Arethusa forum

Arethusa discussion forums.

You are not logged in.

Announcement

Registration is not required to post, but is required to post links.

#1 2017-05-18 18:45:14

Zero
Moderator

Server upgrades

We are currently upgrading several servers (everything located in Netherlands) to a double VPN architecture, for better security.

The exit point and IP addresses will remain in Netherlands, but you won't be connecting directly to the VPN server in Netherlands. You will instead connect through a proxy in another country.
Between the two servers, all the traffic is multiplexed and encrypted.
The result is that an attacker spying on a server's network traffic will learn nothing useful.

All upgraded servers support OpenVPN 2.4 and run on recent hardware.

The v2 "europe" server and 50% of "p2p" servers are already upgraded.
The v1 / v2 "fr" server will be upgraded very soon, then the v3 server, then the remaining v2 "p2p", "nl" and "nl-pp" servers.

No change is required in your configuration files.

Offline

#2 2017-05-18 18:45:32

Zero
Moderator

Re: Server upgrades

Version française:

Nous mettons à jour plusieurs serveurs (tout ce qui est situé aux Pays-bas) vers une architecture double VPN, pour une meilleure sécurité.

Le point de sortie et les adresses IP restent aux Pays-bas, mais vous ne vous connecterez pas directement sur le serveur VPN aux Pays-bas. Vous vous connecterez à la place à travers un proxy dans un autre pays.
Entre les deux serveurs, tout le trafic est multiplexé et chiffré.
Le résultat est qu'un attaquant espionnant le trafic réseau d'un serveur n'apprendra rien d'utile.

Tous les serveurs mis à jour supportent OpenVPN 2.4 et fonctionnent sur du matériel récent.

Le serveur v2 "europe" et 50% des serveurs "p2p" sont déjà upgradés.
Le serveur v1 / v2 "fr" sera upgradé bientôt, puis le serveur v3, puis les serveurs v2 "p2p" restants, "nl" et "nl-pp".

Aucun changement n'est nécessaire dans vos fichiers de configuration.

Offline

#3 2017-05-29 22:28:14

Zero
Moderator

Re: Server upgrades

v1 / v2 "fr" was upgraded this morning.

Offline

#4 2017-05-30 17:47:05

Anonymous
Anonymous

Re: Server upgrades

C'est possible d'avoir un peu plus de précisions quant à cette nouvelle double architecture ?

Ça consiste en quoi exactement ?

Merci wink

#5 2017-05-31 15:59:44

Zero
Moderator

Re: Server upgrades

Anonymous wrote:

C'est possible d'avoir un peu plus de précisions quant à cette nouvelle double architecture ?

Ça consiste en quoi exactement ?

Sur un serveur VPN simple, un attaquant (de type services secrets, ou n'importe qui ayant piraté un équipement réseau) qui écouterait le port réseau peut faire la corrélation entre l'IP réelle d'un utilisateur et son trafic en clair.
Le double VPN rend ce genre d'attaque (et d'autres) très difficile.

Concrètement, vous vous connectez sur un serveur A. Entre vous et A c'est chiffré comme d'habitude.
Le serveur A transmet tout le trafic à un serveur B dans un pays différent. Entre A et B c'est chiffré.
Et enfin B sert de point de sortie vers Internet.
Résultat:
Seul du trafic chiffré entre ou sort de A. A n'a aucune activité publique.
Ceux qui cherchent à s'en prendre à un(des) utilisateur(s) trouveront B, mais B ne sait pas remonter jusqu'aux utilisateurs.

Offline

#6 2017-06-01 06:54:36

Stream
Anonymous

Re: Server upgrades

Si je comprend bien, en se connectant par exemple à FR-DEDI ou à LU, c'est lui qui sera le point de sortie (B) mais le trafic passera avant par un serveur A transparent mais situé dans un autre pays?

donc: mon ordi >>> A (transparent) >>> B (sortie)  ?

#7 2017-06-01 13:08:49

Anonymous
Anonymous

Re: Server upgrades

D'accord j'ai saisi. C'est une sorte de proxy en fait

#8 2017-06-01 13:09:53

Anonymous
Anonymous

Re: Server upgrades

Mais du coup la redirection dans les fichiers de config sera à changer ? Ou bien vous vous en occupez ?

#9 2017-06-01 13:25:57

Stream
Anonymous

Re: Server upgrades

écoute Zero:

Zero wrote:

Aucun changement n'est nécessaire dans vos fichiers de configuration.

#10 2017-06-01 13:51:37

Zero
Moderator

Re: Server upgrades

@Stream:
Oui. À part que LU n'est pas concerné par cette mise à jour.

