IKEv2 chez PureVPN – Option Agile VPN

Protocole IKEv2 – VPN Reconnect (ex AgileVPN)

PureVPN vient d’ ajouter le protocole IKEv2 à son forfait VPN mensuel à $9.95 – Semestriel à $44.95 et ANNUEL à $49.95

Lisez bien le tuto en entier car le meilleur est pour la fin !!!

Le protocole IKEv2 est le dernier protocole VPN à avoir été implanté en natif par Windows et ceci depuis Seven

IKEv2 réseau VPN

Il y a encore quelques semaines seul 12VPN offrait ce protocole mais avec beaucoup de sens critique à son sujet: IKEv2 is a fast and easy to use VPN method. It does however have a major short-coming: if it’s blocked, or slow, or your home/Wi-Fi router doesn’t support it properly, there’s nothing that can be changed to make it work.

Aujourd’ hui c’est le très sérieux PureVPN qui monte beaucoup en puissance ces dernières semaines qui le propose pour servir de support à son tutorial d’ installation d’ un VPN sur le BlackBerry Z10.

purevpn_com_config_blackberry

PureVPN ne propose pas pour l instant de tuto pour Windows. Mais comme on est curieux, on va vous expliquer succinctement ce protocole, vous montrer une installation sur Windows Seven et développer l’ option Mobilité (MOBIKE)

  • IPsec (Internet Protocol Security)  est une solution VPN  dans laquelle une connexion cryptée est établie entre deux systèmes (hôte-à-hôte) ou deux réseaux (réseau-à-réseau). Appliqué à IPSec, le protocole IKE (Internet Key Exchange) a pour objectif d’établir un tunnel (le tunnel IKE) sécurisé en échangeant des clés partagées pour la transmission des données utilisateur entre les 2 machines. IKEv2 (Port UDP 500) est chargé de négocier la connexion. En 2005 IKEv2 a succédé au IKEv1 avec comme objectifs de le simplifier et d’incorporer de nouvelles fonctionnalités dans le protocole IPsec.
  • Tutorial en image

PureVPN propose trois adresses IKEv2: Roumanie – Uk et USA. Dans l’ exemple ci-dessous c’est le serveur Roumain qui a été choisi: ro1-ikev.pointtoserver.com

Nouvelle config vpn

Nouvelle config vpn choix

Config VPN adresse

Config VPN Login

Connexion VPN ok

Allez dans les Propriétés de votre connexion VPN

Options IKEv2

IKEv2 security

Il ne vous reste qu’ à vous connecter pour obtenir votre IP roumaine

IKEv2 MyIP

  • Option Mobilité (MOBIKE) alias AgileVPN ou VPN Reconnect

Pour nous la grande force du protocole IKEv2 est l’ option Mobilité. C’est cette option qui fait son atout et sa différence vis à vis des autres protocoles (PPTP – L2TP – SSTP) implantés par Windows dans son O.S.

Cette option permet de reconnecter le VPN d’un utilisateur lorsqu’il perd sa connexion à Internet. Prenez par exemple un utilisateur chez lui avec son PC portable. Il est connecté à son VPN par le biais d’une connexion en Wifi. Admettons maintenant qu’il perde sa connexion intempestivement et la retrouve peu après, il devra alors se reconnecter en allant chercher à nouveau sa connexion VPN, voir entrer une nouvelle fois ses identifiants. Hors avec l’ option mobilité (activée par défaut) du protocole IKEv2 le VPN se réactive dès que la connexion Internet est retrouvée, même si l’utilisateur se reconnecte par le biais d’une autre connexion (3G, Câble Ethernet, Wifi). La connexion VPN persiste pendant un certain temps, même en cas de modification de l’adresse IP (idéal pour ceux qui passent de réseaux Wifi ouverts en réseaux Wifi)  et cette opération est transparente pour l’utilisateur (Le VPN ne prend que quelques secondes pour être de nouveau opérationnel).

Pour activer la fonctionnalité de mobilité: Cliquez sur Paramètres avancés et Sélectionnez Mobilité, puis sélectionnez la durée pendant laquelle le VPN peut persister avant d’être terminé.

IKEv2 Mobike

Si votre connexion Internet se perd alors le VPN apparaît Dormant.

IKEv2 dormant

En cas reconnexion le VPN se reconnecte !

Si le client ne peut pas rétablir la connexion avec le serveur VPN avant la fin de période déterminée, la connexion est terminée: L’ erreur 868 apparaît

IKEv2 erreur 868

 

Share

OpenVPN sur VPS – Centos 5

Installation OpenVPN sur VPS

On continue notre découverte des VPN et des multiples disponibilités d’ installation sur des supports innovants comme les VPS

On a repéré plusieurs VPS et un seul a retenu notre attention pour ce tuto: Il s’ agit de DotVPS.Co. Pas trop cher avec IP NL ou USA

OpenVPN sur VPS - Centos 5 1

L’ inscription ne pose aucun problème. Le paiement peut se faire par Paypal. Cela nous en a coûté $6.95 pour ses caractéristiques techniques – DotVPS:

  • 25 GB d’ espace disque
  • 1 CPU
  • CentOS 5 – 32bit Standard comme OS
  • 250 GB de bande passante
  • 256 MB de mémoire dédiée
  • SolusVM comme interface web
  • IP NL

Par Mail vous recevrez les infos de votre compte: Infos générales – Adresse IP – Infos SSH – Infos SolusVM – et un disclaimer: DOS, Booter Scripts or scripts that waste bandwidth for example torrent flux, are not allowed on our server, your VPS may be suspended if these scripts are discovered!

