Différences entre les versions de « Connexion distante »
(→Le VPN) |
|||
(368 versions intermédiaires par 2 utilisateurs non affichées) | |||
Ligne 6 : | Ligne 6 : | ||
| famille = Réseau | | famille = Réseau | ||
| date-create = 13/12/2017 | | date-create = 13/12/2017 | ||
| date-update = | | date-update = 04/10/2023 | ||
| auteur=fgtoul | |||
}} | }} | ||
Se connecter à distance sur son réseau n'est pas chose facile. | Se connecter à distance sur son réseau n'est pas chose facile. | ||
Cependant, en fonction du fournisseur internet et également de la configuration du réseau local, plusieurs possibilités sont offertes. | |||
Bien sûr, il est possible d'avoir un PC allumé H24, sur lequel un logiciel de prise de main à distance sera installé, | Bien sûr, pour faire simple, il est possible d'avoir un PC allumé H24, sur lequel un logiciel de prise de main à distance sera installé, | ||
Mais nous verrons ici les méthodes | Mais nous verrons ici les méthodes | ||
* par redirection de port | ::* par redirection de port | ||
* | ::* par VPN | ||
sur des réseaux domestiques. Les réseaux complexes d'entreprise ne seront pas abordés. | sur des réseaux domestiques. Les réseaux complexes d'entreprise ne seront pas abordés. | ||
Ce tutoriel ne sera certes pas exhaustif, mais il devrait vous servir à trouver une solution. | |||
A partir de là, vous pourrez vous rendre sur un site support plus adapté à votre matériel, ou bien rechercher sur internet un tutoriel spécifique à votre cas. | |||
<span style="color:red;">'''La connexion par VPN est vivement conseillée, étant plus sécurisée.<br></span> | |||
=='''Pré-requis'''== | =='''Pré-requis'''== | ||
Avant de pouvoir se connecter à distance, il est nécessaire de répondre à quelques questions essentielles. | |||
===Ma connexion ADSL dispose d'une adresse IP fixe ou dynamique ?=== | |||
L'adresse publique est communiquée par le '''F'''ournisseur d''''A'''ccès '''I'''nternet (FAI). Selon les abonnements, celle-ci peut être soit fixe, soit dynamique. | L'adresse publique est communiquée par le '''F'''ournisseur d''''A'''ccès '''I'''nternet (FAI). Selon les abonnements, celle-ci peut être soit fixe, soit dynamique. | ||
Bénéficier d'une IP fixe simplifie grandement la connexion à distance car elle est fournie par le FAI pour toute la durée de l'abonnement. | Bénéficier d'une IP fixe simplifie grandement la connexion à distance car elle est fournie par le FAI pour toute la durée de l'abonnement. Vue de l'extérieur, l'adresse du réseau ne change donc jamais. | ||
Par contre, l'IP dynamique complique un peu la tâche : la durée d'un bail DHCP chez nos FAI est souvent de 24h, cela signifie que notre adresse publique est susceptible de changer toutes les 24h. | Par contre, l'IP dynamique complique un peu la tâche : la durée d'un bail DHCP chez nos FAI est souvent de 24h, cela signifie que notre adresse publique est susceptible de changer toutes les 24h. | ||
Il est donc impossible, depuis l'extérieur, de se connecter chez soi, sans aller auparavant relever l'adresse publique actuelle de notre box. | Il est donc impossible, depuis l'extérieur, de se connecter chez soi, sans aller auparavant relever l'adresse publique actuelle de notre box. | ||
Relevez votre adresse IP publique sur la console d'administration de votre compte FAI ou sur votre Box. | |||
Si vous ne trouvez pas votre adresse IP : | |||
Connectez un PC au même réseau que votre box et rendez vous sur un site comme [http://www.mon-ip.com/ www.mon-ip.com] qui vous l'affichera. | |||
===Mon IPX800 dispose-t'elle d'une adresse IP fixe ?=== | |||
Connectez vous à l'IPX et ouvrez le menu de cnfiguration du réseau | |||
IPX800 V4 : Menu Administrateur / Réseau / Paramètres | |||
IPX800 V3 : Lan Settings | |||
Il est préférable de désactiver le mode DHCP et d'attribuer une adresse fixe à l'IPX800. | |||
Si vous voulez utiliser l'adresse IP locale qui a déjà été attribuée par le serveur DHCP, | |||
pensez à paramétrer votre box pour qu'elle ne réattribue pas la même. | |||
===Quelle URL pour accéder à mon IPX800 ?=== | |||
Vous pourrez accéder à votre IPX800 avec une URL du type '''<nowiki>http://mon_adresse_ip_publique</nowiki>''' uniquement si votre adresse publique est fixe. | |||
> Si votre adresse IP publique est fixe, vous n'êtes pas obligé de paramétrer un service DynDNS, sauf si vous trouvez qu'entrer un nom de domaine dans votre navigateur est plus simple pour vous. | |||
> Si votre adresse de connexion est dynamique, la solution consiste à créer un compte chez un fournisseur de nom de domaine (payant) ou de sous-domaine (gratuit). | |||
Lorsque vous créez un compte chez l'un de ces fournisseurs, votre adresse IP publique est automatiquement détectée. | |||
Mais retourner sur cette page et mettre l'IP à jour à chaque changement, ce n'est pas cool, et encore faut-il constater que l'adresse a changé. | |||
Heureusement les box et quelques autres dispositifs (dont l'IPX800) sont capables de mettre l'adresse à jour régulièrement sur votre compte DynDNS, NO-IP ou autre. | |||
Voici quelques fournisseurs de noms de domaines dynamiques | Voici quelques fournisseurs de noms de domaines dynamiques | ||
[https://www.noip.com/ NO-IP] | |||
[https://dyn.com/dns/ DynDns] | |||
[https://www.dtdns.com/ DtDNS] | |||
[https://www.changeip.com/ ChangeIP] | |||
[https://www.dynu.com/fr-FR/ GNUDIP] | |||
[https://www.dnsomatic.com DNS-O-MATIC] | |||
[https://www.ovh.com/fr/ OVH] | |||
Outre les services payants (complets et illimités en général) , la plupart de ces fournisseurs proposent aussi des services gratuits . Le nombre de Hostnames et les fonctionnalités sont parfois limités, chez certains, il faudra même confirmer le nom du sous-domaine tous les mois. Chez d'autres, si vous avez une IP fixe, n'y songez pas, car au bout de 30 jours sans changement d'adresse IP, le Hostname est purement et simplement supprimé. | |||
Malgré ces légères contraintes, ces services vous permettent d'obtenir un sous-domaine. Cela signifie que l'URL résultante dépendra du fournisseur choisi. | |||
Elle sera donc sous la forme '''<code><nowiki>http://mon_sous_domaine.mon_fournisseur</nowiki></code>''' | |||
'''Définition :''' | |||
DynDNS = DDNS = Dynamic DNS = Dynamic Domain Name Service | |||
====L'IPX800 et DynDNS==== | ====L'IPX800 et DynDNS==== | ||
