Demande d'infos VPS et VPN

[thxer]

Coucou !

Petite question technique.
Je cherche des liens vers des docs bien chiadées !

Alors j'ai ça :

[PC] <-- Internet --> [Server-VPS]

Je fais ça :

[PC <--[Tunel via Openvpn SSL/TLS ou Statickey]--> [Server-VPS]

Comment faire pour que :

[PC] <--[Tunel REQUÊTES HTTP 80, 8080]--> [Server-VPS] <-- --> Internet

Merci, j'ai eu des pistes Iptables etc .. mais je suis pas sûr d'être dans le bon.
En gros je veux utiliser mon VPS comme un service VPN pour utiliser son ip pour mes protocoles web en lieu et place de la mienne.

[gruik]

tu te mélange pas mal les pinceaux, pour faire simple il faut que ton VPS ait une adresse IP publique, accessible sur internet quoi
pour le reste le plus simple c'est encore de faire un ssh -D 31337 user@vps et mettre dans ton browser 127.0.0.1:31337 comme proxy socks 4/5

[thxer]

okey merci, mais dans mon idée c'est faisable en théorie non ?
Je sais que les mots sont pas bon mais le but c'est que tout les contacts de ma machine vers "internet" passent par un tunel crypté(vpn) vers mon vps.
Je veux ceci :
PC -> Openvpn -> VPS -> Ma requête
PC <- Openvpnl <- VPS <- Réponse

Je veux pas :
PC -> SSH -> VPS (même si c'est plus logique)

C'est pour comprendre la base.

Le but d'un VPN c'est bien de créer un tunel à travers le net entre deux réseaux ? Une fois mes deux réseaux liés je veux tout faire transiter par la machine X. Comme on fait sur un réseau local.

[b0fh]

C'est pas totalement évident de voir ou est ton problème.

Si tu as réussi a monter un tunnel OpenVPN, il y a sur ton pc comme sur ton vps une interface tap ou tun. Il y a ensuite plusieurs manières de procéder, en fonction de tes besoins en sécurité.

Si ton VPS dispose d'addresses IP supplémentaires, tu peux, sur le serveur (en utilisant un type tap) créer un bridge entre l'interface physique du serveur et l'interface tap. Côté client, il te suffit ensuite de prendre sur l'interface tap une des ip publiques libres, d'utiliser comme gateway par défaut la même que celle du vps, et d'ajouter manuellement une route vers l'ip publique du vps qui utilise ton ancienne gateway. Comme ça, tout le traffic passera via le VPN. Par contre, le client est en position de faire des saloperies réseau au vps, donc tu ne peux pas utiliser cette solution pour donner accès a des tiers.

Une autre possibilité est d'utiliser des tun, dans la même configuration, d'activer le proxy-arp sur le vps, ce qui enlève une partie des risques.

Autrement, si tu n'as pas d'ip supplémentaires libres sur le VPS, il va falloir le natter, paradoxalement c'est plus simple. il faut donner aux interfaces d'OpenVPN des addresses privées (par exemple 192.168.42.x), puis définir sur le client l'ip interne du vps comme gateway par défaut, ajouter une règle de nat sur le vps, et activer le fowarding dans le kernel.

Dans tous les cas (bridge ou route ou nat) il faut une règle de forwarding dans iptables pour autoriser le forwarding.

Si tu nous en disais plus sur le scénario souhaité...

[thxer]

Un grand merci b0fh, justement je n'ai pas scénario proprement dit car je ne trouvais pas de doc assez explicite sur les différents moyens pour parvenir à mes fins.
Du coup d'après ce que tu me présentes je pense me tourner vers la troisième solution. Définir l'adresse ip interne du vps comme gateway. Il faut je me penche et me documente encore un peu surtout ça (tap, tun, fowarding, iptables) car au final je nage encore un peu.

Pour finir, mon idée c'est tout simplement d'en apprendre plus sur tout cela car je peux renforcer la partie théorique en appliquant directement les choses sur mon vps.
Du coup merci car cela m'ouvre un peu les yeux, néanmoins il me reste encore pas mal de notions à assimiler pour comprendre pleinement les choses.

[thxer]

Pour info :
http://desgeeksetdeslettres.com/hardware...pn-anonyme

Pour le côté "pratique" l'option du proxy via ssh est quand même moins contraignante.

[gruik]

ça n'a surtout rien à voir tu lame un peu là, un proxy est classiquement un service qui fonctionne sur la couche applicative tandis qu'un VPN travaille sur la couche réseaux et encapsule les paquets IP dans une communication chiffrée

on en est arrivé à parler de différence entre un proxy et un vpn uniquement parce que les fournisseurs de service VPN comme ipredator et autres fournissent dans le même temps le routage du trafic vers l’extérieur de leur réseau, c'est une utilisation particulière du VPN, mais :
- il sait se débrouiller dans d'autres configurations, il n'est pas limité à ce cas de figure et n'est donc pas fait exclusivement pour cet usage
- pour fonctionner comme les HideMyAss et autres ça n'est pas automatique, ça nécessite de la configuration et de savoir ce que l'on fait

le gars dans son article dit des choses à peu près justes, mais il fournit une explication orientée pour neuneus qui veulent juste télécharger du torrent et s'en foutent un peu de comprendre comment ça fonctionne en réalité

on récapitule
- un vpn ca crée un tunnel (udp ou tcp) chiffré avec de bons algos de chiffrement toussa toussa, de chaque coté on a une nouvelle interface et il faut la gérer, router les paquets et cie.
- ssh ça crée une connexion (tcp) chiffrée, avec les mêmes algos de chiffrements, les dev ont été malins et ont rajouté une option -D qui permet de créer un proxy socks déporté, le tout toujours dans sa connexion chiffrée
- un proxy c'est (...) un service qui voit arriver les requêtes http et les "renvoi" à notre place vers le serveur web, souvent il sert de point de passage pour contrôler l'identité du toto qui veut sortir sur internet aussi

en clair openvpn a plus à voir avec openssh qu'avec un proxy

mais le truc c'est qu'on sait toujours pas ce que tu cherches à faire, si tu cherches à faire transiter uniquement du contenu http/https ou si tu veux faire transiter absolument tout le trafic quel qu'il soit dans ton tunnel, ce que b0fh appelle le scénario souhaité et que tu appelles parvenir à tes fins

[thxer]

Le but d'un VPN c'est bien de créer un tunel à travers le net entre deux réseaux . Une fois mes deux réseaux liés je veux tout faire transiter par la machine X

J'ai bien compris la différence entre les deux et je pense que cela ce voit dans mes posts.
Ma question était simple comment arriver à reproduire le même service que les VPN HideMyAss par exemple.

Je n'avais pas de projet précis car justement c'est pour moi l'occasion d'apprendre d'où l'aspect "lame" de mes questions.
J'ai donc grâce à vos interventions pu progresser et ainsi compléter mes connaissances encore légères dans ce domaine.

Ainsi pour conclure j'ai découvert l'option -D du ssh :

Spécifie un transfert « dynamique » des ports au niveau applicatif.

Que je ne connaissais pas.

Et enfin mon idée de base qui était d'encapsuler mes données au travers d'un tunnel grâce à openvpn, mais je ne savais pas comment réaliser une "redirection de port" ensuite.