VPN intégré au service OverTheBox + Route statique

Telecom
1

Bonjour,
↓ OverTheBox / Sécuriser mon accès Internet ↓

> CITATION DU LIEN
OverTheBox permet de sécuriser le contenu des paquets transitant par le boîtier. Ceux-ci sont dispatchés entre les différents liens Internet et les données sont chiffrées par défaut (AES-256) entre le réseau local et le datacenter d'OVH.

Question N°1 :

Réseau entreprise > OTB > Datacenter > Internet > Datacenter > OTB > Réseau télétravailleur

Si le destinataire a également une OTB ou un service VPN, est-ce que la communication est chiffré intégralement d'un bout à l'autre ?

> CITATION DU LIEN
Le chiffrement des informations et leur répartition complexifient toute tentative de détournement et rendent l’espionnage quasi-impossible. Un utilisateur souhaitant épier une ligne utilisée par OverTheBox ne verrait qu’un ensemble de données partielles (division entre plusieurs liens) et chiffrées, rendant l’ensemble incompréhensible et inexploitable.

Question N°2 :
Pour obtenir une config "parfaite", les postes clients doivent être en DHCP.

f1af8a39d6d63bfe061dfc2b062817ea0d2e671c.png1149×290 12.9 KB


Si on utilise une ip fixe pour les postes, Secured Network n'est pas vert.

Si on utilise "Static Leases" avec le DHCP, Secured Network est vert.
L'ip est la même pourtant, on peut donc penser que la protection est active dans un cas et pas dans l'autre. C'est étrange, non ?

Est-ce que le chiffrement fonctionne avec les postes en IP fixe et le logo secured network en bleu ?

Question N°3 :

OTB avec 1 ligne 4G / 1 ligne ADSL
4G -> Rx: 168.2 Tx: 27.7 Mbps Ping 30/40 ms
ADSL OVH -> Rx: 11.5 Tx: 1.0 Mbps Ping 60/70 ms

Lors de mes nombreux tests avec config à zéro + Qos active ou non + Traffic Control actif ou non, l'upload de nombreux petits fichiers ne passait que par un seul lien.
Les paquets ne sont pas répartis mais sont bien chiffrés en AES-256 jusqu'au datacenter ce qui limite la protection… mais surtout, cela limite également la performance…
https://community.ovhcloud.com/t/48976
J'ai donc essayé de forcer l'usage d'une seule interface pour cette machine, mais je n'ai pas réussi.
- Network > Static route (pas réussi)
- DHCP détourné (pas réussi)

Au final, le lien ADSL est uniquement en BACKUP avec des performances satisfaisantes.

Mais j'aimerais pouvoir agréger et définir une route statique pour une machine spécifique, comment faire ?

D'avance merci.

@Raphael

2

Bonjour,

Question 1:

Lorsque deux OTB communiquent ensemble, le traffic est déchiffré en sortie de nos infras OTB pour être rechiffré en entrée de l'autre OTB. Dans tous les cas, le traffic déchiffré ne sort jamais de notre réseau. Vous pouvez l'observer en faisant un MTR:

ab77ecf2dc31ab10217bdcec578997b288125ea8.jpg674×104 14.3 KB


Dans ce cas là on voit bien le trafic sortir par une spine (un de nos routeurs) pour retourner dans une autre spine.

Si votre destinataire est un service VPN, alors le traffic est chiffré de point à point.

Question 2:
Oui, à partir du moment où votre traffic passe par le tunnel OverTheBox, il est chiffré. Vous pouvez le vérifier en allant sur https://ifconfig.ovh et en regardant si l'IP annoncée est bien celle de votre service. Le dernier indicateur indique uniquement si votre IP est donnée par le DHCP de l'OverTheBox. Il est vrai que cela peut mettre le doute, mais il est un moyen simple pour nos clients de savoir si leur appareil est correctement configuré.

Question 3:
Pouvez vous me donner plus d'informations sur votre procédure d'envoie des petits fichiers ? Est-ce en HTTP/FTP/UDP ? Comment avez vous observer que l'aggrégation ne s'est pas faite correctement ?