[gull] tunnel ssh à travers deux pare-feux

Marc SCHAEFER schaefer at alphanet.ch
Sun Sep 26 13:51:01 CEST 2004


On Fri, Sep 24, 2004 at 09:09:05PM +0200, Martial Guex wrote:
> connexion p-t-p entre 2 machines, Marc Schaefer a fait une petite application 
> permettant de "prolonger" une session ssh sur une autre machine (j'ai oublié 
> sons nom).

Si tu parles de virtual_connection -8E, je pense que netcat (nc)
aujourd'hui remplace efficacement cela.  Ou xinetd.
Sinon on peut toujours cascader les connexions via des redirections
SSH. Il me semble qu'on a déjà donné des exemples ici.

J'ajoute que dans packages.cril.ch se trouve ssh-tunnel, un moyen assez
simple de créer des tunnels IP (PPP) sur SSH. Mais OpenVPN est mieux
dans le cas général (il oblige cependant à ouvrir un nouveau port et une
nouvelle application), et OpenVPN passe par UDP ce qui est en général
meilleur sur un réseau avec un taux d'erreur (ou de congestion) important,
en évitant le problème des cascades / réactions en chaîne de
retransmission (hint: TCP-sur-IP-sur-TCP, qui réenvoie quoi en cas d'erreur?)

J'ai aussi fait une configuration de démonstration d'openvpn, je voulais
faire un package mais je n'ai finalement pas implémenté ce VPN avec
OpenVPN mais IPsec.

> L'option ssh -L p1:h:p2 fait que toutes les requêtes IP envoyée sur le port 

TCP.

> Pour ma part j'utilise également depuis environ 2 ans openvpn pour résoudre ce 
> type de problème 

Un grand avantage d'OpenVPN est sa relative simplicité, sa relative
sécurité (pas besoin de patcher le kernel p.ex. pour IPsec; la plupart
du code est en user-space et utilise pcap/tun/tap).  Par contre, chaque
tunnel nécessite un port ouvert et un daemon actif, et
l'interopérabilité Microsoft Windows nécessite une gestion de subnets
assez périlleuse si l'on veut éviter la party-line.

Par contre, si SSH est également actif, cela fait deux services à
surveiller.




More information about the gull mailing list