Si votre box ADSL est déjà paramétrée en client DynDNS, vous n'avez pas besoin (sauf cas particuliers) de configurer le DynDNS de l'IPX800. | |||
[[File:DNS.png|Paramétrage DNS]] | Sur l'IPX800 V4, Allez dans le menu ''Réseau'', puis ''DNS Dynamique'' | ||
[[File:DNS.png|700px|Paramétrage DNS]] | |||
Pour l'IPX800 V3, allez dans le menu DynDNS | |||
[[File:IPX800-V3_DynDNS.png|700px|Configuration d'un serveur DynDNS]] | |||
====La Livebox (V2 / V4 / PRO V2) et DynDNS==== | ====La Livebox (V2 / V4 / PRO V2) et DynDNS==== | ||
Toutes les Livebox supportent le DynDNS. Vous pouvez paramétrer le compte ouvert chez l'un des fournisseurs puis paramétrer votre compte dans l'onglet DynDNS. La Livebox se chargera de mettre votre adresse publique à jour régulièrement sur votre compte. | |||
[[Fichier:LiveboxPro2_DDNS.PNG| | [[Fichier:VPN_Kevin_6b.png|700px|Livebox 2]] | ||
<div class="mw-collapsible mw-collapsed" data-expandtext="{{int:show}}" data-collapsetext="{{int:hide}}" style="width:730px;"> | |||
'''Copies d'écran (V4 / Pro V2) ↑↓''' | |||
<div class="mw-collapsible-content"> | |||
[[Fichier:Livebox4_DDNS.PNG|700px|Livebox 4]] | |||
[[Fichier:LiveboxPro2_DDNS.PNG|700px|Livebox Pro V2]] | |||
</div></div> | |||
====Les noms de domaines proposés par les fabricants==== | ====Les noms de domaines proposés par les fabricants ou les FAI==== | ||
Certains fabricants de matériels (NAS, Routeurs, ...) ou FAI | Certains fabricants de matériels (NAS, Routeurs, ...) ou FAI proposent leur propre service DDNS gratuit et permettent donc d'obtenir gratuitement et sans effort un nom de domaine personnalisé qui pointe vers votre adresse IP publique. | ||
Vérifiez sur votre réseau si l'un de vos dispositifs le permet. | Vérifiez sur votre réseau si l'un de vos dispositifs le permet. | ||
===== | ===== Un sous-domaine gratuit chez Free===== | ||
Les freebox V6 et Mini 4K permettent de paramétrer un compte DNS dynamique (NO-IP / DynDNS / OVH ). | Les freebox V6 et Mini 4K permettent de paramétrer un compte DNS dynamique (NO-IP / DynDNS / OVH ). | ||
Vous pourriez paramétrer la freebox en client DynDNS si vous aviez déjà un compte et un nom de domaine. | Vous pourriez paramétrer la freebox en client DynDNS si vous aviez déjà un compte et un nom de domaine. | ||
Mais depuis la version 3.3 de | Mais depuis la version 3.3 de FreeboxOS, il est à noter que Free propose également un sous-domaine gratuit de ''freeboxos.fr''. | ||
Pas besoin de passer par les services cités au dessus. | Pas besoin de passer par les services cités au dessus. | ||
Ligne 110 : | Ligne 142 : | ||
Suivez les instructions et créez votre nom de domaine. | Suivez les instructions et créez votre nom de domaine. | ||
=====Un sous-domaine gratuit chez Synology===== | |||
Le fabricant de NAS vous propose un sous-domaine en ''Synology.me''. | |||
Ouvrez le panneau de configuration, puis ouvrez le panneau Accès Externe. | |||
Dans l'onglet DDNS, ajoutez un nom de domaine et sélectionnez le fournisseur Synology. | |||
[[Fichier:VPN_DDNS_Syno2b.PNG|700px]] | |||
====Ni ma box, ni mon synology ne proposent mon fournisseur DynDNS (?)==== | |||
Sur le synology, installez le paquet DDNS UPDATER 2 | |||
Pour cela, si ce n'est déjà fait, | |||
dans les paramètres du '''Centre de paquets''', ajoutez le repository '''CpHub''' comme source : | |||
<nowiki>http://www.cphub.net</nowiki> | |||
[[Fichier:SYNO_DDNS8UPDATER2_CPHUBb.PNG|700px]] | |||
Parcourez les paquets de la Communauté | |||
[[Fichier:SYNO_DDNS8UPDATER2b.PNG|700px]] | |||
Remarque : le paquet '''Perl''' devrait avoir été installé au préalable. | |||
Le programme d'installation de '''DDNS Updater 2''' vérifiera que tous les pré-requis sont fonctionnels et demandera l'installation du paquet si nécessaire. | |||
====Comment faire si je ne veux pas de compte DynDNS ?==== | |||
la solution serait de mettre en place un peiti script sur un PC, un Raspberry, un NAS, ou toute autre machine allumée H24. | |||
Ce script détectera le changement de votre adresse IP publique et vous la communiquera par email. | |||
Pour Linux, vous avez ce petit script Bash [https://www.it-connect.fr/contournement-du-systeme-dyndns/ ici] | |||
Pour Windows, script en PowerShell [https://www.it-connect.fr/powershell-contourner-le-systeme-dyndns/ ici] | |||
<!--https://www.adrienfuret.fr/2015/08/17/ddns-updater/--> | |||
='''La redirection de ports'''= | ='''La redirection de ports'''= | ||
A ce stade, vous devez avoir un nom de domaine ou une adresse IP fixe. | A ce stade, vous devez avoir un nom de (sous-)domaine ou une adresse IP fixe. | ||
Vous avez donc la possibilité d'accéder à votre box Adsl ou fibre depuis l'extérieur, en entrant dans votre navigateur l'une des 3 possibilités suivantes | |||
* <code><nowiki>http://mon_adresse_ip_publique</nowiki></code> (exemple : <nowiki>http://88.123.234.213.132</nowiki>) | |||
* <code><nowiki>http://mon_sous_domaine.mon_fournisseur</nowiki></code> (exemple : <nowiki>http://mon_domaine.dyndns.com</nowiki>) | |||
* <code><nowiki>http://mon_domaine_personnel</nowiki></code> (exemple http://gce-electronics.com) (je sais, il est déjà pris [[Image:Emoticon.VeryHappy.PNG|20px]]) | |||
Mais ces 3 adresses ne permettent pas de communiquer avec le matériel qui se trouve sur le réseau local de la box. Si vous entrez l'une de ces 3 adresses dans votre navigateur, il ne devrait rien se passer, la box ignore les requêtes. | |||
Si tous nos périphériques réseaux avaient une adresse IP publique, le problème serait résolu. Mais ce n'est pas le cas. | |||
La pénurie d'adresses IP s'est vite fait sentir après la création d'internet. Afin de résoudre ce problème, il a été décidé de spécialiser certaines plages d'adresses IP (10.0.0.0/8 ; 172.16.0.0/12 ; 192.168.0.0/16) pour une utilisation privée, celles-ci peuvent donc être utilisées dans chaque foyer. Mais ces adresses locales n'accèdent pas à internet, d'où la mise en place de la NAT et du port forwarding (PAT). | |||
Pour communiquer depuis l'extérieur avec une machine qui se trouve sur votre réseau local, il va donc falloir lui attribuer un numéro de port externe unique. | |||
Ainsi, lorsque votre box (routeur) recevra des paquets sur ce port, elle les redirigera vers ladite machine. | |||
'''Prenons votre IPX800 en exemple''' | |||
