Fibre Orange et routeur OpenBSD

24 juillet 2017 par mattieu

Depuis maintenant deux semaines, brimbelle.org a migré sur un accès fibre Orange, en remplacement de mon ancien accès ADSL Free. Suite à une innondation, les débits sur ma ligne étaient devenus catastrophiques (autour de 300kb/s d’upload).
Comme l’objectif est de s’amuser un peu et d’héberger ma petite infrastructure sur du matériel et logiciel maîtrisé, je me suis totalement débarrassé de la Livebox, remplacée par mon routeur OpenBSD (à base de PC Engines APU 1C4), branché directement derrière l’ONT.

Je ne vais pas réécrire les nombreux guides déjà présents sur Internet, l’objectif est de donner quelques astuces pour profiter de toutes les fonctionnalités.

Lire la suite du billet »

Checklist HTTPS

16 juin 2015 par mattieu

a_plusDepuis les révélations de Snowden, Heartbleed en 2014 et l’actualité en général… la cryptographie et en particulier les protocoles SSL/TLS connaissent à juste raison une généralisation quelque soit le site web, service, application, etc.

Dans cet article, je vais présenter une check-list des bonnes pratiques lorsque l’on administre un serveur web sécurisé.

Je ne détaillerai pas toutes les différentes techniques mises en oeuvre : d’innombrables sites ou blogs le font très bien. Je vais en revanche lister les point importants pour rendre le protocole TLS particulièrement robuste. Ceci avec des exemples de configuration pour le serveur HTTP NGINX.

Lire la suite du billet »

ioquake3 sous OpenBSD… suite 2013

30 octobre 2013 par mattieu

ioquake3.jpgCe soir, suite à un plantage en cours de « pkg_add -u », je dois ré-installer l’ensemble de mes packages. J’aurais sans doute pu l’éviter, mais « pkg_check » paraît interminable. J’en profite alors pour faire un tris des différents ports que j’ai sur ma machine, et je tombe sur mon vieux port d’ioquake3 1.35.

Comme je m’y attendais, celui-ci ne compile plus, l’infrastructure des ports d’OpenBSD a comme toujours beaucoup évolué. Après quelques tentatives rapides, je me dis qu’il serait préférable de repartir from scratch, avec les dernières sources d’ioquake3. Et là, merveilleux… en une poignée de commandes j’ai ioquake3 qui démarre sur mon OpenBSD -current.

Lire la suite du billet »

Test du Google Nexus 4

5 décembre 2012 par mattieu

nexus4.pngJe fais partie des rares heureux à avoir eu la chance de pouvoir commander un Google Nexus 4 dans le petit laps de temps pendant lequel les ventes ont été ouvertes en France.

Ce que je vous propose n’est pas un test complet de l’appareil (il en existe des dizaines sur le net), mais mon ressenti après presque 3 semaines d’utilisation.

Lire la suite du billet »

OpenBSD PF : ‘match’ et priorité des ACK

18 mai 2012 par mattieu

ppuf100X91.gifDu fait du fonctionnement du protocole TCP, il arrive très souvent que lorsque l’on télécharge et reçoit simultanément plusieurs fichiers, la vitesse soit fortement réduite, bien en deçà des capacités de notre connexion internet. Ce comportement est très amplifié par les connexions ADSL, par nature asymétriques.

Je propose dans cet article une manière efficace et rapide de corriger cela sur une passerelle OpenBSD à l’aide de quelques règles PF en utilisant une première approche avec le moteur de priorisation ALTQ et la nouvelle souplesse des règles match depuis la version 4.6, puis en utilisant le nouveau moteur de priorisation intégré disponible à partir de la version 5.1.

Lire la suite du billet »

Passerelle VPN L2TP/IPsec pour smartphone avec OpenBSD

15 février 2012 par mattieu

logo.pngDans cet article, je vais présenter la marche à suivre pour configurer une passerelle VPN utilisant les protocoles L2TP/IPsec sur un système OpenBSD (en version 5.1). Cette passerelle vous permettra de vous y connecter à l’aide de votre smartphone Android (testé avec Android 4.0 ICS) ou iPhone, puisque ces terminaux supportent maintenant nativement ces types de VPN.