Une fois votre VPS activé vous pourrez vous connecter et  installer vos scripts.

OpenVPN sur VPS - Centos 5 2

Dans l’ onglet Settings de la partie Controls vous installez TUN/TAP

OpenVPN sur VPS - Centos 5 3

OpenVPN sur VPS - Centos 5 4

Sur votre console vous pourrez vérifiez si TUN/TAP est correctement installé en tapant cette ligne de commande:

cat /dev/net/tun

La ligne de retour vous indiquera la réussite

File Descriptor is in bad state

OpenVPN sur VPS - Centos 5 5

 

 

 

Installation de la console. Vous pouvez y accéder via Putty (Client SSH) ou l’ interface web de la console OpenVPN sur VPS - Centos 5 6

OpenVPN sur VPS - Centos 5 7

 

Installation des paquets additionnels EPEL: Comme vous pourrez le lire sur le site du projet (http://fedoraproject.org/wiki/EPEL), “Extra Packages for Enterprise Linux” (EPEL) est un projet Fedora destiné à fournir et maintenir des paquets additionnels ( programmes pré-compilés prêts à l’emploi) de haute qualité pour les systèmes CentOS, Scientific Linux (SL), Red Hat Enterprise Linux (RHEL). Cette installation est obligatoire pour profiter du logiciel OpenVPN.

On vous conseille grandement de lire cette documentation de Fedora concernant la configuration du gestionnaire de paquets

Sous Centos 5.x il faut taper cette ligne de commande

rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

Sous Centos 6.x il faut taper cette ligne de commande

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-7.noarch.rpm

OpenVPN sur VPS - Centos 5 8

Puis mettez à jour tout votre système via le gestionnaire de paquets Yum (un outil permettant de gérer les installations) en utilisant la commande:

yum update

OpenVPN sur VPS - Centos 5 9

Installer le paquet OpenVPN:

yum install openvpn

OpenVPN sur VPS - Centos 5 10

OpenVPN sur VPS - Centos 5 11

Puis créez un dossier easy-rsa dans le répertoire d’OpenVPN avec cette ligne de commande:

cp -R /usr/share/openvpn/easy-rsa/ /etc/openvpn

OpenVPN sur VPS - Centos 5 12

Éditons le fichier vars afin d’initialiser différentes variables servant à la génération des certificats :

vi /etc/openvpn/easy-rsa/2.0/vars

Il Faut absolument éditer la dernière ligne.

OpenVPN sur VPS - Centos 5 13

Pour cela utiliser l’ éditeur de texte VIM. Changer le mail par le vôtre.

OpenVPN sur VPS - Centos 5 14

Après l’ édition, sauvegardez grâce à cette ligne de commande:

:wq

OpenVPN sur VPS - Centos 5 15

Mise en place des certificats et des clés. Pour cela il va falloir utiliser ces quatre lignes de commande. A rentrer une par une. Entrée à la suite.

cd /etc/openvpn/easy-rsa/2.0/
. /etc/openvpn/easy-rsa/2.0/vars
. /etc/openvpn/easy-rsa/2.0/clean-all
. /etc/openvpn/easy-rsa/2.0/build-ca

OpenVPN sur VPS - Centos 5 16

Lors de la validation de la dernière ligne de commande ne vous préoccupez pas des indications demandées (déjà données précédemment). Validez seulement grâce à Entrée

OpenVPN sur VPS - Centos 5 17

Génération du certificat et de la clé pour le serveur. Exécution du script build-key-server grâce à ligne de commande:

. /etc/openvpn/easy-rsa/2.0/build-key-server server

Tapez Entrée autant de fois que demandé en mettant y (2 fois) pour Oui

OpenVPN sur VPS - Centos 5 18

Génération des certificats et clés pour les clients. Comme précédemment il vous faut tapez une ligne de commande et validez par Entrée et acceptant deux Y

. /etc/openvpn/easy-rsa/2.0/build-key client1

OpenVPN sur VPS - Centos 5 19

Génération des paramètres de Diffie-Hellman. Le protocole Diffie-Hellman est un protocole de cryptographie utilisé dans les échanges de clés. Nécessaire pour l’ authentification et les échanges du serveur VPN sur notre VPS. Ligne de commande:

. /etc/openvpn/easy-rsa/2.0/build-dh

OpenVPN sur VPS - Centos 5 20

Transfert des clés clients sur le PC local. Pour cela il vous faut WinSCP: Client SFTP graphique pour Windows. Il utilise SSH et est open source. Le protocole SCP est également supporté. Le but de ce programme est de permettre la copie sécurisée de fichiers entre un ordinateur local et un ordinateur distant. Il faut vous munir de l’ IP de votre VPS, du Login Root et du mot de passe.

OpenVPN sur VPS - Centos 5 21

Sur votre PC Local choisissez votre répertoire où vont se trouver les clés clients (ca.crtclient1.crtclient1.key). Pour le VPS choisissez ce chemin: /etc/openvpn/easy-rsa/2.0/keys

OpenVPN sur VPS - Centos 5 22

Mettez de côté WinSCP. Fermez-le. On repasse du côté de notre console.

