Salut,
 
j'ai a monter un VPN entre un serveur tournant sous Debian Etch et un Cisco Pix (je ne connais pas le modèle, il est situé aux US). J'ai cherché de la doc sur le net, mais toutes les solutions que j'ai trouvé proposaient des VPN d'OpenVPN à OpenVPN, et pas de OpenVPN vers "autre".
 
Je ne souhaites pas utiliser d'échanger de certificat SSL, mais uniquement une preshared-key. Si vous avez une bonne doc à me proposer, ou des conseils à m'apporter, je suis preneur ! J'ai également jeter un oeil du coté de racoon, est ce que ce soft peut me permettre de faire ce que je veux, sans passer par OpenVPN ?
 
Petite précision, le serveur qui fera office de concentrateur VPN est une des machines du LAN, cela ne devrait pas poser de problème... je me trompe ?
 
Merci d'avance pour vos conseils !

Ca fait de l'IPSec OpenVPN ?
 
Regarde plutôt du côté des IPSec-Tools : http://sourceforge.net/projects/ipsec-tools/

merci pour ta réponse et en effet, je me suis penché du coté de ipsec-tools et racoon... cependant entre temps, la boite qui nous reclame le vpn a décidé de mettre en place des cisco dédié à ca vu qu'ils ont de la tune a claquer au lieu d'utiliser des logiciels libre  

ils achètent surtout un contrat de support.

 
Le bonne blague
M'enfin si ça peut les rassurer de claquer du fric bêtement pourquoi pas...

tu fais de la GTR 4 heures avec de l'openvpn quand ça tombe en panne ? quand y a un bug t'appelle qui ? une mailing list ? super support

si y'a un admin d'astreinte derriere ca prend 10mns (si tout va bien) ;-)

c'est ce que je dis, y a pas de support. Parce qu'entre nu truc fait maison et ça : http://www.vantronix.com/ (basé sur openbsd) je pense que la comparaison est dure à tenir.

Je comprends que ça rassure ceux qui ne connaissent rien mais lorsque ton équipe met en place un OpenVPN, elle est capable de dépanner (ou alors tu as un vrai problème de gestion de ton entreprise...)

Quand il y a un bug tu te retournes vers qui ?
pour la maintenance tu te retournes vers qui ?
pour la formation tu te retournes vers qui ?
 
la solution "fait maison" est tout juste bon pour la PME.

 
Tes fournisseurs ne t'ont jamais fait un coup de Trafalgar ?
Pour avoir eu des embrouilles avec certains (dont Cisco), je préfère m'assurer que je maitrise au minimum ce qui intervient dans mon SI
Mais c'est surement moi qui m'y prend comme un manche avec ces gens là... (ceux qui vendent un "contrat de support adapté" )

bah j'ai travaillé chez un partenaire gold cisco, quand j'ai des problèmes chez un client :
 
- bug ou problème de conf : j'ouvre un case, dans l'heure un mec du TAC prend contact avec moi.
- carte de supervision en panne, le client ouvre l'appel, la carte de spare était sur site dans les deux heures, livrée par DHL.
 
Je ne nie pas le fait qu'il puisse y avoir des problèmes, mais perso je n'ai  jamais eu en direct de gros souci

 
Oui, alors la, c'est de la belle theorie .. parce qu'en pratique, on en est loin, excuse moi ...
J'ai deja eu pas mal de bug avec cisco ou la resolution du probleme etait loin de ce que tu dis ...
Sans compter les procédure de debug halluciante (quoi? vous avez un bug avec une carte de votre chassis de backbone? rebootez-le, et rappelez nous ... super pratique)

quand t'ouvre un case en niveau 1 les mecs du tac se connectent sur tes bécanes, alors c'est sur faut un CCIE d'astreinte devant les machines, dans mon ancienne société c'est arrivé 2 fois mais dans l'heure le tac était en console sur les machines.
 
J'ai déjà ouvert des cases pour des trucs complexes (FWSM, VPN-SPA...) et j'ai jamais eu de problème notoire (à part une réponse évasive sur les virtual links une fois) même s'il est vrai que je n'ai jamais eu le cas du bug qui impacte fortement une prod.
 
j'ai eu infiniment plus d'emmerdes avec le TAC Citrix que le TAC Cisco

 
j'adore ca me rappel un probleme avec du Foundry où notre intégrateur S*** *** nous avait proposer de la merde et faisait ensuite du relais de mails alors qu'on avait une presta de support chez eux  
 
enfin bref dans l'absolu faut savoir nouer de bons contacts chez ses fournisseurs l'idéal étant directement chez le constructeur et ça ça vaut tous les supports du monde parce que des fois memes les TAC spa ça par exemple pour l'anecdote précédente c'est sympa quand on arrive a avoir la réalisation d'un nouvelle OS en -24h en pasant par les bonnes personnes