Le protocole L2TP (Layer 2 Tunneling Protocol) est un protocole de tunneling à la popularité grandissante, car supporté nativement par de nombreux OS : Windows, MacOS X, Linux, etc. mais également par les plate-formes mobiles populaires que sont Android et iOS. De plus, L2TP permet aisément de réaliser des VPN au dessus d’infrastructures existantes puisqu’il est transporté dans des paquets IP/UDP sur le port 1701. Dans la suite du document, nous allons utiliser le nouveau daemon npppd(8), inclus dans le système de base d’OpenBSD.

Afin de rendre le VPN plus sûr, la méthode est de chiffrer le trafic L2TP dans un tunnel IPsec. Ici rien de bien nouveau, nous nous reposerons sur l’extrême simplicité de configuration offerte par OpenBSD.

Lire la suite du billet »

Offrez-vous une connectivité IPv6 Internet, LAN et DMZ pour 0 euro

12 mars 2010 par mattieu

En ces temps où toutes économies sont bonnes à prendre, je me suis attelé à mettre en place chez moi un « vrai » accès IPv6. Par vrai, je n’entends pas un accès natif (ce serait trop beau, aucun opérateur grand public français ne le propose à l’heure actuelle hormis Nerim dont l’offre est tout de même plus orientée vers les TPE), mais un accès offrant un espace d’adressage correct, ie. un /48.

Même Free qui propose de l’IPv6 à ses clients ne propose qu’un semblant d’accès natif, avec du 6rd mais il se limite à donner un /64.

Dans ce billet, je vais donc m’attacher à présenter les grandes lignes pour mettre en place à la maison (et même ailleurs) un accès IPv6 avec différents sous-réseaux, en utilisant un tunnel broker. Pour y arriver je présenterai des exemples de configuration pour une passerelle OpenBSD, ainsi que des astuces.

Lire la suite du billet »

Statistiques OpenVPN automatiques

23 août 2009 par mattieu

Je suis un grand fan d’OpenVPN pour avoir un accès complet à internet lorsque celà n’est pas possible avec la connexion que j’utilise. Quand je me déplace avec mon portable j’ai souvent à passer par des proxys en tout genre, avec ou sans authentification (voir pire… avec authentification NTLM…) et c’est là qu’OpenVPN est vraiment indispensable.

Ma configuration marche tellement bien que plusieurs personnes de mon entourage m’ont demandé des accès. Mais j’ai rapidement eu envie de surveiller la consommation relative à OpenVPN ainsi que les utilisateurs connectés à un instant T.

Lire la suite du billet »

Izia ou le meilleur album rock du moment

15 juin 2009 par mattieu

cover_izia_123x123_500x500.jpgCet article est le premier de la rubrique Zic qui viendra selon mes découvertes alimenter ce blog. Pour le premier, il fallait quelque chose de gros, d’énorme. J’ai choisi Izia. Qui est Izia ? C’est une chanteuse française âgée de seulement 18 ans qui a sorti son premier album la semaine dernière, le 8 juin 2009.

Fille de Jacques Higelin et soeur d’Arthur H, l’artiste parcourt les scènes françaises depuis environ 2 ans, avec des dates impressionnantes comme une première partie d’Iggy Pop & The Stooges. Elle est à l’affiche des plus gros festivals cet été : Vieilles Charrues, Printemps de Bourges, Solidays, etc. Le cadre est posé.

Lire la suite du billet »

OpenBSD & PF : ouverture de ports NFS automatique

17 mai 2009 par mattieu

D’habitude, sur le serveur NFS qui me permet de booter en réseau mes différentes stations, je n’activais pas PF : tout le trafic pouvait atteindre la machine en entrée.

Ayant activé l’IPv6 sur toutes mes machines et étant donné que la Freebox route tout le trafic IPv6 sur l’interne, je suis dans l’obligation de restreindre les accès en utilisant PF (en IPv4 je n’avais pas ce souci puisqu’elles étaient derrière du NAT).

Le problème avec NFS c’est que certains ports sont alloués de manière statique : nfsd sur le 2049 et le portmapper sur le 111, mais certains autres sont alloués dynamiquement : j’utilise bootparam et mountd pour ma part.

Il me fallait donc une solution pour détecter au démarrage de la machine les ports utilisés par ces services.

Lire la suite du billet »