Offline

#11 2017-06-01 19:06:31

Anonymous
Anonymous

Re: Server upgrades

Stream wrote:

écoute Zero:

Zero wrote:

Aucun changement n'est nécessaire dans vos fichiers de configuration.

J'ai bien lu la news wink
C'est surtout que je cherche à comprendre le nouveau système mis en place !
Car si nous nous connectons sur un nouvelle machine, forcément ça ne sera pas la même IP que le point de sortie.

#12 2017-06-01 19:19:51

Zero
Moderator

Re: Server upgrades

Anonymous wrote:

Car si nous nous connectons sur un nouvelle machine, forcément ça ne sera pas la même IP que le point de sortie.

Exact l'IP de connexion n'a rien à voir avec le point de sortie.
Comme la connexion se fait sur une adresse DNS, un changement d'IP de connexion peut se faire sans modifier les fichiers de configuration.

Offline

#13 2017-06-01 19:57:11

Anonymous
Anonymous

Re: Server upgrades

Oui c'est bien ce qui me semblait. J'ai saisi le principe wink

Ben c'est nickel tout ça. Top moumoute la sécurité chez arethusa !

#14 2017-06-06 21:07:27

ndiolo
Anonymous

Re: Server upgrades

Hi, does the french server will back online soon?

#15 2017-06-06 22:46:40

Zero
Moderator

Re: Server upgrades

ndiolo wrote:

Hi, does the french server will back online soon?

The FR server is online. It has never been offline.

Offline

#16 2017-06-12 20:59:34

Anonymous
Anonymous

Re: Server upgrades

Le serveur v3 a-t-il été mis à jour ? Car j'ai du traffic différent pour la connexion à OpenVPN, sur l'adresse IP : 212.129.X.X

Last edited by Zero (2017-06-12 22:54:12)

#17 2017-06-12 22:56:56

Zero
Moderator

Re: Server upgrades

Le serveur v3 est en cours de mise à jour.
Cette IP est la nouvelle IP pour stunnel.

Offline

#18 2017-06-13 19:05:27

Zero
Moderator

Re: Server upgrades

v3 server upgraded (after DNS propagation).

Serveur v3 mis à jour (après propagation DNS).

Offline

#19 2017-06-26 17:17:31

Anonymous
Anonymous

Re: Server upgrades

Un retour prochain de l'IP française est prévu?

#20 2017-06-27 13:47:02

Zero
Moderator

Re: Server upgrades

Anonymous wrote:

Un retour prochain de l'IP française est prévu?

Ce sujet ne concerne que la mise à jour des serveurs.
Pour les questions d'accès à certains sites, voir là par exemple: https://arethusa.co/forum/viewtopic.php?pid=5985#p5985

Offline

#21 2017-08-22 14:03:33

Zero
Moderator

Re: Server upgrades

All planned upgrades have been performed (after DNS propagation).

Toutes les mises à jour prévues ont été réalisées (après propagation DNS).

Offline

#22 2017-11-04 10:31:57

Adelscott
Anonymous

Re: Server upgrades

Si on migre en V3 qu'est ce que cela implique au niveau configuration ? J'ai mon OpenVPN Client qui tourne sur un DD-WRT, cela fonctionnera avec la version actuelle ? Il y aura seulement la config à changer ?

#23 2017-11-04 11:20:20

Zero
Moderator

Re: Server upgrades

Adelscott wrote:

Si on migre en V3 qu'est ce que cela implique au niveau configuration ? J'ai mon OpenVPN Client qui tourne sur un DD-WRT, cela fonctionnera avec la version actuelle ? Il y aura seulement la config à changer ?

Sur un OS moderne, c'est juste un fichier de configuration à changer.

Il faut que la version d'openvpn soit au minimum 2.3.4, et que le système supporte IPv6.

Vu que le projet DD-WRT est à l'abandon il faudra peut-être passer sur un autre firmware.

Offline

#24 2017-11-04 17:11:36

Adelscott
Anonymous

Re: Server upgrades

Cela devrait être bon non ?

root@DD-WRT:~# openvpn --version
OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08

#25 2017-11-04 19:55:55

Zero
Moderator

Re: Server upgrades

Adelscott wrote:

Cela devrait être bon non ?

root@DD-WRT:~# openvpn --version
OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08

Au niveau d'openvpn oui c'est bon.
Il faut aussi qu'IPv6 soit supporté par le kernel, même si l'IPv6 n'est pas désiré. Sinon la connexion à un serveur v3 fera une erreur fatale.

Au niveau du fichier de configuration, si ça passe avec une config v2 récente (avec certificat intégré), ça doit passer en v3.

Offline

Board footer

Powered by FluxBB