Mouarf, OK, oubliez les 5 minutes mais en 1 heure je vous propose de monter une passerelle VPN vers les ressources de votre LAN, sans installer de client sur les postes, fort hein ?
Un dessin valant toujours mieux qu’un long discours :
En fait, je ne suis pas naturellement friand de ce genre de gadget, et je préfère passer du temps a monter mes VPNs et mes ACLs blindés dans tout les sens, mais cet article fait suite à une discussion au détour d’un couloir avec mon ami Horacio, un bloggeur KIFOVOIR, une personne attachante et très sympathique et qui le plus peut le moins, mon JAVA Man à moi (avec Fred bien sûr (non non Fred, je ne t’oublie pas 😀 ).
Bref, revenons à nos moutons : permettre à nos « amis », « client », « fournrisseurs » (etc, etc, cochez la mention inutile), d’accéder à des ressources de notre LAN sans pour autant leur faire passer la sempiternelle installation du client VPN Cisco, d’OpenVPN ou de Racoon (etc, etc…)
Impossible direz-vous ? Et bien si…
Horacio me sort donc il y a quelques jours « bah…. avec ssl-explorer. » (dixit et sans l’accent 😉 )
Scrongneugneu, « fichtre diantre » (en langage Fred), « tin bordel » (en langage Guiguiabloc), je look… et surprise, ce produit est bluffant.
Je cite :
« SSL-Explorer: Community Edition was an open source SSL VPN product developed by 3SP Ltd. The solution is licensed under the GNU General Public License (GPL) and is aimed primarily at smaller businesses to fulfill a requirement for remote access to internal network resources.
It is designed to be installed upon a standalone server and allows a user to connect remotely to internal corporate resources such as intranet websites, network file shares, ‘fat client’ applications and other data via a regular web browser. From the perspective of the end user the main advantage is that they have access to the applications that they would use everyday at work through a simple web browser without needing to install dedicated VPN client software. »
Google tranlate pour les anglophobes (/query pour Elwina :-p)
Pour résumé, un « portail » en java permettant d’accéder en VPN aux applis/ressources/services/web de notre LAN depuis l’extérieur sur un simple port 443 (https) ouvert depuis votre point de connexion.
Ca tue.
Donc ni une, ni deux, install :
go on : http://sourceforge.net/projects/sslexplorer
Pour les pré-requis, ANT (apt-get install ant sur Debian, yum install ant sur les redhat like ou ce que vous voulez install ant sur votre distrib easy ou compilation depuis les sources).
Un JDK focntionnel. (pas un JRE hein 😉 )
NB: lors de mes premiers tests, je suis parti sur un JDK 1.6 mais ca plante grave a la compil, donc je vous recommande chaudement de télécharger le JDK 1.5 chez Sun. (vous trouvez votre bonheur LA )
Une fois télécharger, un chmod +x sur le fichier téléchargé, on installe.
Un lien symbolique pour pas s’embêter : ln -s jdk1.5.0_12 java
On se modifie bien comme il faut notre .bashrc (.profile, ou tout autre fichier de conf de votre shell favori (Oui Poupinade, KSH, je sais 😉 … )
PATH= »/opt/java/bin:$PATH »
JAVA_HOME= »/opt/java »
export JAVA_HOME PATH
(enfin vous gérez suivant votre config hein 🙂 )
On détarreGZ l’appli : tar xzvf sslexplorer-1.0.0_RC17-src.tar.gz ( du grec, detarrosgézèdes)
cd sslexplorer-1.0.0_RC17
# ant install
et ça compil…
Au bout d’un temps variable suivant que vous ayez un pentium 233mhz de récup ou un Octo-pro Quad coeur de votre boulot, l’url de l’installer s’affiche (http://lamachinedinstall:28xxx).
Un coup de navigateur pour terminer l’installation et voila, ne reste plus qu’a lancer le service.
Je ne détaille pas l’interface d’admin qui découle de souce.
#ant run
PS: je vous invite a liancer un « ant service-install » pour compiler et installer les scripts de démarrage. Peit bémol, un bug existe sous Debian, il faut passer un chmod +x sur /opt/sslexplorer-1.0.0_RC17/sslexplorer/install/platforms/linux/x86/wrapper
un /etc/init.d/sslexplorer start ou un ant run lancera le programme.
J’ai juste créer pour mon test un accés web (via Web-forward) sur un site web interne a mon LAN, en l’occurence, mon wiki.
Connexion sur https://serveurssl et on s’identifie en tant qu’admin. (suivant ce que vous avez renseigné à l’installation).
J’ai créer tout de suite un utilisateur lambda.
Puis on clique sur « Web-forward » :
On se déconnecte et on se reloggue sous l’utilisateur Lambda :
Le lien apparait, on clic dessus et un ssl-explorer-agent (en java) s’installe sur votre pc (le client doit avec un Jre quand même 😉 ).
Et une nouvelle fenêtre s’ouvre :
Magique 😀 😀
Vous pouvez « publier » ainsi des partages Windows, des accès FTP, des tunneling SSL sur tout les ports que vous souhaitez, bref, je vous laisse jeter un oeil à ce produit qui a d’immenses possibilités.
EDIT : 3SP, la société qui a développer SSL-Explorer offrait gracieusement 1 licence pour 2 user simultanées pour son edition Entreprise. Malheureusement, depuis plusieurs semaines, le lien direct depuis l’interface d’admin de SSL-Explorer ou l’accès direct à http://3sp.com/en/free-sslx-license/ nous amène irrémédiablement à une page « Not Working »…
C’est bien dommage et surtout un manque de tac incompréhensible. Que le produit existe en OpenSource dans sa version Community, c’est très bien et remarquable, mais dire qu’on offre 1 licence pour 2 utilisateurs (ce qui convient à la majorité des geeks que nous sommes) et ne pas tenir ses engagements, je trouve cela plus que moyen…
Coup de gueule donc, ce soir, sur l’attitude un peu sournoise de 3SP qui, au moins, pourrait communiquer sur ce sujet…
Merci Guillaume !!!
Ca fait vraiment plaisir 🙂
Purée… je googlais au hasard pour un truc qui n’avait rien à voir… et là je tombe sur ton blog… lol merci l’article que je viens de lire est très fortement intéressant !!!
Je bookmark et je repasse !
Merci à toi
Un vrai bon blog de geek :p
Fork de ssl explorer !
http://adito.wiki.sourceforge.net/what_is_adito
Merci Ujoux 🙂