View previous topic :: View next topic |
Author |
Message |
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Sun Aug 06, 2006 10:00 am Post subject: [Lancement Projet] VPN Distribué - decentVPN |
|
|
Bonjour tout le monde
Ce thread est la suite de celui intitulé: [Réseau] VPN distribué.
Apparemment, certains d'entre nous vont tenter de passer du côté obscur de la GPL, et s'essayer à la création de projet
Pour ceux qui ont déjà fait, c'est douloureux?
Bref, le concept est simple: il s'agit d'avoir un VPN dont les flux ne soient pas obligés de passer par le serveur comment c'est la cas d'une colution classique. Chaque client doit pouvoir s'adresser directement à un autre.
Pour ceux qui connaissent, on va en fait s'attaquer à un segment occupé pour l'instant uniquement par hamachi qui est proprio, mais fait fureur (qq millions d'utilisateur, parait). J'ai abslomument pas confiance en cette bestiole, donc... "Vas-y gaillard, on te regarde".
La description initiale plus complète en anglais du projet.
EDIT: Cette page de présentation est en cours de MAJ.
Dans ce premier thread, il s'agit juste de présenter à la communauté gentoo francophone le soft que l'on veut obtenir et "l'équipe", et faire appel à leur créativité et leur dynamisme .
[edit: snipé la partie sur le nom, pour + de clarté]
Participants (par ordre d'arrivée):
- El_Goretto - admin, codeur amateur et initiateur du projet
- CryoGen - admin, codeur et client du projet
- -KuRGaN- - testeur & gestion peri-projet (wiki, serveur de test à disposition)
- PabOu - boîte à idée & gestion peri-projet (wiki, TRAC, etc.)
- kaworu - testeur
- Oupsman - testeur + serveur de test à disposition
- Poischack - testeur +OpenBSD
- truc - joker
_________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)
Last edited by El_Goretto on Thu Oct 12, 2006 2:28 pm; edited 10 times in total |
|
Back to top |
|
|
antoine_ Tux's lil' helper
Joined: 07 Apr 2006 Posts: 103 Location: Paris ou Bordeaux
|
Posted: Sun Aug 06, 2006 10:36 am Post subject: |
|
|
Concernant le nom : je ne sais pas ce qui se fait dans le domaine des logiciels libres.
Si tu veux déposer un nom, en France cela se fait auprès de l'INPI. Un nom se dépose dans des catégories. Une catégorie correspond à un type d'activité (j'invente des exemples : une catégorie pour l'organisation de salons, une catégorie pour le tourisme et les agences de voyages, une catégorie pour les logiciels...). Il y en a un peu plus d'une quarantaine je crois. Donc tu peux déposer un nom qui existe déjà, mais pas dans les même catégories.
Déposer un nom pour 10 ans dans une, deux, ou trois catégories coûte 225. Au delà c'est 40 de plus par catégorie. A priori 3 catégories devraient vous suffire.
Maintenant votre logiciel ne va pas être utilisé uniquement en France, et je ne sais pas si vous avez intêret à déposer le nom dans d'autres pays (surtout que ça va vous coûter drôlement cher à force).
Bon à savoir : si vous utilisez un nom sans l'avoir déposé, qu'une société le dépose plus tard, vous pourrez le récupérer en prouvant que vous l'avez utilisé avant. Ceci dit ça imposera de faire un procès (ce qui coûte très très cher).