Copie de 5 fichiers (ca.crt – ca.key – dh1024.pem – server.crt – server.key) vers le répertoire OpenVPN. Grâce à ses deux lignes de commande (à valider une par une):

cd /etc/openvpn/easy-rsa/2.0/keys
cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn

OpenVPN sur VPS - Centos 5 23

Configuration du fichier client.conf .  Tapez ces 3 lignes de commande en les validant les unes après les autres:

cp /usr/share/doc/openvpn-2.1.4/sample-config-files/server.conf /etc/openvpn/
cp /usr/share/doc/openvpn-2.1.4/sample-config-files/client.conf ~/
cd ~/

Puis:

vi ~/client.conf

Il suffit ensuite d’ éditer: L’ adresse IP en mettant celle de votre VPS

OpenVPN sur VPS - Centos 5 24

OpenVPN sur VPS - Centos 5 25

Puis changer client.crt et client.key par client1.crt et client1.key

OpenVPN sur VPS - Centos 5 26

OpenVPN sur VPS - Centos 5 27

validez ces changement par la ligne de commande:

:wq

Démarrage du serveur OpenVPN. Utilisez ces deux lignes de commande:

/etc/init.d/openvpn start
chkconfig openvpn on

OpenVPN sur VPS - Centos 5 28

Édition du fichier server.conf . Utilisez cette première commande:

vi /etc/openvpn/server.conf

Il faut enlever le ; de cette ligne: ; push « redirect-gateway def1 bypass-dhcp »

OpenVPN sur VPS - Centos 5 29

Sauvegardez :wq

Ensuite utilisez cette ligne de commande:

vi /etc/sysctl.conf

Pour changer cette ligne:

net.ipv4.ip_forward = 0

par:

net.ipv4.ip_forward = 1

Sauvegardez :wq

OpenVPN sur VPS - Centos 5 30

Puis tapez cette ligne de commande:

echo 1 > /proc/sys/net/ipv4/ip_forward

Configuration des IPTables. Tapez ces lignes de commandes les unes après les autres. Changez IP VPS par l’ adresse réelle de votre VPS

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source IP VPS

OpenVPN sur VPS - Centos 5 31

Règles IPTables permanentes. Ligne de commande:

vi /etc/rc.local

Éditez le fichier pour qu’il ressemble à ceci.  Sachant que IP VPS correspond à l’ adresse réelle de votre VPS

#!/bin/sh
#
# [...]
#
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o venet0 -j SNAT --to-source 
IP VPS
touch /var/lock/subsys/local

Sauvegardez :wq

OpenVPN sur VPS - Centos 5 32

Installation du paquet dnsmasq . DNSmasq est pré-installé sur la distribution CentOS. C’ est un petit serveur DNS (cache DNS) qui intègre un serveur DHCP.

3 lignes de commande; Attendez bien entre les 3 le temps d’ installation !:

 

yum install dnsmasq

OpenVPN sur VPS - Centos 5 33

 

/etc/init.d/dnsmasq start

OpenVPN sur VPS - Centos 5 34

chkconfig dnsmasq on

OpenVPN sur VPS - Centos 5 35

Revenons à notre fichier server.conf

Ligne de commande:

vi /etc/openvpn/server.conf

Ajouter cette ligne

push "dhcp-option DNS 10.8.0.1"

OpenVPN sur VPS - Centos 5 36

Il ne vous reste plus qu’ à sauvegarder :wq

La dernière étape consiste a redémarrer votre OpenVPN:

/etc/init.d/openvpn restart

OpenVPN sur VPS - Centos 5 37

Installation d’ OpenVPN Gui sur notre PC.

Première étape: Vous téléchargez OpenVPN 2.2.2 et installez-le.

Deuxième étape: Vous ouvrez votre logiciel WinSCP

Il faut renommer le fichier client.conf en client1.conf puis le transférez dans votre dossier local et le renommez client1.ovpn

OpenVPN sur VPS - Centos 5 38

 

Il suffit alors de copier vos fichiers (ca.crtclient1.crtclient1.keyclient1.ovpn) dans le dossier config d’ OpenVPN

OpenVPN sur VPS - Centos 5 39

Démarrez ensuite (en tant qu’ administrateur) votre OpenVPN Gui et sélectionnez Connect

OpenVPN sur VPS - Centos 5 40

La connexion s ‘effectue et vous obtenez une adresse locale de type: 10.8.0.1

Il faut néanmoins vérifier avec un site comme WhatIsMyIpAdress.Com que votre IP Publique soit à l’ étranger.

OpenVPN sur VPS - Centos 5 41Et Hop un SpeedTest !

OpenVPN sur VPS - Centos 5 42

 

Share

Aspects techniques et légaux des VPN, la réalité.

L’administrateur de vpnblog m’a demandé de mettre quelques mots suite à mes récentes interventions sur binnewz ( je suis ex-modérateur binnewz – bien que j’ai conservé tous les droits sur le site ) pour lesquelles un sujet en particulier sur les VPN, je proposais ma modeste expérience et réalité du terrain ( je suis administrateur réseau d’entreprises )

Mon sujet avait pour trait la confidentialité dont se revendique tous les Fournisseurs VPN, avec à la clef, de préférence, la sacro-sainte annonce du no-log, comme si on allait vous apporter la bénédiction de commettre les pires horreurs sur le web sans que vous ne puissiez jamais en être inquiéter.

Je replaçais les choses dans leur contexte, en mettant en lumière, l’aspect « commercial » d’une telle annonce et qu’il convient toujours de garder son esprit critique et relativiste.