Son interface Web est joignable par défaut sur le port 80. | Son interface Web est joignable par défaut sur le port 80. | ||
Il est donc localement possible de contacter ce matériel sur son adresse IP locale <code><nowiki>http://Adresse_Locale_IPX800:80</nowiki></code> | Il est donc localement possible de contacter ce matériel sur son adresse IP locale <code><nowiki>http://Adresse_Locale_IPX800:80</nowiki></code> | ||
==> Sur | ==> Sur votre Box, créez une règle NAT pour rediriger le port 8080 externe (par exemple) vers le port 80 de l'adresse IP locale de votre IPX800 | ||
Votre IPX800 est désormais joignable par l'une des adresses suivantes | |||
* <code><nowiki>http://mon_adresse_ip_publique:8080</nowiki></code> | |||
* <code><nowiki>http://mon_sous_domaine.mon_fournisseur:8080</nowiki></code> | |||
* <code><nowiki>http://mon_domaine_personnel:8080</nowiki></code> | |||
==Créer une redirection de port sur une freebox V6 / Mini 4K / POP== | |||
Connectez vous sur l'[http://mafreebox.freebox.fr interface d'administration de votre freebox] | |||
===Adresse IP fixe V4 full-stack=== | |||
Avant de commencer, vérifiez que l'option IP fixe V4 full-stack est bien activée sur votre compte client, pour cela, connectez-vous à [https://subscribe.free.fr/login/ votre compte] | |||
[[Fichier:Freebox_IPV4_full-stack.png|700px]] | |||
== | ===Baux Statiques=== | ||
Si vous avez paramétré votre IPX800 comme client DHCP, il est toujours possible de paramétrer la Freebox pour qu'elle distribue toujours la même adresse à l'IPX. Cela serait donc comme si vous aviez paramétré l'IPX en adresse statique comme vu plus haut. La différence est que cette méthode simplifie le paramétrage réseau de l'IPX800 (Avantage), mais elle consomme une adresse dans la plage déservie par le DHCP (inconvénient) | |||
Sur la Freebox, transformons un Bail DHCP dynamique, en Bail statique. | |||
Allez dans les '''Paramètres''' de la freebox et activez le '''mode Avancé''' | |||
Lancez l'option '''DHCP''', | |||
[[Fichier:Freebox_DHCP.PNG]] | |||
puis ouvrez l'onglet '''Baux actifs''' | |||
Recherchez votre matériel et faites un clic dessus avec le bouton droit de la souris | |||
[[Fichier:Freebox_BailStatique.png|700px]] | |||
Entrez dans le menu Paramètres et | ===Redirections=== | ||
Entrez dans le menu Paramètres et activez le mode Avancé. | |||
Cliquez sur l'icône permettant la gestion des ports. | Cliquez sur l'icône permettant la gestion des ports. | ||
[[Fichier:VPN_freeboxV6_ports.png| | [[Fichier:VPN_freeboxV6_ports.png|700px]] | ||
Ajoutez une nouvelle règle | Ajoutez une nouvelle règle | ||
[[Fichier:VPN_NAT_freeboxV6_2.png| | [[Fichier:VPN_NAT_freeboxV6_2.png|700px]] | ||
[[Fichier:VPN_NAT_fbx.png|800px]] | [[Fichier:VPN_NAT_fbx.png|800px]] | ||
==Créer une | ==Créer une redirection de port sur une Livebox (V2 / V4 / PRO V2)== | ||
Pour faire une redirection de port vers un matériel, il convient de | |||
===Adresse fixe=== | |||
Pour faire une redirection de port vers un matériel, il convient de déclarer son adresse statique. | |||
Pour ce faire, paramétrez le matériel en tant que client DHCP ou bien définissez lui une adresse statique, puis connectez le sur le réseau. | Pour ce faire, paramétrez le matériel en tant que client DHCP ou bien définissez lui une adresse statique, puis connectez le sur le réseau. | ||
ensuite, rendez vous sur l'interface de configuration de la livebox, et ouvrez le panneau "Paramètres avancés" ou "Configuration avancée" en fonction du modèle. | ensuite, rendez vous sur l'interface de configuration de la livebox, et ouvrez le panneau "'''Paramètres avancés'''" ou "'''Configuration avancée'''" en fonction du modèle. | ||
Ouvrez l'onglet '''DHCP''', choisissez le matériel et déclarez son IP statique. | |||
[[Fichier:Livebox2_DHCP2.PNG|700px|Livebox 2]] | |||
<div class="mw-collapsible mw-collapsed" data-expandtext="{{int:show}}" data-collapsetext="{{int:hide}}" style="width:730px;"> | |||
[[Fichier:LiveboxPro2_DHCP3.PNG| | '''Copies d'écran (V4 / Pro V2) ↑↓''' | ||
<div class="mw-collapsible-content"> | |||
[[Fichier:Livebox4_DHCP.PNG|700px|Livebox 4]] | |||
[[Fichier:LiveboxPro2_DHCP3.PNG|700px|Livebox PRO V2]] | |||
</div></div> | |||
===Redirection=== | |||
Ensuite, dans la configuration NAT/PAT, créez vos redirections de ports. | Ensuite, dans la configuration NAT/PAT, créez vos redirections de ports. | ||
[[Fichier:Livebox2_NAT2.PNG|700px|Livebox 2]] | |||
[[Fichier:LiveboxPro2_NAT2.PNG| | |||
<div class="mw-collapsible mw-collapsed" data-expandtext="{{int:show}}" data-collapsetext="{{int:hide}}" style="width:730px;"> | |||
'''Copies d'écran (V4 / Pro V2) ↑↓''' | |||
<div class="mw-collapsible-content"> | |||
[[Fichier:Livebox4_NAT.PNG|700px|Livebox 4]] | |||
[[Fichier:LiveboxPro2_NAT2.PNG|700px|Livebox PRO V2]] | |||
</div></div> | |||
==Autres box Adsl== | ==Autres box Adsl== | ||
Ligne 179 : | Ligne 298 : | ||
Utilisation très simple. Il suffit de connaître l'adresse IP publique du moment et de se connecter en précisant le port TCP lié au matériel. | Utilisation très simple. Il suffit de connaître l'adresse IP publique du moment et de se connecter en précisant le port TCP lié au matériel. | ||
== | ==Dangers de la redirection de port== | ||
Il est nécessaire d'ouvrir autant de ports que de matériels à contacter. Il est nécessaire de mettre une politique musclée de mots de passe, paramétrer les FireWalls. | Il est nécessaire d'ouvrir autant de ports que de matériels à contacter. Il est nécessaire de mettre une politique musclée de mots de passe, paramétrer les FireWalls. | ||
Sur internet, il existe une pléthore d'outils qui scannent les ports ouverts et qui détectent le type de matériel qui se cache derrière. Connaissant les mots de passe par défaut mis en place par le fabricant dudit matériel, le hacker ne manquera pas de tenter de s'y connecter. | Sur internet, il existe une pléthore d'outils qui scannent les ports ouverts et qui détectent le type de matériel qui se cache derrière. Connaissant les mots de passe par défaut mis en place par le fabricant dudit matériel, le hacker ne manquera pas de tenter de s'y connecter. | ||
Il est donc fortement conseillé de changer tous les mots de passe par défaut sur les matériels | Il est donc fortement conseillé de changer tous les mots de passe par défaut, '''régulièrement''', sur les matériels accessibles depuis internet (IPX800, EcoDevices, NAS, Caméras, Box, ...) | ||