A mon avis, tant que vous n'avez pas un projet un petit peu solide, ne vous embêtez pas à savoir si il faut déposer le nom. |
|
Back to top |
|
|
nykos Guru
Joined: 08 Jun 2005 Posts: 488 Location: Strasbourg
|
Posted: Sun Aug 06, 2006 11:57 am Post subject: |
|
|
le nom c'est vite changé par la suite
je trouve l'idée géniale, je connaissais vaguement hamachi et je trouvais l'idée très bonne
par contre es-tu sûr qu'avec la nouvelle loi tu risques rien ? _________________ -=Nykos=-
TARGA Traveller 826T - AMD Turion 64 MT 32 1,8GHz - ATI Radeon X700 Mobility (ati-drivers) |
|
Back to top |
|
|
CryoGen Veteran
Joined: 11 Feb 2004 Posts: 1426 Location: Bamako - Mali - Afrique
|
Posted: Sun Aug 06, 2006 12:36 pm Post subject: |
|
|
Je pense pas.... sinon une connexion via un ordi en ssh te permet d'échanger des fichiers donc ssh illégal ! De toutes facons avec cette lois tout est illégal Et ce n'est pas un logiciel insitant au partage de fichiers _________________ - CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword... |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Sun Aug 06, 2006 12:59 pm Post subject: |
|
|
nykos wrote: | par contre es-tu sûr qu'avec la nouvelle loi tu risques rien ? |
Concernant le risque dû à la phobie anti-p2p, je ne pense pas. Il n'y a aucun dispositif d'échange de fichier, et on ne le facilite pas. Par contre, utiliser des systèmes de camouflage pour télécharger des fichiers illégaux est considéré comme circonstance aggravante (je l'ai lu).
C'est un VPN, rien d'autre. Toutes les entreprises en utilisent. Si çà devenait hors la loi...
Maintenant, je n'ai pas assez étudié la sale bête DADVSI pour être catégorique.
@antoine_: Merci pour les infos
Concernant le projet, je reviens sur Sourceforge. Je vais l'y inscrire. Ca permet d'avoir plein de services utiles sans se casser le f...on: espace pour un site de 100Mo, CVS/SVN, Forum, bugtracking etc.
Autre chose, je l'ai déclaré LGPL. Ca pose problème? J'ai lu l'article sur les différences avec la GPL sur wikipedia, je pense que c'est le plus sage. Sinon, en attendant vos suggestions de noms, et pour me faire la main, j'ai enregistré un projet au nom de decentVPN. A vos critiques et suggestions
Je finis la page de description du projet, et je poste le lien temporaire (en attendant l'acceptation par SourceForge).
--
edit: Effectivement, comme l'a dit Kurgan, le nom du démon peut se contracter... Ca marche aussi avec mon dvpnd
Sinon, pour le nom "non pro" (à destination des non linuxiens) j'avais pensé à Kodachi, mais un projet sur sourceforge l'occupe déjà, ggrrr. Sinon j'ai pensé à Nodachi (jeu de mot avec Node, cf la description, et référence au concurrent proprio ). A vous de voir, c'est tout à fait subjectif _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)
Last edited by El_Goretto on Thu Oct 12, 2006 2:29 pm; edited 3 times in total |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Sun Aug 06, 2006 1:19 pm Post subject: |
|
|
Au niveau du nom je pensai à DVPN comme DistributedVPN avec un petit nom pour le daemon comme dvnpd
Ou histoire de ne pas trop déranger au niveau de DADVSI, un petit p2pvpn _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Sun Aug 06, 2006 5:25 pm Post subject: |
|
|
Et une fois le nom trouvé, il faudrait qu'un graphiste nous fasse un petit logo sympa, déjà histoire de le mettre sur le wiki.
En parlant du wiki, je pensai à mediawiki, simple et efficace.