A la demande de Mahi, je vais donc retranscrire de manière un peu moins édulcoré que j’ai tenu ici si vous souhaitez accéder à l’intégralité du fil : http://www.binnews.info/binnewz/index.php/topic/457185-avis-sur-les-differents-vpn/page__view__findpost__p__1458095

Tout d’abord, je vais énoncer des évidences qui je m’en suis rendu compte ne sont pas évidentes pour tout le monde :

– Un VPN ne vous rend pas anonyme, un Vpn va complexifier votre identification en masquant votre activité à votre FAI en passant par un prestataire tiers pour vos activités de surf et de download.

– Un VPN ne doit pas être pris à la légère, en effet, non seulement un Vpn ne vous rend pas anonyme, mais en plus vous lui confiez votre sécurité et vos données personnelles, n’oubliez pas que si votre FAI ne voit plus vos activités ( si ce n’est un tunnel de données cryptés entre vous et le prestataire Vpn, votre prestataire Vpn quand à lui voit TOUT car vous lui déléguez votre capacité de surf, vous sollicitez ses DNS, vous passez par ses requêtes pour atteindre une page web ou un téléchargement, il a donc accès potentiellement à toutes vos données) le choix d’un vpn doit donc se faire de manière posée et réfléchie, la quête du « je veux le moins cher possible et peu importe qui il soit » et une aberration et un suicide, j’ai publié par le passé des incidents gravissimes notamment sur vpntunnel.se qui avait fait preuve de négligence en oubliant d’activer les parefeux de ses connections que j’avais publié ici même, chez zataz et sur Bnf… Un Vpn mal choisi peut devenir une backdoor grande ouverte au hacking d’un Pc qui vous croyez avoir correctement protégé / configurer : c’est l’histoire du berger qui fait lui même entrer le loup dans la bergerie.

et pour ce qui est de la confidentialité, je vais un peu copier / coller mon analyse de Bnf :

Je conseillais de relativiser :

Certes certains Fournisseurs comme vpntunnel.se pour ne citer que lui annoncent fièrement : « nologs » – ATTENTION uniquement sur les serveurs suédois : pourquoi ?

c’est la législation locale de l’emplacement des serveurs qui s’appliquent et également le siège social de l’entreprise dans le cas de vpntunnel.se siège social suède et serveurs suède ok car lois suèdoises appliqués, mais cela repart sur un schéma traditionnel dans le cas d’utilisation d’un serveur « autre que le suèdois » et si tu pars sur du UK ou autres ben tu te retrouves avec un service identique aux autres…

surtout que tout dépend ce qui est loggé :

hidemyass un autre Fournisseur annonce la couleur :

————————-
HideMyAss ne garde que les infos que vous données lors de l’ inscription sur le site: Username, email address, password (encrypted) and IP address

Données de Connexion
Les données gardées pendant 30 jours sont: Time stamp and IP address when you connect and disconnect to our service.

Utilisations Interdites
Elles sont nombreuses et justifiées comme: Promote  or provide instructional information about illegal activities, promote  physical harm or injury against any group or individual, or promote any  act of cruelty to animals.
HideMyAss coopérera avec les autorités en cas: We will cooperate with law enforcement agencies if it has become evident that your account has been used for illegal activities.[/quote]
————————-

c’est du classique : ça dit on vous logge certes mais dans les limites de la loi c’est à dire pas grand chose mais suffisamment pour remonter jusqu’à vous…

hidemyass par exemple ont été entachés pour une affaire peu connue si ce n’est des initiés : l’affaire lulzsec : http://www.informati…ivacy/231602248

en gros hidemyass a coopéré avec les autorités pour démasquer certains hackeurs très actifs qui avaient piratés des sites gouvernementaux et les « lulzsec » ( ou prétendu tel car il fallait qu’ils soient bien couillons pour se faire pincer de la sorte ) s’étaient senti trahi… mais franchement pouvait-il faire autrement ? vous voyez la société anglaise dire non non, on donnera rien on protégera les hackers ? soyons sérieux, demain ça arrive à la société vpntunnel.se la même histoire : un nouveau Behring Breivik en suède sors de l’ombre et utilise ce vpn pour donner des infos sur ces prochains crimes, vous croyez sincèrement que vpntunnel.se va sortir la carte « nolog » de son réglement en disant : « les gens on qu’à mourir, il a payé pour être anonyme »… bah ! comme par hasard, on sortira des logs même avec l’annonce nolog et 2H après la police est chez lui, tout nolog annoncé qui soit…

de toute façon n’importe quel juriste vous le diras : cette marotte du nolog c’est du marketing puisque tous les fournisseurs l’annoncent dans des termes quasi similaire : xxx coopérera avec les autorités en cas: We will cooperate with law enforcement agencies if it has become evident that your account has been used for illegal activities. et pas de chance, le simple fait de télécharger un film protégé par le droit d’auteur est une infraction… vous n’êtes donc pas protégé par notre règlement puisque vous l’avez utilisé à des fins frauduleuses…

donc le principe général de dire, je cherche absolument le nolog est une quête vaine… tout est une question de principe de relativisation de l’action à entreprendre :

si vous êtes un terroriste / pédophile / criminel / islamiste, ce que vous voulez on vous foutra à poil, quoi qu’il arrive on vous remonte… c’est un fait.