==Web Redirect pour une URL encore plus simple== | |||
Généralement les fournisseurs DynDNS offrent la possibilité de créer plusieurs HostNames sur un compte, avec une option bien utile qui permet de rediriger un flux http ou une adresse IPv4 vers un port TCP et/ou UDP. Si vous utilisez cette option, vous aurez la possibilité de créer des HostNames pour chaque appareil de votre réseau local. | |||
'''Prenons un exemple chez NO-IP''' | |||
Créons d'abord un nom de domaine sur l'adresse IP publique de notre Box. La box (ou un autre dispositif du réseau local) devra être paramétrée pour mettre l'IP Publique à jour régulièrement (voir plus haut) | |||
Cochez le type '''DNS HOST (A)''' | |||
[[Fichier:VPN_No-IP1b.PNG|700px]] | |||
Maintenant, créons une Redirection Web avec le port de notre IPX800 | |||
Cochez le type '''Web Redirect''' | |||
[[Fichier:VPN_No-IP2b.PNG|700px]] | |||
Notre IPX800 sera alors joignable par l'URL '''<nowiki>ipx800defgtoul.ddns.net</nowiki>''' qui la redirigera automatiquement vers le port 8080 de notre adresse publique. La box à son tour redirigera le flux vers le port 80 de l'adresse locale de l'IPX800 | |||
[[Fichier:VPN_No-IP0.PNG|700px]] | |||
Créer un nom d'hôte pointant vers chaque dispositif du réseau local présente un intérêt : celui de ne pas avoir à se rappeler les numéros de ports pour se connecter aux matériels. | |||
Vous devrez malgrè tout créer une règle NAT sur votre Box pour chaque dispositif, redirigeant le port que vous avez paramétré pour le hostname de votre DDNS. | |||
Avouez qu'il est plus facile de se connecter avec des URL type | |||
* <nowiki>http://monIPX800.monDomaine.com</nowiki> | |||
* <nowiki>http://MaDomoBox.monDomaine.com</nowiki> | |||
* <nowiki>http://MonServeur.monDomaine.com</nowiki> | |||
au lieu d'avoir à préciser les ports pour chaque dispositifs | |||
* <nowiki>http://MaBox.monDomaine.com:8080</nowiki> | |||
* <nowiki>http://MaBox.monDomaine.com:8081</nowiki> | |||
* <nowiki>http://MaBox.monDomaine.com:8082</nowiki> | |||
<div style="font-size:xx-small;">(les numéros de ports ont été choisis aléatoirement pour l'exemple)</div> | |||
Cependant, si pour une raison ou une autre vous devez revoir une ou plusieurs règles NAT ou PAT sur votre box, il faudra penser à aller modifier chaque URL sur votre compte DDNS | |||
='''Le VPN'''= | ='''Le VPN'''= | ||
<!-- | |||
'''LIEN UTILE : | |||
https://www.expressvpn.com/what-is-vpn | |||
FAIRE UN SERVEUR SUR PC : http://www.sospc20.com/formation_reseau/vpn.php''' | |||
--> | |||
Le VPN (Virtual Private Network ou Réseau Privé Virtuel) permet de relier un ou plusieurs dispositifs distants à travers une connexion internet. On parle de tunnel virtuel dans lequel les données sont cryptées. | Le VPN (Virtual Private Network ou Réseau Privé Virtuel) permet de relier un ou plusieurs dispositifs distants à travers une connexion internet. On parle de tunnel virtuel dans lequel les données sont cryptées. | ||
Pour que la connexion s’établisse, il y a échange de clés entre le serveur et le client. Ils vont échanger des clés (publique puis privée). La clé privée servira à décrypter les données. | Pour que la connexion s’établisse, il y a échange de clés entre le serveur et le client. Ils vont échanger des clés (publique puis privée). La clé privée servira à décrypter les données. | ||
Ligne 194 : | Ligne 363 : | ||
Il existe beaucoup de sites sur internet qui parlent du VPN, nous n'entrerons pas dans les détails ici. | Il existe beaucoup de sites sur internet qui parlent du VPN, nous n'entrerons pas dans les détails ici. | ||
A ce stade, vous devriez avoir un nom de domaine qui permettra de contacter votre serveur VPN depuis l'extérieur même si votre Box a une IP publique dynamique. | ''NB: Dans ce tutoriel, nous n'activerons pas les serveurs VPN avec protocole PPTP, jugé trop peu fiable.'' | ||
''A ce stade, vous devriez avoir un nom de domaine qui permettra de contacter votre serveur VPN depuis l'extérieur même si votre Box a une IP publique dynamique.'' | |||
'''Si votre Box est pourvue de la fonction "Serveur VPN", alors le plus simple est de l'activer''' | |||
[[Fichier:VPN_ROUTEUR2.PNG|700px|Serveur VPN installé sur la box ADSL]] | |||
Depuis l'extérieur, le PC sur lequel vous avez activé le client VPN prendra une adresse IP distribuée par le serveur VPN (dans le cas où vous avez conservé l'adressage dynamique) et fera partie intégrante de votre réseau domestique (la box devrait remplir la fonction de passerelle VPN). Vous pourrez alors vous connecter indifféremmant à votre IPX800, à votre NAS ou encore à votre EDRT2 en entrant simplement leur adresse locale dans votre navigateur. | |||
=='''Freebox V6 / Mini 4K'''== | Les box avec fonction Serveur VPN : Freebox Révolution (V6), Freebox Mini 4K, Livebox Pro (V2,V3,V4) | ||
Voyez plus bas comment activer le serveur VPN sur votre box adsl et configurer le client. | |||
'''Si votre Box ne supporte pas la fonction "Serveur VPN",''' | |||
[[Fichier:VPN_NAS2.PNG|700px|Serveur VPN installé sur une machine derrière la box ADSL]] | |||
Si vous voulez vous connecter à votre serveur VPN se trouvant sur votre réseau local, derrière votre Box ou routeur ADSL , une redirection de ports sera nécessaire. | |||
Il faudra de plus veiller à ce que votre box (ou routeur) soit "VPN Passthrough", c'est à dire qu'elle devra "laisser passer" le trafic VPN entre le serveur et le client. | |||
Il est à noter que certains utilisateurs avaient rencontré des problèmes avec certaines box (notamment la BBOX) . Je ne sais pas si c'est résolu aujourd'hui. | |||
[[Fichier:VPN_PASSTHROUGH_BASE.PNG|700px|Le passthrough VPN]] | |||
<div style="font-size:x-small;">''Source TP-Link''</div> | |||
Par exemple, sur les routeurs TP-Link, vous pourriez trouver ce genre de configuration : | |||
[[Fichier:VPN_PASSTHROUGH.PNG|600px|Configuration d'un routeur TP-Link]] | |||
<div style="font-size:x-small">''Source TP-Link''</div> | |||
'''Les ports à rediriger pour router les connexions VPN entrantes vers le serveur VPN local: ''' | |||
* PPTP utilise le port 1723 en TCP | |||
* OpenVPN utilise le port 1194 en UDP | |||
* L2TP utilise le port 1701 en UDP. il faut l'ouvrir sur le firewall du NAS, mais ni l'autoriser ni le forwarder sur la box (''1'') | |||