Tu en penses quoi Pabou? _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
truc Advocate
Joined: 25 Jul 2005 Posts: 3199
|
Posted: Sun Aug 06, 2006 9:43 pm Post subject: |
|
|
Bonjour, je ne suis pas (pour l'instant en tout cas..) capable de coder quoique ce soit, cependant, ce projet m'interesse grandement, aussi, je vous serai très reconnaissant, de nous faire partager vos anvancées, discutions, etc.. (cette thread là, est déjà un bon début, (et une bonne suite à la précédente que je suivais également))
Donc, voila, je ne prétends pas vouloir faire parti de l'équipe, mais si toute fois, [un jour] je pouvais vous être utile, alors, je serai, à priori, disponible, et ravi de pouvoir faire avancer un tel projet ( oui je sais j'ai une soutenance et un rapport à présenter en septembre mais bon... )
J'ai, par contre une petite question. Vous avez l'air de dire qu'un tel 'logiciel' (qu'une telle solution) pourrait interesser les joueurs, ça me surprend, étant donné qu'on parle souvent de la lenteur des VPN? Je suis d'accord qu'en ne passant pas par un seul serveur 'central' cela améliorera forcément la latence, mais je me demande, quand même ce qu'on peut réellement espérer |
|
Back to top |
|
|
Nattfodd Retired Dev
Joined: 07 Feb 2006 Posts: 62 Location: Göteborg, Sweden
|
Posted: Sun Aug 06, 2006 10:01 pm Post subject: |
|
|
Trouver un nom, c'est certes utile, mais pas primordial et il y a beaucoup de choses à penser avant d'en arriver là. Définir clairement ce que vous voulez, quelles features vous allez supporter tout de suite et lesquelles vous ajouterez par la suite, quel langage, quelles librairies, quelles plateformes, etc...
Trouver un noyau dur de devs, des gens sur lesquels vous savez pouvoir compter.
Mettre en place les outils dont vous allez avoir besoin. Les sites de gestion de projet à la sourceforge.net proposent tout ce qu'il faut. Personnellement, je préfère gna! (www.gna.org) à SF.net, ils sont français en plus.
Vous ouvrez une ou deux ML pour discuter design et commencez à utiliser subversion.
L'important est ensuite d'arriver à avoir suffisamment rapidement quelque chose de fonctionnel. Sinon, le risque est que le "soufflé retombe" et de ne plus avancer faut de motivation. L'idéal est de réussir à avoir quelque chose d'utilisable avec l'impulsion de départ et de gagner suffisamment d'utilisateurs suffisamment vite pour redonner un second souffle (rien ne motive tant que d'avoir du feedback). _________________ Don't believe the red stuff, I'm retired. |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Namur - Belgium
|
Posted: Sun Aug 06, 2006 11:08 pm Post subject: |
|
|
-KuRGaN- wrote: | Et une fois le nom trouvé, il faudrait qu'un graphiste nous fasse un petit logo sympa, déjà histoire de le mettre sur le wiki.
En parlant du wiki, je pensai à mediawiki, simple et efficace.
Tu en penses quoi Pabou? |
Tout d'abord, je suis d'accord avec le message du grand développeur nattfodd ;) le nom et le logo, c'est vraiment secondaire. Si le programme se montre à la hauteur de nos attentes et qu'il comble plein de gens, c'est plus important que le goût des personnes en matière de nom de programme...
Pour le wiki, je dois dire que je ne connais que mediawiki, je n'ai pas touché à d'autres.
Ne risque-t-on pas de tomber dans le même piège que phpbb ? tellement utilisé et lourd que des failles sont fréquemment découvertes et exploitées ? mais cela inclut souvent une bonne réactivité de correction des bogues, que d'autres plateformes n'égalent pas... l'un dans l'autre, je ne sais pas lequel est le mieux.
Personnellement, j'aimerais bien essayer TRAC qui est vraiment orienté pour le développement de projets/applications... Peut-être que les services qu'il propose seront redondants avec ce qui est offert par SF.net
Mais la premiere idée que j'avais en tête, c'était d'utiliser un wiki pour faire un liste des features du programme (comme la page de Goretto), et puis d'aller un peu plus loin dans l'explication de ces features (comment l'intégrer, ...) pour que les devs puissent mettre leurs idées à plat, de bien définir ce qui doit être fait, et de quelle façon.. Pour débattre de tout ça, une mailing list serait le plus approprié, tout en se référant au wiki.