MAIS, si comme je le pense, vous êtes l’individu lambda, qui un peu par paranoïa, un peu par défi, veut se prémunir contre son FAI qui pourrait l’espionner, veut se prémunir contre des organismes tel que hadopi ou des sites webs généralistes comme par exemple pour poster un message un peu virulent ( sans être ni menace de mort pouvant porter dommage à l’intégrité physique ou morale de la personne évidemment – juste un truc du genre xxx est un gros fumier – exemple concret  : http://www.infos-du-…s-internet.html )

là oui dans ces cas là prenez un vpn mais ne faites pas du nolog un impératif absolu, c’est ridicule…

le tout étant de comprendre le principe que vous n’empêchez pas votre identification ( une bonne fois pour toute l’anonymat n’existe pas sur internet ), mais vous la complexifiez parfois grandement :

un exemple  comique :

Individu 1 télécharge 1 film récent passé au ciné surveillé dans les listes de TGM / Hadopi avec sa connection IP FAI classique
Individu 2 télécharge 1 film récent passé au ciné surveillé dans les listes de TGM / Hadopi avec sa connection IP FAI classique + Un Vpn type Hidemyass / Vpntunnel.se

on va supposer que le contrevenant se fait : « flasher »

cas N°1 : simple : TGM demande d’identification au FAI car IP Frenchie identifié : par convention : FAI donne info TGM / TGM transmet Hadopi / Hadopi envoi 1er Avertissement ou 2ème ou si c’est le 3ème procédure de transmission au parquet / jugement et éventuellement suspension web… etc…

cas N° 2 : ça se complique : TGM relève IP : pas française : procédure finie… et oui déjà c’est stop : pourquoi ? 1 / hadopi est une juridiction territoriale qui ne s’applique pas à l’univers le simple fait de passer la frontière même numérique vous exclu de fait de la procédure… mais prenons un cas extrème : l’agent qui vous piste est particulière zélé, il veut aller plus loin, mais il se pose une question encore une fois toute bête, même si il identifie l’ip étrangère comme rémanence d’un VPN, qui lui dit que c’est un français qui l’utilise ? ben rien, vous pourriez bien être polonais / russe / italien / anglais / espagnol… et la l’hadopi c’est dans le fondement qu’ils se le mettent mais admettons encore que l’agent très zélé ayant vraiment du pognon à faire perdre à sa société décide de transmettre une requête ( internationale pour le coup ) au siège social de la société vpn, que lui répondra t’elle ? dans le cas d’une vraie société solide : pour vous dévoiler l’identité de la personne nous devons avoir un jugement écrit ( du pays où est le siège social et nous vous transmettrons les données réclamés – à supposer encore une fois gros coup de poker que le contrevenant soit français ) dans ces cas de figure si la procédure s’arrête là, on l’a vu pour les DMCA de giganews vyprvpn, on vous indique que vous avez contrevenu au règlement et que votre compte est gelé / résilié immédiatement – c’est le cas le plus grave et le plus extrême connu à ce jour – donc pas de quoi s’alarmer… et si jugement au final il y a, l’agent est vraiment têtu et que coup de bol il est français, la il pourra continuer sa « très chère » – littéral comme figuré – procédure avec son ip donné par le fournisseur VPN chèrement acquise et l’on continu le schéma classique par convention : FAI donne info TGM / TGM transmet Hadopi / Hadopi  envoi 1er Avertissement ou 2ème ou si c’est le 3ème procédure de  transmission au parquet / jugement et éventuellement suspension web…  etc…

si vous avez fait quelque chose de très grave ou projeter quelque chose de très grave, le « nolog » c’est du flan marketing… et si votre seule crainte c’est de download le dernier film ou mp3 à la mode, là, pareil, vous pouvez fumer sous la douche, tout est une question de moyen de mise en oeuvre au regard de l’infraction commise – la question n’est pas « est ce que je suis anonyme ? » « mais : est ce que ce que je fais va nécessiter un déploiement de force procédurier important car il convient de m’arrêter coûte que coûte peu important le coût, le temps et les moyens »… et télécharger un film, une musique ou poster « t’es trop con » sur un forum, ne finit pas encore en cours d’assises… l’Etat à mieux à faire à arrêter les salafistes que traquer à l’international kevin, 17 ans, terroriste ayant écrit sur un blog  » cette prof est trop conne » et téléchargé l’album du dernier guetta illégalement…

 

Share

VPN sur Androïd

Smartphones, Tablettes, et Autres supports mobiles utilisent de plus en plus l’ O.S Mobile Androïd.

Qui dit Mobile dit Connexion en Wifi

Qui dit Wifi dit VPN

Il était donc temps de faire le point sur l’ installation d’ un VPN sur Androïd. La tablette qui a servit à faire les tests est l’ Acer Iconia Tab A501 avec Version d’ Androïd 3.2.1. La tablette n ‘est pas rootée (Quelle daube cette histoire de Root ! Quand on pense qu’ il faut une tablette rootée pour faire une simple capture d’ écran qui marche et qui soit gratuite), juste un compte Google (qui centralise un peu plus mes choix, désirs et mes allées venues) pour profiter des applis du Google Play (ex Androïd market pas assez centralisateur).

Vous allez croire que j’ en ai après Androïd ? et bien oui car en plus l’ implantation du MPPE ((Microsoft Point-to-Point Encryption) pour le protocole PPTP est buggé sur de nombreuses versions d’ Androïd (paraît que la 4 est OK). Conséquence si le chiffrement est activé la connexion est instable ! Soit les téléchargements sont impossibles ou encore la connexion se coupe. On a testé plusieurs PPTP et L2TP. A chaque fois on lançait un DL d’ Ubuntu et les résultats étaient toujours les mêmes: Au bout de 20 minutes le DL se stoppe.

