Serveur VPN libre avec authentification sur référentiel tiers (LDAP, OpenID Connect, SAML, etc.) ?
Bonjour,
Je cherche une "solution" libre de VPN (client/serveur) qui puisse permettre à des utilisateurs novices de se connecter, via un client dédié sur leur ordinateur et/ou smartphone, à un serveur VPN via un simple couple login/password (et donc, de là, accéder à un réseau privé :P).
Il faudrait que le référentiel d'identité soit "déporté", type annuaire LDAP ou des fournisseurs d'identité (IdP) pour limiter la maintenance de ce point de vue là (lors des arrivées/départs par exemple).
Je ne cherche pas de solution SaaS : je veux auto-héberger moi-même le serveur VPN.
Je sais que le couple OpenVPN et LDAP (OpenLDAP ou autre) fonctionne très bien (déjà testé sur OPNsense notamment), mais des VPN "plus récents" type WireGuard me font de l'œil alors je regarde ce qui peut exister.
Firezone est opensource et semble supporter différents IdP [1] mais sans être clair sur leur disponibilité pour la version self-hosted.
Pour NetBird ça semble être bon vu que leur self-hosted quickstart donne un exemple avec Zitadel [2].
Est-ce que vous auriez d'autres propositions ?
Ou alors des arguments pour rester sur OpenVPN ?
[1] : https://www.firezone.dev/kb/authenticate [2] : hhttps://docs.netbird.io/selfhosted/selfhosted-quickstart
Claude,
Libre au sens de OpenSource, ou Libre au sens de gratuit/pas cher ?
Si tu parles d’utilisateurs novice, je suppose qu’on parle de la phase de config. Donc un client où on doit juste entrer 3 infos: IP, user, password.
Pour moi, OpenVPN rate la cible, parce que le client…comment dire. Wireguard, c’est pas mieux.
Donc c’est quoi un user novice pour toi exactement ?
David
Le 14 janv. 2025 à 18:57, DUVERGIER Claude frsag.ml@claude.duvergier.fr a écrit :
Bonjour,
Je cherche une "solution" libre de VPN (client/serveur) qui puisse permettre à des utilisateurs novices de se connecter, via un client dédié sur leur ordinateur et/ou smartphone, à un serveur VPN via un simple couple login/password (et donc, de là, accéder à un réseau privé :P).
Il faudrait que le référentiel d'identité soit "déporté", type annuaire LDAP ou des fournisseurs d'identité (IdP) pour limiter la maintenance de ce point de vue là (lors des arrivées/départs par exemple).
Je ne cherche pas de solution SaaS : je veux auto-héberger moi-même le serveur VPN.
Je sais que le couple OpenVPN et LDAP (OpenLDAP ou autre) fonctionne très bien (déjà testé sur OPNsense notamment), mais des VPN "plus récents" type WireGuard me font de l'œil alors je regarde ce qui peut exister.
Firezone est opensource et semble supporter différents IdP [1] mais sans être clair sur leur disponibilité pour la version self-hosted.
Pour NetBird ça semble être bon vu que leur self-hosted quickstart donne un exemple avec Zitadel [2].
Est-ce que vous auriez d'autres propositions ?
Ou alors des arguments pour rester sur OpenVPN ?
[1] : https://www.firezone.dev/kb/authenticate [2] : hhttps://docs.netbird.io/selfhosted/selfhosted-quickstart
-- DUVERGIER Claude
Liste de diffusion du French Sysadmin Group https://www.frsag.org/
(Nouvel e-mail car j'ai raté mon "Répondre à tous" :P)
David,
Libre au sens de OpenSource, ou Libre au sens de gratuit/pas cher ?
Au sens d'open-source, mais si c'est pour concurrencer un OpenVPN+LDAP qui me serait "gratuit" je regarde aussi le prix.
Concernant le niveau des utilisateurs : il savent faire de la bureautique mais leur faire générer une paire de clé en local sur leur poste est compliqué.
Alors que leur faire taper un nom d'utilisateur puis un mot de passe sur la GUI d'un logiciel pré-configuré (hôte, port, etc.) par mes soins c'est tout à fait OK.