Demain, à tête reposée, je lirai la page d'introduction au projet de mister El_Goretto _________________ Mangez du poulet ! |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Mon Aug 07, 2006 5:29 am Post subject: |
|
|
truc wrote: | J'ai, par contre une petite question. Vous avez l'air de dire qu'un tel 'logiciel' (qu'une telle solution) pourrait interesser les joueurs, ça me surprend, étant donné qu'on parle souvent de la lenteur des VPN? Je suis d'accord qu'en ne passant pas par un seul serveur 'central' cela améliorera forcément la latence, mais je me demande, quand même ce qu'on peut réellement espérer |
En fait, on peut espérer une augmentation de latence minimale sinon négligeable, étant donné que sans chiffrement, on se contentera de faire du routage de paquet. Donc changer une @IP d'un paquet déjà forgé et l'envoyer, c'est super rapide, mon serveur/fw/routeur gentoo fait çà tous les jours sur tout ce qui lui passe sous la main
L'intérêt est une interface réseau virtuelle (celle du VPN) que les jeux verront comme appartenant à un "LAN". _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
kaworu Guru
Joined: 07 Dec 2005 Posts: 450
|
Posted: Mon Aug 07, 2006 7:10 am Post subject: |
|
|
Salut !
Je n'ai surement pas le "profil requis" pour être programmeur (seulement 1 ans de prog dans les pattes - Java/ Bash / Python), mais si vous avez besoin d'un betâ testeur ou qqch comme ça, je suis là ^_______^ _________________ Macbook
Core2Duo @ 2.0GHz - 1Go RAM - HD 80Go - Intel GMA 945
Gentoo GNU/Linux
~amd64 - 2.6.24-gentoo-r2 - Fluxbox || (KDE && Compiz-Fusion) |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Mon Aug 07, 2006 8:27 am Post subject: |
|
|
J'ai éventuellement mon serveur perso à disposition, et je peux administrer les serveurs éventuels. _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Mon Aug 07, 2006 5:45 pm Post subject: |
|
|
@truc &Oupsman: On pourra avoir besoin de vous pour les tests. En devenant un node du VPN en installant le client, ça serait déjà un aide précieuse. Pour le serveur, Oupsman, KuRGaN a déjà repondu présent, mais 2 c'est toujours mieux que 1
@kaworu: pareil, et dépêche toi d'apprendre
@Nattfodd: merci pour tes conseils... Tu voudrais pas devenir notre "consultant" en projet, des fois? De précieux conseils pour des apprentis lanceurs de projets, çà serait fantastique. Genre on t'intègre à l'équipe, tu passes qd tu veux et tu nous dis ce que tu penses de la conduite du projet (pas forcément besoin de mettre le nez dans le code, enfin sauf si tu as le temps pour çà naturellement ).