Certains serveurs VPN comme Ipvanish le mentionne dans son tuto (PPTP Setup – Androïd) ou d’ autres en ont fait un article comme SecurityKiss: Le bug PPTP du client VPN d’Android (malheureusement les serveurs PPTP sans MPPE proposés par SecurityKiss ne fonctionne pas plus qu’ avec le MPPE)

Il faut donc absolument utiliser le protocole L2TP. L ‘ exemple ci-dessous utilise le L2TP d’ IPVanish

Paramètres => Sans fil et réseaux => Paramètres de VPN  (Configurer et gérer les réseaux privés virtuels) => Ajouter un VPN=> Ajouter le VPN « L2TP/IPSec PSK » (VPN L2TP/IPSec basé sur une clé pré-partagée)

  • Nom du VPN: Mettre IPVanish L2TP (par exemple)
  • Définir le serveur VPN: Mettre l’ adresse du serveur. Vous avez la liste complète sur votre compte utilisateur de votre VPN. Ici on a utilisé: cph-b01.ipvanish.com
  • Définir la clé pré-partagée IPSec: ipvanish
  • Activer « secret L2TP »: Laissez décochée

Enregistrez la config. Puis cliquer sur IpVanish L2TP pour se connecter. Mettez votre Nom d’ utilisateur et le Mot de passe (cochez « Mémoriser le nom d’ utilisateur ») et Se connecter

En bas à droite de votre tablette apparaît une clé. En cliquant dessus vous avez la durée de connexion.

P.S: On est désolé c’est un de nos seuls tutos sans captures d’ écran. La raison à ce stupide système de Root. Androïd système ouvert ? De plus on va attendre que notre version 3.2.1 soit rootable (sans devoir downgrader) pour vous faire un tuto sur l’ OpenVPN et mettre à jour cet article avec des ScreenShots.

 

Share

PureVPN en Test

PureVPN est un VPN bien implanté et connu. Le siège est basé à Hong-Kong depuis 2007. On a déjà testé de nombreux BIG serveurs VPN qui lui ressemble: Nombreux pays, Protocole OpenVPN, Support rapide, Client VPN intégré, Vitesse au top mais PureVPN a la particularité d’ offrir un protocole que l’ on avait jamais testé et donc que l’ on ne vous avait jamais présenté. Il s’ agit du protocole SSTP que PureVPN a adopté à la place de l’ OpenVPN à la Mi-2010.

Et Vous

[poll id= »9″]

Protocole SSTP ?
Depuis quelques années apparaît une autre sorte de VPN, le SSL VPN. Le SSL VPN a été implémenté par Microsoft  sous le nom de SSTP. A partir de Windows Server 2008, Microsoft intègre un nouveau mécanisme d’établissement de connexion VPN. Le protocole SSTP (Secure Socket Tunneling Protocol) fournit un mécanisme permettant d’encapsuler le trafic PPP (Point-to-Point Protocol) sur le canal SSL du protocole HTTPS. Le protocole SSTP  est une nouvelle forme de tunnel VPN.

Avantages du SSTP ?

  • Pouvoir passer plus facilement les pare-feu, puisqu’il se fait passer pour une pseudo connexion HTTP (une session SSTP va s’initier tout d’abord en ouvrant une socket SSL vers le serveur destination sur le port 443/tcp en simulant une connexion HTTP spéciale. Une fois la connexion faite, la couche SSTP se substituera à HTTP pour encapsuler les octets PPP). La couche SSTP est encapsulée dans un tunnel HTTP over SSL (HTTPs) afin de mieux passer les pare-feu.
  • Le protocole SSTP (Secure Sockets Layer) procure une sécurité et une stabilité renforcée.
  • SSTP est implémentée nativement depuis Windows Vista (absent  du Service Pack 3 de Windows XP) et absence de client logiciel tiers.

Différence avec les protocoles implémentées nativement sur Windows ?

Les versions Windows 7 et Windows Server 2008 R2 supportent en natif 4 protocoles VPN: Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol with Internet Protocol Security (L2TP/IPsec), Secure Socket Tunneling Protocol (SSTP), and Internet Key Exchange version 2 (IKEv2)

PureVPN en Test 43

PPTP et L2TP sont les deux protocoles implantés nativement dans Windows les plus utilisés. Ce petit tableau récapitulatif vous montrera les différences

Protocole Windows Algorithme de chiffrement + Port Commentaire
PPTP XP, 2003, Vista, WS08, W7, WS08 R2 128-bit RC4Port TCP 1723 Le PPTP est un des protocoles les plus répandus avec l’ OpenVPN. Historicité et facilité (peut être installé partout !) explique l’ usage encore très répandu. Pourtant c’est loin d’ être le meilleur même si il n’ y a très peu de perte de vitesse.
L2TP/IPSec XP, 2003, Vista, WS08, W7, WS08 R2 Chiffrement 256-bit AES ou Chiffrement 128-bit 3DES  Port UDP 1701 On peut considérer L2TP comme une évolution de PPTP. L2TP est une option plus sûre, car il fonctionne en conjonction avec le protocole IPSec qui utilise des algorithmes de chiffrement plus sûrs que le protocole PPTP. L2TP a plusieurs avantages sur PPTP, l’intégrité des données est vérifié (aucune modification du contenu n’ est possible), un certificat garantit l’ envoi et fait œuvre d’ authentification. Mais si L2TP/IPSec offre une sécurité accrue, il est plus difficile à mettre en place, peut rencontrer des problèmes de compatibilité avec des pare-feux, peut entraîner des performances légèrement plus lentes que le protocole PPTP.
SSTP Vista SP1, WS08, W7, WS08 R2 Chiffrement 256-bit AESPort TCP 443 Le SSTP est une solution fiable et sécurisée. Et offre l’ immense avantage d’ utiliser le port 443 qui permet de contourner la plupart des restrictions ou filtres. Là où les autres protocoles sont bloqués, SSTP permet une connexion VPN via HTTPS (443). Certains disent qu’ il est plus rapide et plus stable que l’ OpenVPN. Pour nous la grande différence réside dans l’ absence de logiciel tiers.
IKEv2 W7, WS08 R2 AES ou 3DES Denier protocole intégré dans Windows. On ne le connaît pas. Il fera l’ objet d’ un test.

