Bonjour
Je pense sécuriser l'accès SSH à mon dédié en passant via un VPN.
à la maison : PC (K)Ubuntu
chez OVH : dédié Proxmox ou conteneur Ubuntu ou Debian 11.
Quel VPN utilisée ?
**OpenVPN ou Wireguard ?** (ou autre)
Je cherche un VPN pas trop complexe à configurer, pas trop lourd (y compris depuis la 4G ou 5G), fiable évidemment.
Merci
Accès ssh via VPN ?
Sujets apparentés
- Port 25 bloqué pour spam à répétition
10376 
28.02.2018 13:39
- Spam et IP bloquée
8404 12.12.2016 11:53
- Rkhunter : parametre web_CMD invalide
8169 23.07.2017 15:43
- Mise à jour PHP sur Release 3 ovh
8083 11.03.2017 17:43
- Mise en place de VM avec IP publique sur Proxmox 6 [RESOLU]
8080 30.04.2020 17:12
- Connection smtp qui ne marche plus : connect error 10060
8017 12.04.2019 10:10
- Partition sur le disque de l'OS ESXI
7938 09.05.2017 14:33
- Envoi demail bloqué chez Gmail (550-5.7.26 DMARC)
7701 23.12.2019 08:40
- Meilleure solution pour disposer de plusieurs IP ?
7429 29.07.2018 09:40
- Comment me connecter par SSH en tant que root à mon serveur ?
6908 09.09.2019 14:34
Perso j'utilise wireguard, léger, fiable, multiplateforme...
Je n'ai testé qu'entre linux pour le moment, mais normalement ça fonctionne aussi sur d'autres OS...
Bonjour,
je dirais que cela dépend également de votre topologie et de vos services.
De mon côté chaque client dispose d'un firewall centrale (validé ANSSI) ou toute les VMs sont derrière, nous disposons donc d'un accès VPN par client.
Seule les ports nécessaire sont redirigés dans le sens internet -> VM et inversement.
Après on fait beaucoup d'infra avec du mix Windows/Debian.
Cordialement, janus57
Bonjour Janus
J'ai 1 seul serveur Proxmox, et on est que 2 à accéder en SSH.
Je n'ai pas de firewall hardware devant le Proxmox.
Ou tu utilises une solution software entre le Net et tes VM ?
Je pourrais faire un seul VPN avec Wireguard (probablement)
Au besoin je peux mettre Wireguard sur chaque conteneur ou VM... c'est relativement léger.
Je suis en train de tester Wireguard et c'est assez facile en configuration.
Je n'ai pas de VM Windows.
Uniquement des conteneurs Ubuntu server, que je suis en train de remplacer par des VM Debian 11.
Merci. Bonne journée.
Bonjour Sich.
Je vais probablement utiliser Wireguard.
Linux chez moi, mais je veux aussi pouvoir accéder depuis un smartphone Android.
Il y a des appli Wireguard pour Android, donc ça devrait aller.
Merci
Bonjour,
non on utilise des firewall en VM, sinon ce serait chiant d'avoir une baie remplis de firewall (on doit en avoir une petite quinzaine actuellement).
Après comme je disais cela dépend de le topologie et du contexte, en moyenne nos clients ont minimum 4VMs incluant le firewall, et aussi on est pas chez OVH, on fait ça sur notre propre matériel dans une baie (donc assez simple de se faire un réseau d'administration isolé).
Cordialement, janus57
Bonjour Janus
Je suis à une échelle plus petite.
Pour le moment un dédié à Roubaix et un VPS à Sydney.
Firewalls en VM ?
Tu veux dire : un firewall dans la VM (genre FirewallD ou UFW), ou une VM dédié avec un soft firewall ?
Merci
Je suis tenté par Wireguard.
Moi ça va !
J'accéderai depuis chez moi ou Android.
Mais je vais aider un ami à sécuriser un accès à un dédié et à des VM.
Bon, il est surtout Web dev, SEO... pas vraiment réseau ni sysadmin !
Je peux lui configurer Wireguard, ou OpenVPN.
Mais dans sa boite, ses collègues devront tôt ou tard accéder à la gestion des sites Web, en CLI.
Ils sont tous sur iMAC.
Wireguard est possible sur Mac OS.
Mais Le VPN classique est déjà installé de base sur Mac OS il me semble.
Autre point pas encore éclairci : l'accès Internet !
Si au boulot (PME) ils sont derrière un firewall, alors **UDP** ne passera probablement pas, et Wireguard (UDP), c'est mort...
Donc, je vais devoir lui faire vérifier si UDP passe...
Comment ?
Peut-être avec un Wiregard sur une VM de test...
Voilà, je préfère Wireguard (léger, peu de lignes de code), mais on sera peut-être forcé à utiliser OpenVPN...
Bonjour,
non une VM dédié à ça, on utilise des EVA de la marque Stormshield (produit fait par des Français en France et certifié ANSSI, Cf : https://www.ssi.gouv.fr/entreprise/produits-certifies/cc/produits-certifies-cc/#produits-reseau).
aux dernières nouvelle OpenVPN n'est pas de base sous MacOS...
Cordialement, janus57
Bonsoir,
Je me permets d'apporter quelques précisions concernant la certification des Stormshield. La certification EAL3+ n'est valable que sur les appliances matérielles vendues par Stormshield. Les versions virtuelles EVA et anciennement VXXX ne sont pas dans le scope de cette certification.
De plus dans le cadre d'une certification, l'ANSSI n'intervient pas dans le processus au niveau de la définition du contour (La cible de sécurité). C'est uniquement dans le cadre d'une qualification que l'ANSSI intervient vraiment et actuellement Stormshield n'a plus de qualification valable.
Bonjour,
pour travailler avec des hôpitaux ou l'ANSSI est intervenu et à forcé l'installation de boitier StomShield, la LTSB (3.7 & 3.11) est certifié (les version plus récente ne le sont pas, et la V4 est en cours depuis mi-2022).
Cordialement, janus57
Bonsoir,
La 3.7 a eu un renouvellement de certification EAL3+ et la 3.11 n'a jamais été certifiée. La seule version certifiée récemment est la 3.7.9.
Et dans tous les cas, les processus de certifications de concernent pas les EVA comme c'est indiqué dans la cible de sécurité.
La v4 n'est effectivement pas encore certifiée. Elle est en cours de certification EAL3+ et il y a peut-être une qualification en cours mais ce n'est pas encore connu. Et mon assertion concernant le fait que l'ANSSI n'intervient pas dans un processus de définition de la cible de sécurité reste valable. C'est l'éditeur qui choisit. C'est même indiqué sur le site de Stormshield :