SSH2 Tunnel chez TUVPN

UPDATE MARS 2012: TUVPN a pris la décision de bloquer l’ ensemble des applications de P2P sur son réseau. Pour en savoir plus: Plus de P2P chez TUVPN

Enfin une nouveauté qui sort du cadre des protocoles habituels: PPTP, L2TP et OpenVPN, grâce à TuVPN qui offre dorénavant à ses utilisateurs la possibilité de connecter grâce au tunnel SSH2

Pour faire simple: lorsque vous vous connectez à un VPN c’est l’ ensemble du réseau qui est sécurisé par le protocole utilisé. Lorsque je me connecte en OpenVPN, toutes mes applications sont ainsi sécurisés et mon IP provient du serveur où je me connecte. Le SSH2 a cette particularité de ne sécuriser que les applications que vous souhaitez. Par exemple je choisis de sécuriser mon surf via Firefox tout en gardant mon IP F.A.I via I.E . TuVPN a réalisé un tableau comparatif très clair des différents protocoles VPN: http://www.tuvpn.com/en/faqs/supported-vpn-protocols

L’ intérêt est quadruple:

  • Grande flexibilité – Je choisis ce qui doit bénéficier du VPN
  • Aucune perte de vitesse pour les autres applications
  • Très haut niveau de chiffrement en utilisant l’ AES 256-bit
  • En cas de déconnexion du VPN, le tunnel coupe toutes liaisons entre votre appli et Internet. Ainsi votre IP FA.I est protégée et vos données sont sécurisées.

Moins connu que les autres, TuVPN reste à nos yeux le VPN qui évolue le plus techniquement, le blog est une mine d’ infos pour comprendre les VPN et techniquement le support est vraiment au point.

Les tarifs sont particulièrement avantageux le premier mois est à seulement 3€ grâce à ce code promotion 1MS03

Bientôt ils vont sortir leur client Openvpn intégré: http://blog.tuvpn.com/2011/09/new-tuvpn-vpn-custom-client-wish-list/ . On a hâte de le voire !

INSTALLATION du SSH2. En savoir plus: http://www.tuvpn.com/en/tutorials#our-tutorials

Le serveur qui nous a servi pendant les tests est celui de Los-Angeles: http://blog.tuvpn.com/2011/08/new-vpn-server-in-los-angeles-usa/

Sous Windows: Il faut au préalable installer le logiciel MyENTunnel qui vous permettra d’ établir le tunnel sécurisé entre votre machine et le serveur sur lequel vous vous connectez.

Rien de particulier pour l’ installation. Il vous suffit juste d ‘extraire et d’ accepter l’ installation.

La configuration est aussi simple:

  • Server: Vous mettez l’ adresse du serveur. par ex: losangeles.tuvpn.com . La liste complète des serveurs: http://www.tuvpn.com/en/faqs/tuvpn-list-of-vpn-servers . Attention seules les IP partagées peuvent fonctionner avec un tunnel SSH2
  • Port: 61
  • Username: TuVPN VPN username
  • Passphrase: TuVPN VPN password
  • Check Enable Compression
  • N’ oubliez pas d’ activer Enable Dynamics SOCKS , avec le port 7070.

Une fois la connexion établie

Il ne vous reste plus qu’ à configurer les applications qui utiliseront le tunnel SSH2 mise en place par MyENTunnel

CONFIG des APPLIS

Toutes les applis supportant le protocole réseau SOCKS5 peuvent être configurées. Ainsi Skype, Firefox, IE, Chrome, Filezilla, utorrent, …. sont supportés. Le SSH2 vous offrira une grande souplesse. Avoir le choix est intéressant. FireFox peut très bien passé par le SSH2 tandis que Chrome Non. On pense que le SSH2 va vite être adopté par les concurrents de TuVPN !

On a fait une série de captures d’ écran des applications suivantes: FireFoxIEChromeFileZilaSkypeuTorrent

Le principe de configs est toujours le même, rien de difficile (il suffit que SOCKS5 soit supporté)

FIREFOX

Le célèbre navigateur est bien entendu supporté. On l’ a un peu plus déraillé que les suivants

Outils => Options => Réseau => Paramètres => Configuration manuelle du Proxy

Hôte SOCKS: 127.0.0.1

Port: 7070

 

INTERNET EXPLORER

Célèbre navigateur de Windows !

 

CHROME

Au tour du navigateur de GG

 

FILEZILA

Le meilleur client FTP opensource, gratuit et sécurisé

 

SKYPE

Même Skype est supporté

 

UTORRENT

UTorrent: un (tout) petit client BitTorrent.