 SSTP chez PureVPN ?

Le SSTP est disponible, au moment de l’ article, chez une dizaine de VPN ( BoxPNIAPSStrongVPNAstrillCienenSwissVPN –  VPNAccountsBananaVPN – Blacklogic – VPNPremierLibertyVPNHighSpeedVPN) dont PureVPN.

Avantages:

  • Il est disponible sur les trois forfaits VPN. Je me suis abonné à l’ Unlimited plan à $18/mensuel (tarif dégressif sur plusieurs mois).
  • Son chiffrement est de 128 bits.
  • Il est dispo sur 10 pays et 12 serveurs: Maidenhead (UK) – London (UK) – New York (USA) – Munich (DE) – Luxembourg (LU) – Amsterdam (NL) – Kelowna (CA) – Bern (CH) – Bucharest (RO) – Singapore ( SG) – Los Angeles (USA) – Dublin (IE). Notez qu ‘avec le PPTP ou L2TP le nombre de serveurs est largement supérieurs avec des pays nettement plus intéressant comme Sweden ou plus exotique comme Panama.

UK
uk1-sstp.pointtoserver.com

uk2-sstp.pointtoserver.com

USA
us1-sstp.pointtoserver.com

us2-sstp.pointtoserver.com

Canada
ca3-sstp.pointtoserver.com

ca1-sstp.pointtoserver.com

Germany
de1-sstp.pointtoserver.com

Netherlands
nl1-sstp.pointtoserver.com

Luxembourg
lu1-sstp.pointtoserver.com

Switzerland
ch-sstp.pointtoserver.com

Romania
ro1-sstp.pointtoserver.com

Singapore
sg1-sstp.pointtoserver.com

Ireland
ie1-sstp.pointtoserver.co

  • Un client VPN intégré avec fonction Split Tunneling en Beta: Pour en savoir plus sur le Split Tunneling

Défauts:

  • Pas d’ OpenVPN
  • Tarif élevé pour de l’ illimité. L’ Unlimited Plan est à $18 (14€ après conversion).
  • Le plan avec Ip dédié est limité à 30GB/mois ce qui est peu. Dommage car de l’ IP Dédié en SSTP c’est vraiment rare.

Vous l’ aurez compris et suivant notre adage (A chaque VPN son usage) PureVPN est particulièrement valable pour les résidents ou expatriés de pays qui bloquent le protocole PPTP – L2TP, qui censurent partiellement ou intégralement INTERNET, qui bloquent certaines applications comme Skype: Chine, UAE, Quatar, Koweit, Oman, Belize, Malaisie, Mexique, Pakistan, Panama, Jordanie, Syrie, Birmanie, ….. (malheureusement la liste est bien longue !)

Installation du SSTP

Le forfait Unlimited Plan est à 14€. Payé par Paypal on a eu le choix du Non-recurring. Pratique pour ceux ou celles qui ne veulent pas de renouvellement automatique.

Pour lutter contre la fraude votre paiement doit être vérifié par 2Checkout: Fraudsters Beware!! . HideMyass a récemment aussi adopté 2Checkout suite à un désaccord avec la plateforme de paiement Plimus: http://blog.hidemyass.com/2012/02/13/have-you-paid-with-plimus-com/

Une fois votre paiement approuvé (20 minutes pour nous) vous recevez par Mail toutes les infos nécessaires: Login/password – Liens vers les Dialers – La Preshared key pour le L2TP – L’ adresse des serveurs – Le script pour le DD-WRT – Une prévention contre la fuite de DNS. C’est bien rodé, on sent que c’est Pro ! Idem pour le support, le Live Chat c’est pas de la décoration.

Vous avez trois manières de vous connecter en SSTP: Dialer + Client intégré + Manuel: http://www.purevpn.com/tutorials.php

La Première: Vous installez le Dialer.

Vous téléchargez le dialer sstp.pbk partie Download: http://billing.purevpn.com/downloads.php?action=displaycat&catid=4

PureVPN en Test 44

En cas d’ Error 0x80072746 , il vous faudra installer un certificat que vous trouverez dans la partie Download.

Et Hop me voici au Paradis Numérique

PureVPN en Test 45

PureVPN en Test 46

Perso j’ aime pas trop le Dialer (Le dialer (et pourquoi ?) n’ avait pas le bouton HangUp pour se déconnecter), à part la liste des serveurs cela n’ apporte rien de plus qu’ une config manuelle. Par contre le client intégré me plaît plus en apparence et par ce qu’ il laisse présager.

La seconde: Vous installez le client intégré. l’ immense avantage c’est que vous pourrez switcher de protocoles.

