Activer l’accélération matérielle AES pour son VPN

ITC-cloud-info-aesnifull.gif.rendition.cq5dam.thumbnail.920.460

On a vu comment monter un VPN, maintenant, comment peut on l’améliorer d’un point de vu performance ?

via l’accélération matérielle de votre CPU !

Alors, ça ne sera pas valable dans tous les cas, puisqu’il faut que votre cpu vous propose les instructions nécessaires, ainsi que votre VPN et votre distribution sachent les utiliser.
Pour commencer vérifiez, si votre CPU a les bonnes instructions : au minimum « AES », au mieux « AES-NI », si comme moi vous avez un CPU Intel, vous pouvez faire un tour sur le site du constructeur : Intel ARK.

Ou consulter la liste suivante : http://ark.intel.com/fr/search/advanced?AESTech=true&MarketSegment=DT

Vous pouvez également vérifier directement sur votre VPN coté serveur et coté client la présence du flag :

#sur un linux
cat /proc/cpuinfo | grep flags
#sur une BSD
dmesg -a | grep Features (suite…)

POC : un VPN facile à utiliser !

Fotolia_79265714_Subscription_Monthly_M-600x400

Puisqu’il est dans l’air du temps de protéger sa vie privée et sa connexion internet,
Je me suis demandé comment, j’allais pouvoir faire : simple, efficace et avec un waf au top du top (sinon chez moi, aucune chance de mise en prod !).

Le VPN c’est bien beau, mais il faut se taper la conf, les explications (pour le coté waf 😉 ), les outils sur différents supports et périphériques …
Mais ça reste en quand même une bonne méthode, à savoir faire transiter tout son trafic jusqu’à un point de sortie, qui idéalement serait dans un pays ayant encore un peu de respect pour la neutralité du Net, la liberté d’expression, la vie privée : La Corée du Nord !!!

(nan j’deconne)

Je donc fais rapidement le tour des solutions de VPN qui existent, mais à chaque fois, je me pose la question : « est il sur ? », y a t’il de l’écoute, des logs, où est situé le siège de la boite derrière ça, c’est NSA approuved ? …
Bref trop de questions …

Pis en cherchant, je suis tomber sur le très bon article de Korben, et ce qu’il présente est pas mal du tout, pourquoi ne pas s’en inspirer ?

État des lieux : (suite…)

Proxmox 4 beta 1 – présentation

Enfin du nouveau chez Proxmox !

Logo-ProxmoxVE

Après avoir attendu un kernel 3.x avec support d’OpenVZ qui n’est jamais sorti, GmbH nous propose une beta pour la nouvelle monture 4.0.
ce qui est prévu pour la version finale :

  • 4.0 will be based on Debian Jessie 8.x
  • New high availability manager
  • Linux Containers (LXC), fully integrated in our storage model (local storage, Ceph, ZFS, DRBD9, …)
  • DRBD9
  • IPv6 support
  • GUI update to Sencha Ext JS 5.x

Ce qui est actuellement disponible sur la béta 1 du 22/06/2015 :

(suite…)

Votre blog avec de vrais morceaux de SSL !

CAcert-logo-colour-1000

Avoir un vrai certificat signé et approuvé par une autorité de certification SSL, c’est un peu le Graal pour le geek !

Mais voilà, ça coûte souvent (très) cher, pas toujours évident à mettre en place …

Voici donc une méthode simple pour avoir vos propres certificats (oui oui, au pluriel !) @ home et cela gratuitement (c’est la crise ma brave dame !).

(suite…)

La livebox et son loopback … « Go fuck ! »

Illustration issue de Degroupnews.com

Illustration issue de Degroupnews.com

Je suis très content de mon FAI (Sosh), qui m’offre de très bons débits (78/16) pour un prix modique et en « paysannie » !
Mais ils ont une livebox  Play comme modem/routeur :(

Elle est lente, moche, pleines de bugs, manque un tas d’options, et cale très mal les meubles.
donc elle est bonne à rien !

Mon plus gros reproche, est l’absence d’option pour gérer le loopback !
Comme vous le savez, je m’auto-héberge, ce qui veut dire que de chez moi, je suis susceptible d’accéder à des ressources via un nom de domaine  qui pointe en local.
la plus part des box opérateurs gèrent ça très bien, sauf bien sur, la livebox !
de l’extérieur sheldon.fr pointe sur mon serveur, de chez moi ça redirige vers … l’interface d’administration de la livebox :/

 

Quelles alternatives s’offrent à moi ?

  • la plus évidente : changer de modem, et prendre un vrai truc de bonhomme ! -> malheureusement il existe encore très peu de modem compatible VDSL2 (je ne parle même pas des routeurs), et encore moins qui sont compatible avec le protocole utilisé par l’agrume (VPC 8.35, G993_2)
  • changer d’opérateur ? -> il n’y a que Orange qui me propose du VDSL
  • modifier le fichier /etc/hosts sur chaque machine -> trop galère: j’ai trop de VMs, PC et pas pratique sur les smartphones & cie
  • bidouiller les nom DNS dans l’interface de la livebox -> solution simple, mais incompatible quand on utilise plusieurs domaines et sous domaines sur une même machine (ce qui est mon cas)
  • changer les DNS ? -> trop simple ça suffit pas
  • Obiwan envoi direct ses requêtes à Chuck Noris

(suite…)