Souplesse et originalité sont les deux maîtres mots du SSH2 de TuVPN

Notre dernier conseil:

On vous a souvent déconseillé d’ utiliser un VPN (surtout les IP partagées et étrangères) avec des sites bancaires, Paypal, MoneyBookers, … à cause des protocoles de sécurité utilisés par ces sites. De même il est parfois gênant d’ utiliser des sites comme Yahoo qui demande des mots de passe supplémentaires lorsque vous utilisez la boite Mail avec un VPN.

Les navigateurs offrent la possibilité d’ ajouter les IP qui ne doivent pas être concernés par le tunnel dans la case: Pas de proxy pour .

Cette fonction marche pas elle est peu fiable: les adresses restent mais pas les IP. Faîtes l’ essai avec l’ ip dédié de sites qui check les IP co: http://whatismyipaddress.com/. Vous verrez que votre IP F.A.I apparaît bien sur l’ IP de ce site. Mais bon !

Pourtant privilégiez notre solution: Pour certains sites utilisez un navigateur où le SSH2 n’est pas installé – En wifi pensez FR ! même partagé ce qui restera meilleur qu’ aucun VPN

5 derniers articles de Mahi

Share

2 Commentaires sur “SSH2 Tunnel chez TUVPN”

LAISSER UN COMMENTAIRE

  1. Mahi dit :

    Très intéressant commentaire, judicieux et pertinent. On l’ a transmis à qui de droit !

  2. Marc dit :

    Salut le Blog du VPN !
    Le principe du SSH-Socks est une bonne solution pour celui qui ne veut pas « proxifier » l’ensemble de ses communications. Ce qui peut occasionner les problèmes dont vous avez parlé, sans parler des précautions vis à vis d’un serveur VPN éventuellement véreux ou hacké (faut y penser ..).
    En revanche ce système, comme tous ceux à base de proxy HTTP ou Socks a son intérêt mais aussi ses limites :
    – Pas de port forwarding / connections entrantes, donc « Low ID » sous emule, « not connectable » sous bittorent, bref, c’est pas vraiment la solution pour du P2P avec de bonnes perfs. D’où l’arnaque au passage de l’offre proxy socks de BTGuard, qui ont en plus le culot de dire « non mais les connections entrantes c’est dangereux, vous en avez pas besoin », n’importe quoi. En revanche pour dépanner ça peut le faire (ex: un petit torrent avec pleins de seeders sur un tracker public).
    – Certaines applications ne proposent pas d’options « Proxy » ou chiantes à configurer si on veut activer / désactiver facilement : solution à voir du côté des utilitaires qui « forcent » un processus à passer par le proxy. Ex: Proxycap avec prise en charge du SSH directement, créations de règles, le top mais payant (enfin « payant »… ^^).
    – Évidemment par rapport à un proxy classique (comme le propose aussi Tuvpn) ça nécessite d’avoir un client SSH prenant en charge le tunneling. En revanche là au moins on a du chiffrement, et du bon. Un admin réseau vicieux ne va pas pouvoir lire vos conversations Msn. Myentunnel étant en outre dispo en « portable ».
    – Pour une navigation sécurisée il ne faut pas oublier les mêmes limites propres à Tor : l’option « proxy » des navigateurs n’a aucun impact sur ses plugins tels que Flash, Java, PDF etc. Il faut soit les désactiver, soit utiliser des outils comme Proxycaps pour « forcer » à un moment donné le processus du plugin à passer par le proxy (plugin-container.exe par ex)
    – Il existe des extensions qui permettent d’activer / désactiver facilement le proxy pour toutes les urls et IP, ou juste certaines, sans avoir à aller trifouiller dans les options à chaque fois. Je citerai sous Firefox Foxyproxy ou autoproxy pour l’utilisation sélective par le biais de « règles » du type Adblock avec possibilité d’expressions régulières etc.
    Concernant TuVPN un seul regret propre à tout leur service : la limite de connexion qu’à un seul serveur. Ce qui du coup est vraiment chiant avec SSH. L’utilisation de plusieurs tunnels étant bien pratique. Par exemple pour se connecter sur irc depuis une IP, sur un site A depuis une autre, un site B encore une autre etc.
    Même chose si il nous prend l’envie d’utiliser OpenVPN alors qu’on a son tunnel activé dans son client SSH. OpenVPN ne va pas se connecter, ou le tunnel va se déconnecter. Ce qui là encore est chiant quand on l’utilise d’office dans une application ou via Foxyproxy par exemple.
    Je comprends pas cette limite, si une limite IP / bande passante est utilisée pour chaque compte client au niveau de l’infrastructure, personne ne peut utiliser 50 serveurs serveurs en même temps à partir de pleins d’IP avec une grosse bande passante pour faire du ddos, du spam ou ralentir leur infrastructure pour leur nuire. D’ailleurs les autres fournisseurs SSH n’ont pas cette limite. N’hésitez pas à leur signaler ce point si comme moi vous trouvez ça assez emmerdant.
    ++