Pour l’ obtenir il faut tout simplement vous connecter à votre Compte Utilisateur

Après il vous suffit de l’ installer et de découvrir votre VPN dialer – Pour les modifications, n’oubliez pas de les faire en tant qu’ administrateurs – N’ oubliez pas de vérifier les mises à jour, elles sont assez fréquentes car le logiciel est en plein lancement et les lots de modifications sont courants. Deux modifs majeures ont par exemple eu lieu entre le début de notre test et sa rédaction (soit UN bon mois).

PureVPN en Test 47

L’ Onglet Country Selection Tool vous permet de choisir votre Pays. Il existe une petite variante par rapport aux autres , ici on peut choisir son pays à partir de son activité voulue. C’est pas bête. Ce qui est dommage c’est que c’est pratiquement toujours le Canada qui est proposé (Comment est fait le classement ?). De toute façon à part un usage spécifique lié à l’ IP (Tv Replay – VOIP°) nous on conseille la Suède , la Hollande ou le Luxembourg. Notez que vous retrouvez ce même principe sur le site: http://www.purevpn.com/select-location/

PureVPN en Test 48

Onglet Split Tunneling. C’est de loin la fonction la plus intéressante et la plus surprenante. Lorsque cette option est activée vous pouvez choisir quelle logiciel passe par le VPN. On a fait un tuto dédié à cette fonctionnalité: Split Tunneling chez PureVPN

PureVPN en Test 49

Onglet Settings. J’ ai coché que « Redial Automatically if connection drops)« . Certains préfèrent  voire se lancer le logiciel au démarrage de Windows ! Le plus important est de ne pas oublier de cocher « Remenber Me » dans l’ onglet Dashbloard. Quant à la « Security » on a mis Maximum

PureVPN en Test 50

SSTP au quotidien

Toutes les applications sont autorisées par PureVPN même le P2P mais avec quelques restrictions:

  • We respect local laws and of course will not allow P2P on USA, UK and French servers. However the Netherlands, Canada and Germany have so far no such legislation in effect so we do also allow P2P on these locations. : Is pureVPN safe for eMule and uTorrent?
  • Pas de Port Forwading sur notre forfait Unlimited Plan !

Comme vous l’ avez lu on peut se connecter en SSTP par le biais d’ une Config manuelle, par un Dialer et par le Client intégré. Le client VPN étant l’ avenir de la connexion VPN, on s’est donc attardé dessus. La première chose à faire est de configurer le Split Tunneling afin de protéger vos applications d’ une éventuelle coupure.

Autant vous le dire de suite, cette fonction est vraiment en Beta. Par exemple si Firefox est installé dans le Split Tunneling il faut cliquer sur Launch. En lançant Firefox depuis votre icône habituelle vous verrez votre IP F.A.I apparaître lors d’ un test d’ IP. A contrario IE ne passe pas par le VPN si iexplore est inclus. Vérifiez toujours votre IP après une connexion.

Conséquence: On s’ est passé de cette fonction. On est d’ accord pour du Beta mais là ! Du coup on a remis en route notre bon vieux VPNLifeguard qui marche même avec le SSTP ( les VPN apparaissant dans « connexions réseau » de Windows)

Pour les connexions:

Les serveurs sont instables en SSTP, au bout de deux heures on perdait souvent la connexion (LU – CA). On avait alors des coupures, impossible de surfer au bout d’ un moment puis cela revenait; on s’est dit que c’ était une mauvaise config de notre part ? Mais le fait est que sur routeur (en PPTP sur LU), via dialer ou en manuel le résultat a été équivalent (même en SE sur PPTP). On a même retarder la publication de ce test en faisant des essais avec VPNTunnel se demandant si ma ligne ADSL avait des problèmes ! Le résultat est simple: pendant 3 jours VPNtunnel sur l’ adresse SE a été stable.  Pour retrouver une connexion la solution était de switcher de serveurs et de retomber sur le NL qui a toujours été le meilleur et le plus stable. D’ ailleurs l’ étape déconnexion-reconnexion chez PureVPN est particulièrement rapide.

Test de vitesse: Comme le nombre de serveurs sont dans une limite raisonnable, on a fait un test de tous les serveurs.

Sans VPN

PureVPN en Test 51

VPN LU

PureVPN en Test 52

VPN CH

PureVPN en Test 53

VPN NL

PureVPN en Test 54

VPN UK London

PureVPN en Test 55

VPN USA New-York

PureVPN en Test 56

VPN CA

PureVPN en Test 57

VPN RO

PureVPN en Test 58

VPN SG

PureVPN en Test 59

VPN IE

PureVPN en Test 60

BILAN:

Ce VPN nous donne l’ impression d’ être prometteur et de vouloir sortir des sentiers battus: OpenVPN + PPTP ! Il y a tellement de serveurs VPN depuis quelques mois qu’ au moins PureVPN a le mérite de vouloir proposé un protocole différent, une fonctionnalité bien distinctive des autres: Le Split Tunneling et un Androïd Plug n play

PureVPN en Test 61

Différence avec les clients intégrés concurrents: L’ IP Guard est absent du client intégré mais comme le SSTP apparait dans les connexions réseaux de Windows alors vous pourrez utiliser VPN LifeGuard.

La contrepartie sont des défauts de jeunesse. Tout est en Beta encore ! et les serveurs sont instables.

On attend vraiment des avis d’ utilisateurs de PureVPN sur la stabilité des connexions car c’est vraiment le péché de ce test. C’est vraiment le problème récurrent que l’ on a eu. Si comme nous le NL était le plus satisfaisant ?

 

Share