VPS avec VPN Site to Site

Tout dépend de ce que l'on a comme postes et comme liberté d'action de chaque côté du vpn...
Perso j'aime bosser avec https://1vpn.org/vpn.org/ après chacun ses solutions.

Merci pour votre réponse.

Connaissez-vous d'autres solutions ?

J'ai trouvé cette méthode sur le forum, qu'en pensez-vous ?

https://community.ovhcloud.com/community/fr/routage-vpn-ipsec-vrack-public-cloud-serveur-dedie?id=community_question&sys_id=4b6fad8458da42d02d4c51cec5fc9635

L'essentiel étant que vous arriviez à le mettre en place, que la solution vous convienne et réponde à vos besoins :)
Le reste c'est tout l'avantage du logiciel libre, on a tout un tas de choix possibles, et c'est ce qui fait la richesse de cet environnement !

Le lien que vous donnez est un peu différent de votre cas puisqu'il permet d'accéder au lan (vrack) du serveur, ce qui n'est pas dans vos besoins.

Le lien que vous donnez est un peu différent de votre cas puisqu'il permet d'accéder au lan (vrack) du serveur, ce qui n'est pas dans vos besoins.

L'objectif à terme est d'avoir tout un tas de serveurs dans un vRack (serveur Samba, FTP, ERP...) et d'y accéder par un VPN Site to Site et non par l'IP publique. En gros, une externalisation du SI système.

Qu'en pensez-vous ?

J'en pense que cela dépends de vos besoins, de vos compétences techniques, etc...
Dans ce cas il vous faut un serveur qui fera le relais entre votre LAN et le VRACK.

Typiquement perso je ferai comme ça :
- un raspberry sur mon lan avec tinc
- un petit vps sur le vrack avec tinc.
- config du vpn entre le raspberry et le vps
- ajout d'une route sur mon routeur du LAN pour accéder au VPN et au VRACK depuis mon LAN.
- ajout d'une route sur les serveurs du vrack pour accéder à mon LAN et au VPN.

config terminée...
Mais ça c'est une solution que j'aurai monté avec mes compétences, avec mes habitudes de travail. Il faut adapter ça à ce que vous savez faire, ou à ce qu'un presta local sait faire. Dans le fond quelque soit la solution choisie ça sera à peu près la même chose au final...

Une entrée du VPN chez vous, sur votre routeur, sur un équipement dédié...
Une entrée du VPN sur un serveur chez OVH relié au VRACK.
Les règles de routage qui vont bien sur le LAN et sur le VRACK...

Très bien, à présent je comprends. Votre méthode est vraiment sympa.

Je vais me renseigner sur Tinc, si vous avez de la doc ressemblant à une config VPS/Rasberry, je suis preneur :)

Merci.

Si vous souhaitez vraiment vous y coller j'essaierai de vous faire une petite doc sur le comment déployer un VPS avec tinc.
C'est assez simple, mais la première fois ça peut être déroutant.

Mais volontiers ! :)

Pour info je ne vous oublie pas, vais essayer de trouver le temps pour rédiger un bout de doc sur l'interconnexion de rzo via tinc. Faut juste que j'arrive à trouver le temps, et c'est pas gagné :p

Pour info j'ai écris une petite doc ici : https://blog.1informatique.fr/interconnecter-lan-tinc-vpn/informatique.fr/interconnecter-lan-tinc-vpn/

Il me reste à faire la partie si tinc n'est pas installé sur le routeur mais sur un hôte à l'intérieur du LAN (du genre sur un raspberry). Je vais essayer de finir ça ajd...

[EDIT]
Bon au final j'ai terminé, j'espère que c'est lisible et compréhensible.
A noter qu'en dehors de la partie purement tinc cette procédure s'applique à n'importe quelle solution de VPN...
[/EDIT]

Merci beaucoup pour ce tuto très clair, je teste ça dans la semaine.

* Une seule carte réseau physique sur chaque noeud Tinc, c'est possible ?

Mon cas sera :

1. Du côté de mon bureau : une box avec un noeud Tinc derrière cette box

1. Du côté d'OVH pas de routeur, Tinc aura directement une IP Publique et une IP Privée dans le vRack.

Dans ce cas, il y a-t-il des ports à ouvrir du côté de la box (si ce n'est le 655 en TCP et UDP) ?

PS : Votre schéma est on ne peut plus clair ^^

Yep port 655 normalement l'UDP suffit, mais Tinc peut basculer en TCP si il a des soucis en UDP.

Pour la carte rzo 1 seule suffit oui, vu que Tinc est une carte "virtuelle".
Le système lui verra 2 interfaces réseau qui serviront pour le routage.
En fait côté système c'est simplement une autre carte rzo, tinc se comporte exactement de la même façon. D'où la facilité et la souplesse d'utilisation, juste à gérer son routage, son parefeu et ça tourne.

Mais comme je l'ai mis rapidement dans la doc, on peut utiliser tinc en mode "switch", et là on monte un bridge entre sa carte physique et la carte tinc, pareil sur l'autre noeud tinc, et on a le comportement d'un seul réseau, même plan IP partout, broadcast qui transite au travers du vpn (gaffe à DHCP avec ça).

Je m'en servais il y a des années de ça pour jouer à des vieux jeux en mode "réseau local" avec des pôtes :)

Bonjour,

Ca fonctionne super bien (ne pas oublier d'activer l'IP Forwarding sur les deux noeuds).

Mon archi :

- Mon bureau derrière un routeur avec un noeud tinc
- 1 vRACK
- Un noeud tinc chez OVH (patte WAN + patte LAN)
- Un Windows Server chez OVH (patte WAN + patte LAN).

Par contre, j'ai configuré un partage de fichiers entre les PC de mon bureau (client) et le Windows Server (SRV fichier), tout passe par le réseau tinc et vRack, mais la vitesse de transfert est très très basse malgré ma fibre. Avez-vous une idée ?

hum, strange, un essai sur un autre protocole donne la même chose ?
Perso j'arrive à atteindre quasiment le débit max sur un lien tinc.
Sauf si le raspberry n'arriverait pas à suivre, mais ça m'étonnerait franchement...

J'ai testé seulement le SMB pour l'instant.

Le noeud sur site est une VM 4Go de RAM Ubuntu 18.04.
Sandbox public cloud côté OVH.

Vous avez testé comment pour avoir les résultats du débit max ?

perso j'utilise le vpn de la maison avec la raspberry pour me connecter à des serveurs sql essentiellement, donc pas besoin de trop de bande passante.
Mais si je fais un transfert SFTP en passant dans le VPN j'ai des débits + faibles que sans passer par le dit VPN mais c'est quand même pas mal (peut être 60 à 70% du débit).
Et je n'ai pas de soucis de transfert non plus entre mes serveurs qui utilisent le VPN pour faire du rsync. Tjrs un débit + faible mais tout à fait exploitable. Mais là pas de petit raspberry au milieu.

Vous avez bien activé l'IP Forwarding sur vos nœuds ?

Je vais tester en FTP et vous tiens au courant.

sans ip forwarding le routage ne fonctionnerait pas...
attention on ne parle pas de translation d'adresse mais bien le routage.