Pour moi, OpenVPN rate la cible, parce que le client…comment dire.
Je trouve que le client (Windows) d'OpenVPN fait le job : clic-droit > Se connecter > Login+Password > OK
(il est vrai que le non affichage de la fenêtre de connexion au lancement peut gêner)
Son déploiement peut se faire via CLI et sa configuration à base de fichiers texte rendent le tout Ansible-compatible.
Hello,
On Tue, 14 Jan 2025 18:57:06 +0100 DUVERGIER Claude frsag.ml@claude.duvergier.fr wrote:
Est-ce que vous auriez d'autres propositions ?
SoftEther avec du Radius ? Par contre, attention : le client cote Linux n'a pas de GUI, c'est pas hyper friendly. Cote Windows, ca le fait. J'ai monte ca pour me connecter chez moi quand je suis en voyage, ca marche tres bien.
Paul
Bonjour, OpenVPN avec l'écriture d'un module d'authentification PFSense avec OpenVPN et un serveur radius, qui pourra faire une auth depuis un AD/LDAP
C'est simple, ça marche (TM) après pour la MFA il faut une solution via notification par ce que openvpn n'est pas capable d'afficher un second prompt pour le token totp
Bonne journée Alexis
Le mar. 14 janv. 2025 à 19:31, Paul Rolland (ポール・ロラン) rol+frsag@witbe.net a écrit :
Hello,
On Tue, 14 Jan 2025 18:57:06 +0100 DUVERGIER Claude frsag.ml@claude.duvergier.fr wrote:
Est-ce que vous auriez d'autres propositions ?
SoftEther avec du Radius ? Par contre, attention : le client cote Linux n'a pas de GUI, c'est pas hyper friendly. Cote Windows, ca le fait. J'ai monte ca pour me connecter chez moi quand je suis en voyage, ca marche tres bien.
Paul _______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
As-tu étudier une solution comme Zerotier ?
Tu montes ton propre contrôleur, et tu crées tes "réseaux / postes" en amont et l'utilisateur a juste à se connecter, c'est toi qui gère les autorisations d'accès depuis ton interface. Il n'y a pas plus "user friendly" pour le coup.
Franck Parisy franck@parisy.net (mailto:franck@parisy.net) +33 6 18 06 30 69 (tel:+33%206%2018%2006%2030%2069) https://www.yakakliker.org
On janv. 15 2025, at 1:53 pm, Alexis Lameire alexis.lameire@gmail.com wrote:
Bonjour, OpenVPN avec l'écriture d'un module d'authentification
PFSense avec OpenVPN et un serveur radius, qui pourra faire une auth depuis un AD/LDAP
C'est simple, ça marche (TM) après pour la MFA il faut une solution via notification par ce que openvpn n'est pas capable d'afficher un second prompt pour le token totp
Bonne journée Alexis
Le mar. 14 janv. 2025 à 19:31, Paul Rolland (ポール・ロラン) <rol+frsag@witbe.net (mailto:rol%2Bfrsag@witbe.net)> a écrit :
Hello,
On Tue, 14 Jan 2025 18:57:06 +0100 DUVERGIER Claude <frsag.ml@claude.duvergier.fr (mailto:frsag.ml@claude.duvergier.fr)> wrote:
Est-ce que vous auriez d'autres propositions ?
SoftEther avec du Radius ? Par contre, attention : le client cote Linux n'a pas de GUI, c'est pas hyper friendly. Cote Windows, ca le fait. J'ai monte ca pour me connecter chez moi quand je suis en voyage, ca marche tres bien.
Paul _______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Hello,
Un peu du même type que Netbird il y a https://github.com/DefGuard/defguard. En principe tu peux tout selfhost aussi.
Thomas.
Le 14 janv. 2025 à 18:57, DUVERGIER Claude frsag.ml@claude.duvergier.fr a écrit :
Bonjour,
Je cherche une "solution" libre de VPN (client/serveur) qui puisse permettre à des utilisateurs novices de se connecter, via un client dédié sur leur ordinateur et/ou smartphone, à un serveur VPN via un simple couple login/password (et donc, de là, accéder à un réseau privé :P).
