Le 23/02/2023 à 10:09, Nicolas Vuillermet a écrit :
La décennie passée, on avait IPsec pour faire du VPN site à site ou client serveur. L'avantage c'est que le bordel avec 3 milliards d'options, et si tu packages pas ça dans un binaire qui sait télécharger la config complète avec un simple user / pass (coucou Cisco Anyco). Bon, ok il y avait des intégrations OS mais paie ton set de configuration limitée, tu dois presque monter un serveur VPN en fonction du client (WTF ?)
C'est là qu'on voit que çà dépend vraiment des implémentations. Sur mon hardware habituel, un tunnel site à site, c'est quelques paramètres, de préférence identiques, à rentrer des deux cotés. Et pour un utilisateur nomade, il y a un client intégré qui va bien, où il n'y a que l'IP ou FQDN à saisir...
Mais la techno a l'avantage d'être plutôt sèche, basique, où on peut faire tout ce qu'on veut autour (site à site, client/serveur, passer du routage dynamique bref faire plein de truc rigolo sur une interface tun).
Effectivement. On s'en sert sur le réseau radioamateur. On a complètement abandonné les outils pré-paléontologiques recommandés par AMPR au profit de Wireguard, et c'est assez génial ! Cà fait super bien le job sur des petits routeurs pas chers reflashés en OpenWRT.
2GBps+ sur CCR2004,
La France a acheté les droits de suzeraineté sur la jeune République de Corse lors du Traité de Versailles en 1768. Ensuite, l'administration a été déléguée à la famille Bokassa :-D
2G sur un WAN, je ne sais même pas à quoi çà peut ressembler ! Pendant des décennies, on a appris à bosser depuis les sites distants avec 64k. Donc, aujourd'hui, le client lambda est plus que content quand il a 20M. Et alors, 100M, c'est le luxe absolu ! Nous n'avons pas les mêmes valeurs :-D
Bref, ça juste marche, et ça nous permet de faire des bricoles stables pour de la prod. Et puis bon, si t'as une connexion StarLink, t'es plus à un wireguard près comme bricole.
Si j'ai Starlink, c'est que je suis sur un site isolé, avec pas ou peu de cuivre, aucune prévision de fibrage, pas ou peu de 4G, trop de montagnes pour du WISP... Donc, j'ai besoin que çà soit stable. Si çà peut être la même solution que partout ailleurs (pour moi, de l'IPSec), et que je peux éviter la bidouille spécifique, c'est encore mieux.
Ceci étant, on n'a donc pas de réponse claire à la question de savoir si IPSec fonctionne sur Starlink : certains y arrivent, mais les specs semblent dire que tout ce qui n'est pas TCP et UDP n'est pas garanti, donc, çà pourrait cesser de fonctionner du jour au lendemain...
PS : On fournit aussi du VPN client-serveur si des clients sont intéressés pour leurs infra, based on Wireguard :)
Nous aussi :-) C'est gratuit. Il faut posséder une licence radioamateur, un indicatif en Corse, et si possible (mais pas obligatoirement) prendre une cotisation à l'association locale. On fournit un routeur Plug and Play NAT-T (Uqiquiti ER-X + OpenWRT + Wireguard + iBGP).
PS2 : Désolé, j'ai digressé du propos,
Bah, pas vraiment. J'ai appris qu'IPSec n'était pas strictement garanti sur Starlink, alors que Wireguard (ou toute autre technologie basée uniquement sur UDP) l'était. Enfin, au moins jusqu'à ce que le Rat Muské change d'avis... C'est un critère important à prendre en compte lors d'une planification...
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