@PabOu & KuRGaN: Si un système permet la rédaction de docs en collaboratif à la façon wiki, mais que ce n'est pas du wiki, çà devrait aller tout autant... Pour TRAC, à vous de voir, j'ai lu cette critique. Pour la gestion des tickets etc, je ne sais pas si il vaut mieux compter sur SourceForge qui est un outil plus standard et auquel les "spectateurs" du projet pourraient être plus habitués. Si on peut installer un wiki ou équivalent sur l'espace web fourni pas SourceForge, alors on peut s'organiser un "match" TRAC (ou autre) contre SF+Wiki et lister les points sur lesquels l'un ou l'autre l'emporte. Le but du jeu, c'est quand même que les outils ne soient pas un obstacle, après si Pabou nous assure un truc du tonnerre avec un outils un peu exotique mais stable... _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
CryoGen Veteran
Joined: 11 Feb 2004 Posts: 1426 Location: Bamako - Mali - Afrique
|
Posted: Mon Aug 07, 2006 6:28 pm Post subject: |
|
|
Et bien ca bouge ici ^^
J'ai lu la page de presentation et j'aimerai poser immediatement une question sur la partie "NAT" : dans les versions futur tu comptes tarverser le NAT sans configuration particuliere mais en attendant cette version pourrat-on tout de meme passer le nat ? Je dis ca car beaucoup de personne utilise des routeurs maintenant, les connexions directes se "rarifient" (surtout chez mes clients XD) _________________ - CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword... |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Mon Aug 07, 2006 6:52 pm Post subject: |
|
|
CryoGen wrote: | Et bien ca bouge ici ^^ |
Ya bon
CryoGen wrote: | J'ai lu la page de presentation et j'aimerai poser immediatement une question sur la partie "NAT" : dans les versions futur tu comptes tarverser le NAT sans configuration particuliere mais en attendant cette version pourrat-on tout de meme passer le nat ? Je dis ca car beaucoup de personne utilise des routeurs maintenant, les connexions directes se "rarifient" (surtout chez mes clients XD) |
Euh, clairement il faut qu'on puisse franchir un NAT, mais le tout est de savoir de quelle façon. Si le NAT est configuré pour forwarder un port (au hasard celui que le client utilise en mode écoute), aucun problème mais je pense que ce n'était pas ta question, si?
Parce que pour le franchissement de NAT sans forwarding de port spécifique, j'ai pas encore réfléchi. Il parait qu'il y a des techniques, mais là on touche au réseau "avancé", il faudrait que je me renseigne.
Si c'était ta question, tu as des idées?
Et pour le nom, ça te va ou tu as une proposition? _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Namur - Belgium
|
Posted: Mon Aug 07, 2006 7:08 pm Post subject: |
|
|
CryoGen wrote: | j'aimerai poser immediatement une question |
D'où l'utilité d'une Mailing List entre nous.
CryoGen wrote: | dans les versions futur tu comptes tarverser le NAT sans configuration particuliere mais en attendant cette version pourrat-on tout de meme passer le nat ? Je dis ca car beaucoup de personne utilise des routeurs maintenant, les connexions directes se "rarifient" (surtout chez mes clients XD) |
Si tout est encapsulé dans un paquet IP (comme OpenVPN), il suffira d'une simple redirection de port... au contraire d'IPsec ou il fait des modifications directement sur le paquet qui sera routé (et donc ca passe pas très bien les NAT). _________________ Mangez du poulet ! |
|
Back to top |
|
|
CryoGen Veteran
Joined: 11 Feb 2004 Posts: 1426 Location: Bamako - Mali - Afrique
|
Posted: Mon Aug 07, 2006 7:41 pm Post subject: |
|
|
Oki donc si une redirection de port suffit ca peut s'arranger
Et si j'ai bien compris il nous faut un "serveur" par "point de connexion" au VPN ? En gros sur chaque routeur-machine linux on balance notre soft et apres un coup de bageutte magique (et de nombreux litres de sueur) ca marche ? Je demande ca histoire de pouvoir degrossir l'idée
Pour le nom je propose: ngVPN => Next-Gen VPN (un brin pretentieux non ) _________________ - CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword... |
|
Back to top |
|
|
truc Advocate
Joined: 25 Jul 2005 Posts: 3199
|
Posted: Mon Aug 07, 2006 8:16 pm Post subject: |
|
|
Bon j'y vais de mon commentaire, pour trac, j'ai fait joujou, en tant que simple utilisateur avec celui de initng et c'est pas spécialement repoussant.
Ce que j'apprécie, c'est le tout en un, le fait de pouvoir faire des rapport de bug lisible (syntaxe wiki) etc. c'est un gros point fort à mon gout. |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Mon Aug 07, 2006 8:19 pm Post subject: |
|
|
CryoGen wrote: | Oki donc si une redirection de port suffit ca peut s'arranger
Et si j'ai bien compris il nous faut un "serveur" par "point de connexion" au VPN ? En gros sur chaque routeur-machine linux on balance notre soft et apres un coup de bageutte magique (et de nombreux litres de sueur) ca marche ? Je demande ca histoire de pouvoir degrossir l'idée |
Il n'y aurait qu'un seul serveur pour tout le VPN (sauf si on implémente la délégation d'authent' mais c'est loiiiin dans le plan d'avancement). Le coup du forwarding du port se fait au niveau de l'équipement routeur. Par contre, je pense que cette astuce ne marche que si un seul client est derrière le routeur.
