-US) 
  • cipe-source, cipe-common
  • tinc
  • secvpn
  • pptpd
  • openvpn
FIXME : Mettre à jour cette information car elle a été écrite en pensant à FreeSWAN. Vérifier le bogue nº 237764 et le Message-Id: <200412101215.04040.rmayr@debian.org>.
Le paquet OpenSWAN est probablement le meilleur choix dans l'ensemble étant donné qu'il promet d'être fonctionnel avec tout matériel gérant le protocole de sécurité d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement. Le protocole de tunnel point à point (PPTP) est le protocole propriétaire Microsoft pour les VPN. Il est pris en charge sous Linux mais il est connu pour avoir de sérieux problèmes de sécurité.
Pour plus d'informations, lire le http://www.traduc.org/docs/HOWTO/vf/VPN-Masquerade-HOWTO.html (couvre IPsec et PPTP), le http://www.traduc.org/docs/HOWTO/vf/VPN-HOWTO.html (couvre PPP à travers SSH), le http://www.linuxdoc.org/HOWTO/mini/Cipe+Masq.html et le http://www.linuxdoc.org/HOWTO/mini/ppp-ssh/index.html.
Cela vaut également le coup de vérifier http://yavipin.sourceforge.net/, mais aucun paquet Debian ne semble être disponible pour l'instant.

8.5.1. Le tunnel point à point

Si vous désirez fournir un serveur de tunnel pour un environnement mixte (à la fois pour les systèmes d'exploitation Microsoft et les clients Linux) et qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et Windows XP), vous pouvez utiliser PoPToP (serveur de tunnel point à point), fourni dans le paquet pptpd.
Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec le serveur fourni dans le paquet ppp, veuillez noter la remarque suivante de la FAQ :
Utiliser PPP 2.3.8 n'est nécessaire que si vous voulez une
authentification et un chiffrement compatible Microsoft MSCHAPv2/MPPE.
La raison est que le correctif MSCHAPv2/MPPE actuellement fourni
(19990813) est relatif à PPP 2.3.8. Si vous n'avez pas besoin de
l'authentification ou du chiffrement compatible Microsoft, n'importe
quelle source PPP 2.3.x fera l'affaire.
Vous devez cependant appliquer le correctif noyau fourni par le paquet kernel-patch-mppe qui fournit le module pp_mppe pour pppd.
N'oubliez pas que le chiffrement dans ppptp vous oblige à stocker les mots de passe utilisateur en clair et que le protocole MS-CHAPv2 contient des http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/.