* L2TP/IPSEC utilise les ports 500 et 4500 en UDP. | |||
''(1) Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP directes. Or certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple) et vont tenter de s'y connecter sans monter le tunnel IPSec. Certes, la connexion fonctionne, mais elle n'est pas cryptée. | |||
Bien entendu, il faudra attribuer une adresse IP fixe à la machine (PC, NAS, ...) qui héberge le serveur VPN (Ex : 192.168.0.110). | |||
'''Pour accéder aux autres machines de votre réseau domestique (notamment à votre IPX800 ou encore votre EDRT2), je vous conseille fortement l'utilisation d'un serveur OpenVPN. | |||
A l'installation vous serez peut-être amené à devoir choisir entre ''OpenVPN bridgé'' ou ''OpenVPN routé''. Dans ce cas, il faudra choisir OpenVPN Bridgé. | |||
Si à l'installation vous ne pouvez pas choisir, alors vous aurez certainement à activer une option sur le serveur VPN | |||
<code>Autoriser aux clients l'accès au LAN</code> ou <code>Passerelle VPN</code> | |||
Si vous ne souhaitez pas utiliser OpenVPN, il faudra ajouter une route sur votre client, entre votre réseau local (192.168.xxx.0) et votre réseau VPN. | |||
Vous pourriez également ajouter l'adresse IP de votre serveur VPN en tant que passerelle sur votre PC, le but étant de faire savoir à votre PC comment joindre les machines de votre réseau local. | |||
Certains utilisateurs utilisent même leur box Adsl en passerelle, et non en routeur , puis ajoutent un routeur sous DD-WRT qui offre un firewall solide ainsi qu'un serveur VPN. | |||
Il existe trop de cas particuliers, trop de configurations possibles, nous n'irons pas plus loin, vous trouverez d'excellents tutos sur la toile. | |||
=='''Freebox V6 / Mini 4K / POP'''== | |||
===Activation du serveur VPN sur une Freebox=== | |||
Notez qu'à ce jour (Déc 2017), étant donné les problèmes rencontrés pour faire communiquer le serveur OpenVPN de la freebox (OS 3.4.1) avec les clients OpenVPN Androïd ou Windows , je préfère utiliser le protocole IPSec IKEv2 de la Freebox. | |||
====IPSec IKEv2==== | ====IPSec IKEv2==== | ||
Ligne 216 : | Ligne 443 : | ||
[[Fichier: | [[Fichier:VPN_user_freeboxV6c.png|700px]] | ||
Paramétrez le type de VPN. Ici, nous allons paramétrer un VPN en '''IPsec_IKEv2''' | Paramétrez le type de VPN. Ici, nous allons paramétrer un VPN en '''IPsec_IKEv2''' | ||
[[Fichier:VPN_IPSEC_freeboxV6b.png|700px]] | |||
[[Fichier: | |||
Cochez la case "Activer" | Cochez la case "Activer" | ||
Ligne 242 : | Ligne 464 : | ||
====OpenVPN==== | ====OpenVPN==== | ||
=====OpenVPN Bridgé===== | |||
c’est le mode pont | =====OpenVPN Bridgé (TAP)===== | ||
c’est le mode pont, il va permettre d’accéder depuis l’extérieur au réseau local de la Freebox et à l'IPX800 ou tout autre dispositif. | |||
Le client VPN se connecte donc à la Freebox depuis l'extérieur, avec un PC. Ce PC fait alors partie du réseau local de la Freebox | Le client VPN se connecte donc à la Freebox depuis l'extérieur, avec un PC. Ce PC fait alors partie du réseau local de la Freebox | ||
'''Extrait de l'aide Freebox''' : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur vous permet de voir les machines du réseau local | '''Extrait de l'aide Freebox''' : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur vous permet de voir les machines du réseau local | ||
'''Activation du serveur''' | |||
[[Fichier:FreeboxOpenVPNbridgé.PNG|700px]] | |||
* cochez la case Activer | |||
* saisissez le numéro de port entrant | |||
* sélectionnez le type de chiffrement à utiliser pour chiffrer la connexion. | |||
* Désactivez la fragmentation si votre Client VPN ne prend pas cette fonctionnalité en charge | |||
* Sélectionnez le protocole. Par défaut (non coché), la freebox privilégie UDP. | |||
* cliquez sur Appliquer pour faire apparaître les paramètres de sécurité | |||
* téléchargez la configuration qui vous servira à configurer votre client | |||
[[Fichier:FreeboxOpenVPNbridgéDwnl2c.png]] | |||
* notez le nom du fichier | |||
=====OpenVPN Routé===== | =====OpenVPN Routé (TUN)===== | ||
c’est le mode qui permet de passer par la Freebox pour aller ensuite sur Internet. | c’est le mode qui permet de passer par la Freebox pour aller ensuite sur Internet. | ||
Exemple : depuis l'extérieur ou depuis un réseau non sécurisé, il est possible de chiffrer les communications et surfer de manière sécurisée au travers de la Freebox. C'est comme si vous étiez chez vous, c'est l'IP de la Freebox qui est vue. | Exemple : depuis l'extérieur ou depuis un réseau non sécurisé, il est possible de chiffrer les communications et surfer de manière sécurisée au travers de la Freebox. C'est comme si vous étiez chez vous, c'est l'IP de la Freebox qui est vue. | ||
'''Extrait de l'aide Freebox :''' ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local. | '''Extrait de l'aide Freebox :''' ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local. | ||
Il faut activer les deux modes séparément, créer un utilisateur et télécharger le fichier de configuration qu’il faut alors ajouter dans son logiciel client d’OpenVPN pour pouvoir se connecter à la Freebox ; des tutoriaux expliquant comment faire ça. | Il faut activer les deux modes séparément, créer un utilisateur et télécharger le fichier de configuration qu’il faut alors ajouter dans son logiciel client d’OpenVPN pour pouvoir se connecter à la Freebox ; des tutoriaux expliquant comment faire ça. | ||
Pour nous connecter depuis l'extérieur à notre IPX800, c'est le mode OpenVPN Bridgé qu'il faudra activer. | Pour nous connecter depuis l'extérieur à notre IPX800, c'est le mode OpenVPN Bridgé qu'il faudra activer. | ||
[[Fichier:FreeboxOpenVPNrouté.PNG|700px]] | |||
* cochez la case Activer | |||
* saisissez le numéro de port entrant | |||
* sélectionnez le type de chiffrement à utiliser pour chiffrer la connexion. | |||
* Désactivez la fragmentation si votre Client VPN ne prend pas cette fonctionnalité en charge. | |||
* Sélectionnez le protocole. Par défaut (non coché), la freebox privilégie UDP | |||
* cliquez sur Appliquer pour faire apparaître les paramètres de sécurité | |||
* téléchargez la configuration | |||
[[Fichier:FreeboxOpenVPNroutéDwnl2c.png]] | |||
* notez le nom du fichier | |||
==== WireGuard ==== | |||