Il faudrait que le référentiel d'identité soit "déporté", type annuaire LDAP ou des fournisseurs d'identité (IdP) pour limiter la maintenance de ce point de vue là (lors des arrivées/départs par exemple).
Je ne cherche pas de solution SaaS : je veux auto-héberger moi-même le serveur VPN.
Je sais que le couple OpenVPN et LDAP (OpenLDAP ou autre) fonctionne très bien (déjà testé sur OPNsense notamment), mais des VPN "plus récents" type WireGuard me font de l'œil alors je regarde ce qui peut exister.
Firezone est opensource et semble supporter différents IdP [1] mais sans être clair sur leur disponibilité pour la version self-hosted.
Pour NetBird ça semble être bon vu que leur self-hosted quickstart donne un exemple avec Zitadel [2].
Est-ce que vous auriez d'autres propositions ?
Ou alors des arguments pour rester sur OpenVPN ?
[1] : https://www.firezone.dev/kb/authenticate [2] : hhttps://docs.netbird.io/selfhosted/selfhosted-quickstart
-- DUVERGIER Claude
Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Bonjour,
De mon côté je recommande chaudement Tailscale (basé sur Wireguard), utilisé en pro et perso (700+ utilisateurs) et déployé dans un environment mobile (Android, iOS) et desktop (Windows, OSX): https://tailscale.com/
J'utilise depuis plusieurs années, et je suis encore surpris de la facilité d'adoption même par des utilisateurs non-techniques.
Tu peux utiliser ton propre serveur de coordination (à la place de celui fourni par Tailscale), auto-hébergé: https://headscale.net/stable/about/features/ Il supporte OIDC notamment.
-- Jérôme
-------- Original Message -------- On 1/14/25 8:23 PM, Thomas C. thomas.cheronneau@gmail.com wrote:
Hello,
Un peu du même type que Netbird il y a https://github.com/DefGuard/defguard. En principe tu peux tout selfhost aussi.
Thomas.
Le 14 janv. 2025 à 18:57, DUVERGIER Claude frsag.ml@claude.duvergier.fr a écrit :
Bonjour,
Je cherche une "solution" libre de VPN (client/serveur) qui puisse permettre à des utilisateurs novices de se connecter, via un client dédié sur leur ordinateur et/ou smartphone, à un serveur VPN via un simple couple login/password (et donc, de là, accéder à un réseau privé :P).
Il faudrait que le référentiel d'identité soit "déporté", type annuaire LDAP ou des fournisseurs d'identité (IdP) pour limiter la maintenance de ce point de vue là (lors des arrivées/départs par exemple).
Je ne cherche pas de solution SaaS : je veux auto-héberger moi-même le serveur VPN.
Je sais que le couple OpenVPN et LDAP (OpenLDAP ou autre) fonctionne très bien (déjà testé sur OPNsense notamment), mais des VPN "plus récents" type WireGuard me font de l'œil alors je regarde ce qui peut exister.
Firezone est opensource et semble supporter différents IdP [1] mais sans être clair sur leur disponibilité pour la version self-hosted.
Pour NetBird ça semble être bon vu que leur self-hosted quickstart donne un exemple avec Zitadel [2].
Est-ce que vous auriez d'autres propositions ?
Ou alors des arguments pour rester sur OpenVPN ?
[1] : https://www.firezone.dev/kb/authenticate [2] : hhttps://docs.netbird.io/selfhosted/selfhosted-quickstart
-- DUVERGIER Claude
Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Merci pour les propositions,
J'avais vu passer le combo SoftEther+Radius mais sans le regarder en détails.
Sinon le fait que Tailscale/Headscale (que je connais peu) remonte autant me fait me questionner sur mon avis sur WireGuard (que j'ai déjà utilisé). De mémoire, le fonctionnement à base de clés le rendait peu "facile" d'utilisation pour les néophytes ne connaissant que le couple login+password (et je ne le voyait pas être couplé à un LDAP par exemple).
Je vais devoir creuser.
-
Alexis Lameire -
David Ponzone -
DUVERGIER Claude -
Franck Parisy -
Jérôme Boursier -
Paul Rolland (ポール・ロラン) -
Thomas C.