Sinon au choix:
1- implémenter de laisser le choix du port découte sur le client, et le routeur devra avoir autant de ports forwardés que de clients potentiels (un peu gore).
2- implémenter un support UPnP (pas super standard, et très bof côté sécurité)
3- développer un 3e type de module logiciel, un hybride (ce à quoi tu devais penser, CryoGen), qui ferait moitié client, moitié routeur intraVPN (il écoute sur l'interface WAN et LAN). Celui-ci serait vu comme un client classique par tous le reste du VPN, sauf pour les clients "derrière" côté LAN qui ne le verront pas (en bref il intercepte leur communication et les NATe). C'est la solution "massue" EDIT: j'avais les fils qui se touchent: du côté des clients WAN aussi, le module hybride serait invisible.
4- Une solution élégante... à trouver. Appel aux neurones volontaires, je décroche pour ce soir.
CryoGen wrote: | Pour le nom je propose: ngVPN => Next-Gen VPN (un brin pretentieux non ) |
Note, si le résultat déboite vraiment, c'est clairement une option Pour la version 2.0? Enfin moi ça me plait, mais je suis d'un naturel prudent ... _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)
Last edited by El_Goretto on Tue Aug 08, 2006 5:11 am; edited 1 time in total |
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Mon Aug 07, 2006 9:13 pm Post subject: |
|
|
si je peux me permettre, le nom tu t'en balance pour l'instant, le logo c'est pareil, c'est le genre de trucs sur lesquels tu vas révasser des heures au lieu de coder, pour paralyser un projet y'a pas mieux. En plus choisir le nom a posteriori je trouve ça carément mieux car c'est bien plus à même de refléter le soft. |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Namur - Belgium
|
Posted: Mon Aug 07, 2006 10:58 pm Post subject: |
|
|
El_Goretto wrote: | 4- Une solution élégante... à trouver. :roll: Appel aux neurones volontaires, je décroche pour ce soir. |
Faire d'un des clients VPN un "maître de LAN" qui recevrait des connexions des machines de son LAN (donc un petit client à développer en plus, ou alors un mode spécial à ajouter au client que l'on va faire) et qui se chargerait de "publier" les IP du réseau VPN appartenant aux machines sur son LAN... Les vrais clients VPN distants ajouteraient alors des routes en conséquence... et puis de laisser faire le routage des paquets à l'OS...
Je ne sais pas si je me suis fait assez clair ? _________________ Mangez du poulet ! |
|
Back to top |
|
|
CryoGen Veteran
Joined: 11 Feb 2004 Posts: 1426 Location: Bamako - Mali - Afrique
|
Posted: Tue Aug 08, 2006 2:44 am Post subject: |
|
|
S'il y a un serveur unique ce n'est pas decentralisé pour moi. Si ce noeud est injoignable ont fait comment ?
A mon avis il faudrait un serveur par site qui connait les IP_public des autres serveurs. Au lancement les serveurs récuperent les IP_lan que les autres serveurs "hébérgent" afin de creer les routes. Ainsi si un site tombe, le VPN n'est pas affecté puiqu'il n'y a pas de site avec serveur maitre unique...