Sur la freebox, ouvrez le menu « Serveur VPN » | |||
Créez un utilisateur spécifique pour le VPN WireGuard. | |||
Allez dans le menu "''Utilisateurs''" et cliquez sur "''Ajouter''" | |||
[[Fichier:WireGuard1.png|sans_cadre|454x454px]] | |||
sélectionnez une ip fixe et validez. | |||
Rendez-vous sur l’onglet WireGuard puis activez le protocole. | |||
En face de l’utilisateur que vous avez créé, cliquez sur l’option QR code. | |||
[[Fichier:WireGuard2.png|sans_cadre|455x455px]] | |||
Sur votre téléphone ios ou Android, installez l’application officielle Wireguard [[Fichier:WireGuard3.png|sans_cadre|25x25px]] | |||
Dans les options de configuration, vous pourrez lire le QR code généré par la freebox, la configuration sera alors simplissime. | |||
===Freebox : Se connecter avec un appareil Androïd=== | ===Freebox : Se connecter avec un appareil Androïd=== | ||
====IPSec IKEv2==== | |||
Installez l'application '''strongSwan''' à partir du [https://play.google.com/store/apps/details?id=org.strongswan.android&hl=fr Play Store] | Installez l'application '''strongSwan''' à partir du [https://play.google.com/store/apps/details?id=org.strongswan.android&hl=fr Play Store] | ||
Créez un nouveau profil VPN : | * Créez un nouveau profil VPN : | ||
Profile Name : Mon_Profil | '''Profile Name :''' Mon_Profil | ||
Server : xxx.freeboxos.fr [votre ID distant relevé précédemment] | '''Server :''' xxx.freeboxos.fr [votre ID distant relevé précédemment] | ||
Type : IKEv2 EAP (Username/Password) | '''Type :''' IKEv2 EAP (Username/Password) | ||
Username : [utilisateur de votre VPN] | '''Username :''' [utilisateur de votre VPN] | ||
Password : [mot de passe de l'utilisateur VPN] | '''Password :''' [mot de passe de l'utilisateur VPN] | ||
CA certificate : Décochez select automatically | '''CA certificate :''' Décochez select automatically | ||
Sélectionnez Digital Signature Trust Co. DST Root CA X3 | Sélectionnez Digital Signature Trust Co. DST Root CA X3 | ||
N'allez pas dans les paramètres avancés. | N'allez pas dans les paramètres avancés. | ||
Sauvegardez | [[Fichier:VPN_StrongSwann2.png|250px]] | ||
* Sauvegardez | |||
Cliquez sur la connexion que vous venez de créer et connectez vous. | Cliquez sur la connexion que vous venez de créer et connectez vous. | ||
Dans le navigateur de votre smartphone, entrez l'adresse locale de votre IPX800. | Dans le navigateur de votre smartphone, entrez l'adresse locale de votre IPX800. | ||
=== | ====OpenVPN Routé==== | ||
Tutoriel proposé par @PatLeHibou | |||
Après installation et lancement de '''OpenVPN for Android''', l’appui sur le bouton '''+''' permet d’ajouter un profil de connexion : | |||
[[Fichier:OpenVPNforAndroid1_route.png]] | |||
En cliquant sur Importer, il faut aller chercher le fichier configuration .ovpn que l’on aura préalablement chargé quelque part sur son téléphone. | |||
L’écran principal présente ensuite la liste des connexions possibles (si tu en as chargé plusieurs) : | |||
[[Fichier:OpenVPNforAndroid2_route.png]] | |||
Cliquer sur l’une d’elle va demander la première fois le login et le mot de passe que l’on a déclaré coté serveur (Freebox ou autre) et que l’on pourra faire mémoriser dans le téléphone pour ne pas avoir à la resaisir à chaque fois. | |||
[[Fichier:OpenVPNforAndroid3_route.png]] | |||
Puis la connexion se lance avec un magnifique écran de log très abscons pour les novices : | |||
[[Fichier:OpenVPNforAndroid4_route.png]] | |||
Mais l’essentiel est qu’une petite clé apparaît en haut de l’écran indiquant qu’on est connecté en VPN. | |||
<!-- | |||
=====OpenVPN Connect (gratuit)===== | |||
[[Fichier:Android_openvpn2.PNG]] | |||
Je n'ai pas pu faire fonctionner cette application avec la freebox | |||
*pas de support de la fragmentation | |||
* pas de support des réseaux virtuels (mode bridgé ou TAP) | |||
=====OpenVPN Client (payant) 2.15.56 (1021556)===== | |||
pb de connexion | |||
=====OpenVPN for Androïd (gratuit)===== | |||
************************************ | |||
* pas de support des réseaux virtuels (mode bridge ou TAP) | |||
Sur le smartphone, installez le logiciel '''OpenVPN Connect''' à partir de [https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=fr '''Google Play''']. | |||
Décompressez puis copiez la configuration OpenVPN générée à partir du Synology, sur la carte SD du téléphone. | |||
[[Fichier:Android_openvpn_1b.PNG]] [[Fichier:Android_openvpn_2.PNG]] [[Fichier:Android_openvpn_3b.PNG]] | |||
Importez le fichier qui porte l'extension '''.opnvpn''' par l'option "'''import Profile from SD card'''" | |||
Renseignez l''''utilisateur''' et le '''mot de passe''' comme créé sur la freebox. | |||
[[Fichier:Android_openvpn_4b.png]] | |||
Cliquez sur '''Connect''' pour finir. | |||
[[Fichier:Android_openvpn_3c.PNG]] | |||
Il se peut que vous ayez un message d'erreur concernant la fragmentation. | |||
Dans ce cas, désactivez la fragmentation sur le VPN server de la freebox, refaites l'export de la configuration puis l'import sur le client. | |||
[[Fichier:Android_openvpn_5.PNG]] | |||
--> | |||
===Freebox : Se connecter avec iOS=== | |||
====L2TP/IPSec==== | |||
Allez dans « Réglages », puis « Général », puis « VPN », et en enfin « Ajouter une configuration VPN… » | Allez dans « Réglages », puis « Général », puis « VPN », et en enfin « Ajouter une configuration VPN… » | ||
Ligne 293 : | Ligne 638 : | ||
Saisissez les informations suivantes : | Saisissez les informations suivantes : | ||
description : mettre un descriptif en cas de VPN multiple | |||
serveur : correspond à l’ip publique de votre Freebox | serveur : correspond à l’ip publique de votre Freebox | ||
id. distant : info notée précédemment | id. distant : info notée précédemment | ||
Ligne 299 : | Ligne 644 : | ||
type : mettre sur aucun | type : mettre sur aucun | ||
secret : le mot de passe de votre utilisateur VPN | secret : le mot de passe de votre utilisateur VPN | ||
====OpenVPN==== | |||
===Freebox : Se connecter avec OS X / MacOS=== | |||
====L2TP/IPSec==== | |||
Désolé, rien pour le moment | |||
====OpenVPN Routé ou Bridgé==== | |||
''Tutoriel proposé par @PatLeHibou'' | |||
Pour vous connecter au serveur OpenVPN Routé ou Bridgé, activé sur la Freebox, installez le logiciel Tunnelblick que vous pouvez [https://tunnelblick.net/ télécharger ici] | |||
Procédez à l'installation. | |||
