FLASH INFORMATIQUE FI



tout public Fin de bail pour les vieux serveurs VPN à l’EPFL


Il est indispensable d’adapter les clients VPN pour se connecter à l’EPFL.



Due to the end-of-life of the old VPN servers, it is mandatory to adapt the client.


Jacques VIRCHAUX


L’arrêt de ces anciens serveurs à fin juin 2010 a déjà été annoncé dans le FI 10/2009 pour planifier un changement en douceur sur une période de plus de six mois. Les utilisateurs travaillant encore sur ces anciens serveurs ont été avertis par email pour leur éviter toute précipitation de dernière minute. Pour celles et ceux qui n’auraient pas encore adapté leur client VPN , il ne leur reste plus beaucoup de temps pour le faire !

Les nouveaux serveurs ne fonctionnent plus avec certains clients

  • Le vieux client Cisco qu’on reconnaît à sa fenêtre de login caractéristique et son icône typique (application ou barre de tâche) :
  • Le client PPTP  , appelé souvent natif, principalement sur MacOS et sur PDA, mais aussi parfois sur Windows. C’est le L2TP/IPSec   qui peut le remplacer si on ne souhaite pas installer de client.

Reste encore le client vpnc  pour la plate-forme Linux qui doit impérativement être configuré avec le nouveau profil pour continuer à être utilisé. Cependant, pour des raisons de sécurité, il est préférable d’utiliser le client AnyConnect   ou le client openconnect    (GPLv2), supporté par la communauté uniquement.
Sur les nouveaux serveurs, le client AnyConnect est celui qui est préconisé. Il est cependant aussi possible d’utiliser un client L2TP/IPSec, celui-ci étant généralement le seul possible avec un PDA. La documentation avec tous les clients utilisables se trouve sur la page network.epfl.ch/vpn/.
Si vous avez un problème, n’hésitez pas à prendre contact avec le HelpDesk qui saura vous aider dans cette opération si vous n’avez pas de support de proximité.
Pour la plate-forme Mac il y a deux inconvénients majeurs à l’heure actuelle :

  • Le client AnyConnect ne fonctionne pas avec un modem-routeur ADSL Netopia/Motorola 3346 (fourni généralement par Swisscom à ses abonnés). Pour y remédier il faut utiliser/acheter un autre modem-routeur (solution proposée par Swisscom).
  • Le client L2TP/IPSec (natif de Mac) ne sait pas renégocier la clé de sécurité, qui se fait après 60 minutes, lorsqu’il est sur un routeur (comme à domicile généralement) et la connexion est coupée. Apple est au courant de cela depuis fin 2009. Il suffit de se reconnecter pour une autre période.

L’utilisation de VPN n’est pas toujours nécessaire

De plus en plus, l’authentification des applications de l’EPFL se base sur un username/password, dans ce cas il n’est pas nécessaire de passer par une connexion VPN.
Si vous utilisez le WiFi sur le campus de l’EPFL (  SSID  epfl), vous n’avez pas besoin d’utiliser le client VPN et votre connexion est aussi cryptée. Certains utilisateurs pensent que VPN est obligatoire pour utiliser le mail de l’EPFL à l’extérieur : la solution la plus simple est d’utiliser une interface Web qui est indépendante de l’adresse IP du poste. Si l’utilisation d’un client mail (Outlook, Thunderbird...) est malgré tout choisie pour des raisons de confort (même environnement au travail qu’à domicile), pour envoyer un mail à travers le serveur mail.epfl.ch il faut passer par une connexion authentifiée. Ceci est documenté sur la page mailwww.epfl.ch/auth.html.
Il reste quelques cas où l’utilisation de VPN est incontournable :

  • accès aux publications scientifiques : l’accord conclu avec certains éditeurs scientifiques limite la consultation de leurs revues aux ordinateurs connectés sur le réseau de l’EPFL, le contrôle de l’accès se fait sur l’adresse IP de l’utilisateur qui doit appartenir au domaine epfl.ch.
  • connexion WiFi aux HotSpots  des opérateurs participant à SWITCH-PWLAN (Monzoon, Swisscom et TheNet) ou dans les institutions membres de SWITCHconnect   &.
  • accès à certaines applications de l’EPFL dont l’accès est réservé aux adresses IP du domaine epfl.ch (applications ressources humaines ou financières).


Voir l’article Un nouveau serveur VPN paru dans le FI 3/2009 pour une description plus détaillée.

Glossaire

AnyConnect
client VPN propriétaire de Cisco utilisant le protocole SSL crypté.
HotSpots
points d’accès WiFi (dont certains avec partenariat SWITCHconnect).
L2TP/IPSec
protocole point à point crypté, très souvent déjà disponible sans installation, utilisant une clé partagée (dans notre cas).
openconnect
client VPN en version logiciel libre, substitut d’AnyConnect pour Linux.
PPTP
ancien protocole point à point utilisant un cryptage rudimentaire.
SSID
identificateur de réseau WiFi.
SWITCHconnect
accord d’usage du VPN entre sites partenaires.
VPN
réseau privé virtuel permettant de mettre un ordinateur sur le réseau de l’entreprise avec une liaison cryptée.
vpnc
client VPN en version logiciel libre, substitut du vieux client Cisco (aussi avec une sécurité moindre) pour Linux.


Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.