Bon c'est un peu basique mais c'est mon idée générale... à 2h45 du mat _________________ - CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword... |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3174 Location: Paris
|
Posted: Tue Aug 08, 2006 5:36 am Post subject: |
|
|
PabOu wrote: | Faire d'un des clients VPN un "maître de LAN" qui recevrait des connexions des machines de son LAN (donc un petit client à développer en plus, ou alors un mode spécial à ajouter au client que l'on va faire) et qui se chargerait de "publier" les IP du réseau VPN appartenant aux machines sur son LAN... Les vrais clients VPN distants ajouteraient alors des routes en conséquence... et puis de laisser faire le routage des paquets à l'OS...
Je ne sais pas si je me suis fait assez clair ? |
Si si, mais c'est le mode de fonctionnement de mon point 3
Sauf qu'on l'intégrerait au client au lieu d'avoir un soft indépendant.
CryoGen wrote: | S'il y a un serveur unique ce n'est pas decentralisé pour moi. Si ce noeud est injoignable ont fait comment ? | Sur ce point, le décentralisé fait référence au fonctionnement des flux clients entre eux. Mais la remarque est clairement intéressante, la fonctionnalité de redondance des serveurs est plus qu'à creuser. On peut prévoir un groupe de serveurs partageant la même configuration (bases clients&co, il faut prévoir un système de réplication des confs, c'est pas tout à fait trivial). Les clients en auraient la liste (liste peut être aussi distribuée par les serveurs façon fichiers .pac des proxy), et changeraient de serveurs lorsque celui qui est paramétré par défaut chez eux ne répondrait pas à une de leur requête.
CryoGen wrote: | A mon avis il faudrait un serveur par site qui connait les IP_public des autres serveurs. Au lancement les serveurs récuperent les IP_lan que les autres serveurs "hébérgent" afin de creer les routes. Ainsi si un site tombe, le VPN n'est pas affecté puiqu'il n'y a pas de site avec serveur maitre unique...
Bon c'est un peu basique mais c'est mon idée générale... à 2h45 du mat |
Ton point de vue développe le même fonctionnement que ce que propose Pabou (et moi) pour un des nodes qui serait spécialisé dans le routage IntraVPN côté LAN, à la différence que tu l'attribues à un serveur.
Ce dernier point me gêne car normalement, aucun flux ne transite par lui (Je suis plutot partisan de ne pas coller trop de fonction au serveur, plus c'est simple, plus c'est clair et sûr), et de plus je voudrais laisser la possibilité de n'utiliser qu'un seul serveur pour tout un VPN (ceux de taille restreinte).
Donc on est tous d'accord pour la solution de dernière extrémité, sauf pour savoir qui héberge la fonction.
Ceci dit, ce genre de solution de routage intraVPN qui peut nous prendre un bon moment à mettre en place et complexifie l'installation et l'administration de la solulion, est à envisager en dernier recours. Car si on trouve comment faire autrement, tout le boulot fait serait rendu caduc.
J'ai une idée à ce propos, je la muris, et je vous en parle.
La question est: comment gruger un firewall statefull. Je ramasse les copies à la fin de la journée. _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Tue Aug 08, 2006 9:38 am Post subject: |
|
|
El_Goretto wrote: |
1- implémenter de laisser le choix du port découte sur le client, et le routeur devra avoir autant de ports forwardés que de clients potentiels (un peu gore).
|
Et tout faire passer par le même port ? Ca évite de mettre des limites. Beaucoup de soft de P2P travaillent comme çà, et OpenVPN travaille comme çà aussi. Après, tu limites de façon soft le nombre de clients que tu veux avoir en simultané, en fonction de ta bécane et de la charge maximale acceptable.
Ensuite, je trouve qu'avoir un serveur centralisé pour l'authentification est une mauvaise idée. On pourrait plutot imaginer N serveurs LDAP disséminés sur des clients spéciaux, donc le responsable choisi de gérer l'authentification pour le réseau. Ca évite d'avoir un SPF et permettrait de réduire la surface d'attaque du réseau. Sachant que le LDAP permet de gérer la réplication automatique, je pense que ce serait pas mal. L'autre solution serait des serveurs Radius, mais là je connais pas du tout. _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|