Après installation de Tunnelblick, téléchargez le fichier "Config_OpenVPN_xxxx.ovpn" généré sur la freebox. | |||
Ensuite, il suffit de double-cliquer sur ce fichier pour que Tunnelblick propose l'installation pour tous les utilisateurs ou vous seulement : | |||
[[Fichier:Tunnelblick1.png]] | |||
Modifiant la configuration réseau du système, il faut vous authentifier en tant qu’administrateur : | |||
[[Fichier:Tunnelblick2.png]] | |||
[[Fichier:Tunnelblick3.png]] | |||
Et si tout se passe bien, vous recevez le message de réussite : | |||
[[Fichier:Tunnelblick4.png]] | |||
L’interface de Tunnelblick : | |||
[[Fichier:Tunnelblick5.png]] | |||
Cliquez sur “Connecter”. La première fois, vous devrez vous authentifier avec le nom et le mot de passe renseigné dans la Freebox pour les utilisateurs VPN: | |||
[[Fichier:Tunnelblick6.png]] | |||
Cela ne vous sera pas redemandé, si vous cochez les cases '''“Enregistrer dans le Trousseau d’accès”'''. | |||
===Freebox : Se connecter avec un PC sous Windows=== | ===Freebox : Se connecter avec un PC sous Windows=== | ||
A partir de Windows 7, le VPN IKEv2 est natif. | ====L2TP/IPSec==== | ||
A partir de Windows 7, le VPN IPSec IKEv2 est natif. | |||
Lancez le "centre Réseau et Partages" | Lancez le "centre Réseau et Partages" | ||
Ligne 308 : | Ligne 696 : | ||
Configurez une nouvelle connexion | Configurez une nouvelle connexion | ||
[[Fichier:VPN_Win10_0b.PNG|600px]] | |||
Sélectionnez le type de connexion et faites [Suivant] | Sélectionnez le type de connexion et faites [Suivant] | ||
[[Fichier:VPN_Win10_2b.PNG|600px]] | |||
Sélectionnez le mode de Connexion | Sélectionnez le mode de Connexion | ||
[[Fichier:VPN_Win10_3b.PNG|600px]] | |||
Renseignez l'ID distant que vous avez noté précédemment et faites [Suivant] | Renseignez l'ID distant que vous avez noté précédemment et faites [Suivant] | ||
[[Fichier:VPN_Win10_4b.PNG|600px]] | |||
Renseignez l'utilisateur et son mot de passe, créés précédemment sur la Freebox | Renseignez l'utilisateur et son mot de passe, créés précédemment sur la Freebox | ||
[[Fichier:VPN_Win10_5b.PNG|600px]] | |||
Connectez le VPN | |||
[[Fichier:VPN_Win10_6b.png]] | |||
====OpenVPN==== | |||
Personnellement j'ai rencontré de nombreux déboires pendant le test d'OpenVPN sur différents PC avec des versions différentes de Windows. Je préfère utiliser le protocole IPSec IKEv2 natif de Windows. | |||
Malgré tout, voici une méthode qui devrait fonctionner pour une majorité d'entre vous si votre PC est en version 7 ou ultérieure, | |||
Téléchargez la dernière version du client [http://build.openvpn.net/downloads/releases/latest/ ici] | |||
Faites l'installation avec les paramètres par défaut en veillant à ce qu'il installe bien l'interface réseau virtuelle (TAP) et l'interface (GUI) | |||
Lancez OpenVPN GUI en tant qu'administrateur (clic droit sur son raccourci bureau puis "''Exécuter en tant qu'administrateur''"). | |||
Dans le SysTray, cliquez avec le bouton droit sur l'icône d'OpenVPN, choisissez l'option "Importer..." | |||
[[Fichier:OpenVpnGUI_Import.png]] | |||
Importez le fichier de configuration généré par la freebox. | |||
Refaites un clic droit sur l'icône OpenVPN GUI du systray et choisissez l'option "Connecter" | |||
Saisissez le code utilisateur VPN et mot de passe que vous avez défini sur la Freebox. | |||
l'icône de OpenVPN devrait devenir verte. | |||
=='''Livebox Pro (V2 / V3 / V4)'''== | =='''Livebox Pro (V2 / V3 / V4)'''== | ||
Ligne 332 : | Ligne 746 : | ||
Pour simplifier la connexion à distance, nous utiliserons le logiciel client VPN Orange (SHREW). | Pour simplifier la connexion à distance, nous utiliserons le logiciel client VPN Orange (SHREW). | ||
====L2TP/IPSec==== | |||
Dans les paramètres avancés, activez l'onglet VPN et sélectionnez le '''serveur IPSEC pour utilisateurs nomades''' | |||
<div class="mw-collapsible mw-collapsed" data-expandtext="{{int:show}}" data-collapsetext="{{int:hide}}" style="width:730px;"> | |||
'''Copies d'écran ↑↓''' | |||
<div class="mw-collapsible-content"> | |||
[[Fichier:LiveboxPro2_VPN.PNG|700px]] | |||
[[Fichier:LiveboxPro2_VPN2.PNG|700px]] | |||
</div></div> | |||
Dans la rubrique Groupes, cliquez sur Ajouter. | Dans la rubrique Groupes, cliquez sur Ajouter. | ||
Ligne 341 : | Ligne 764 : | ||
Le champ Clef partagée est un code choisi librement. Il servira lors de l'installation du logiciel Shrew. | Le champ Clef partagée est un code choisi librement. Il servira lors de l'installation du logiciel Shrew. | ||
<div class="mw-collapsible mw-collapsed" data-expandtext="{{int:show}}" data-collapsetext="{{int:hide}}" style="width:730px;"> | |||
'''Copies d'écran ↑↓''' | |||
<div class="mw-collapsible-content"> | |||
[[Fichier:LiveboxPro2_VPN3.PNG|700px]] | |||
[[Fichier:LiveboxPro2_VPN4.PNG|700px]] | |||
</div></div> | |||
Activez le groupe et ajoutez un utilisateur | Activez le groupe et ajoutez un utilisateur | ||
<div class="mw-collapsible mw-collapsed" data-expandtext="{{int:show}}" data-collapsetext="{{int:hide}}" style="width:730px;"> | |||
'''Copies d'écran ↑↓''' | |||
<div class="mw-collapsible-content"> | |||
[[Fichier:LiveboxPro2_VPN5.PNG| | [[Fichier:LiveboxPro2_VPN5.PNG|700px]] | ||
</div></div> | |||
Renseignez le nom de l'utilisateur et créez un mot de passe. | Renseignez le nom de l'utilisateur et créez un mot de passe. | ||
Ligne 355 : | Ligne 790 : | ||
Si vous voulez accroître la sécurité de votre réseau, vous pouvez paramétrer votre firewall. | Si vous voulez accroître la sécurité de votre réseau, vous pouvez paramétrer votre firewall. | ||
=== | ====OpenVPN==== | ||
===Livebox pro : se connecter avec un PC windows=== | |||
====L2TP/IPSec==== | |||
Sur les PC, vous devez installer le logiciel VPN Orange Shrew | Sur les PC, vous devez installer le logiciel VPN Orange Shrew | ||
Rendez vous sur la page du [https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-avance-reseau-nat-pat-ip/creer-un-reseau-vpn/livebox-pro-installation-du-logiciel-vpn-orange-sur-ordinateur-nomade_26836-27503 support Orange], suivez les instructions. | Rendez vous sur la page du [https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-avance-reseau-nat-pat-ip/creer-un-reseau-vpn/livebox-pro-installation-du-logiciel-vpn-orange-sur-ordinateur-nomade_26836-27503 support Orange], suivez les instructions. | ||
====OpenVPN==== | |||
===Livebox pro : se connecter avec iOS=== | |||
===Livebox pro : se connecter avec MacOS=== | |||
=='''Synology'''== | |||
===Activation du serveur VPN=== | |||
VPN Server propose une solution VPN simple qui transforme votre produit Synology en un serveur VPN, offrant une méthode sûre de connexion à un LAN privé sur un emplacement distant. Tous les services PPTP, OpenVPN et L2TP/IPSec sont pris en charge. | |||
Dans le centre de paquets, installez '''VPN Server''' | |||
[[Fichier:SYNO_VPN SERVER_PAQUETb.PNG]] | |||
NB : Si vous avez activé le Firewall sur le Synology, vous pouvez avoir une notification | |||
Décochez le port 1723. Nous n'utiliserons pas le protocole PPTP. | |||
[[Fichier:SYNO_VPN_SERVER_FIREWALL1b.PNG|700px]] | |||
Si vous devez paramétrer le Firewall manuellement, voici les ports à ouvrir. | |||
[[Fichier:SYNO_VPN_SERVER_FIREWALLb.PNG|700px]] | |||
Sur mon Syno, je gère le firewall pour toutes les interfaces réseaux (je n'en ai qu'une :D). | |||
Si vous devez gérer par interface, vous devrez adapter votre paramétrage. | |||
En fonction des protocoles VPN que vous utiliserez, voici la liste des ports à autoriser : | |||
OpenVPN : 1194 UDP | |||
L2TP/IPsec : 500 UDP et 4500 UDP | |||
L2TP/IPsec : 1701 UDP | |||
Attention : nous autorisons le port 1701 sur le Synology pour les connexions entrantes, mais nous ne le forwardons sous aucun prétexte sur la box ou le routeur ou la box. En fonction du client voulant se connecter, la connexion pourrait ne pas être cryptée (ouverture sur le Synology du L2TP sans le tunnel IPSec). | |||
En terme de performances, préférez UDP à TCP. | |||
Les 3 premières règles me servent à débrider le firewall sur mes réseaux privés. Au moins, lorsque je suis en local, le firewall ne me bloque jamais. Par contre, ces 3 plages étant privées, elles ne s'appliqueront jamais à une connexion en provenance d'Internet. | |||
Vous pouvez les copier chez vous sans risque. | |||
NB : Sur votre box ou Routeur, il faudra créer une règle NAT/PAT pour rediriger les ports nécessaires aux protocoles activés | |||
OpenVPN : 1194 UDP | |||
L2TP/IPSec : 500 / 4500 / | |||
Après installation, exécutez le paquet VPN Server. | |||
Dans l'onglet Vue générale, vous pouvez vérifier l'état des 3 protocoles disponibles | |||
[[Fichier:SYNO_VPN_SERVER_GENERALb.PNG|700px]] | |||
Dans l'onglet Paramètres Généraux, vérifiez vos paramètres. Choisissez l'interface réseau au besoin et les utilisateurs. | |||
Choisissez les Utilisateurs Locaux sauf si vous avez un LDAP. | |||
J'ai laissé la coche par défaut pour autoriser l'application des privilèges à tous les utilisateurs,vous pouvez décocher et autoriser manuellement par la suite si vous préférez... | |||
[[Fichier:SYNO_VPN_SERVER_PREFERENCESb.PNG|700px]] | |||
Si vous avez autorisé tous les utilisateurs par défaut, tous les droits VPN sont octroyés. | |||
Décochez les droits si besoin. | |||
[[Fichier:SYNO_VPN_SERVER_PRIVILEGESb.PNG|700px]] | |||
====Activation de OpenVPN==== | |||
* Activez OpenVPN, Notez l'adresse IP du serveur. Normalement vous pouvez la laisser par défaut, sauf si votre réseau local est sur la même plage. | |||
'''Important : Avant de renseigner l'adresse IP dynamique du serveur VPN''' | |||
Les adresses IP dynamiques doivent être comprises dans les plages suivantes : | |||
De « 10.0.0.0 » à « 10.255.255.0 » | |||
De « 172.16.0.0 » à « 172.31.255.0 » | |||
De « 192.168.0.0 » à « 192.168.255.0 » | |||
L'adresse IP dynamique spécifiée d'un serveur VPN et les adresses IP virtuelles attribuées aux clients VPN ne doivent jamais entrer en conflit avec les adresses IP utilisées par votre réseau local. | |||
Si vous utilisez plusieurs serveurs VPN (L2TP/IPSec, OpenVPN, ...), renseignez des plages différentes pour chacun d'eux. | |||
* Laissez le port 1194 par défaut et sélectionnez le protocole UDP. | |||
* Sélectionnez un mode de cryptage. | |||
* Autorisez l'accès au LAN du serveur par les clients | |||
* Pour finir, Exportez la configuration, vous en aurez besoin pour la connexion des clients. | |||
Comme indiqué dans le README.txt, il faut éditer le fichier de configuration avant de l'importer, les lignes importantes sont : | |||
remote '''YOUR_SERVER_IP''' 1194 | |||
il faut remplacer YOUR_SERVER_IP par l'adresse IP publique de votre Box. Si vous avez un nom de domaine, vous pouvez le renseigner à la place de l'IP. | |||
[[Fichier:SYNO VPN SERVER OPENVPN2b.PNG|700px]] | |||
====Activation de L2TP/IPSec==== | |||
L2TP sur IPSec est un assemblage de 2 protocoles de tunnel. Le client va créer un premier tunnel sécurisé par IPSec puis un second tunnel L2TP à l'intérieur. | |||
IPSec : protocole qui assure une connexion chiffrée | |||
L2TP : protocole qui gère l'authentification et le transport non chiffré des données. | |||
[[Fichier:SYNO_VPN_SERVER_IPSEC_MSG4500b.PNG|700px]] | |||
'''Important : Avant de renseigner l'adresse IP dynamique du serveur VPN''' | |||
Les adresses IP dynamiques doivent être comprises dans les plages suivantes : | |||
De « 10.0.0.0 » à « 10.255.255.0 » | |||
De « 172.16.0.0 » à « 172.31.255.0 » | |||
De « 192.168.0.0 » à « 192.168.255.0 » | |||
L'adresse IP dynamique spécifiée d'un serveur VPN et les adresses IP virtuelles attribuées aux clients VPN ne doivent jamais entrer en conflit avec les adresses IP utilisées par votre réseau local. | |||
Si vous utilisez plusieurs serveurs VPN (L2TP/IPSec, OpenVPN, ...), renseignez des plages différentes pour chacun d'eux. | |||
[[Fichier:SYNO_VPN_SERVER_IPSECb.PNG|700px]] | |||
Choisissez une des options suivantes dans le menu déroulant Autentification pour authentifier les clients VPN : | |||
PAP: Le mot de passe des clients VPN n'est pas crypté lors de l'authentification. | |||
MS-CHAP v2 : Le mot de passe des clients VPN est crypté lors de l'authentification à l'aide de Microsoft CHAP version 2. | |||
===SYNO : Connexion à partir d'un client Androïd=== | |||
====OpenVPN==== | |||
plusieurs applications pour Android. A vous de choisir | |||
=====Application officielle===== | |||
[[Fichier:Android_openvpn2b.PNG]] | |||
Sur le smartphone, installez le logiciel '''OpenVPN Connect''' à partir de [https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=fr '''Google Play''']. | |||
Décompressez puis copiez la configuration OpenVPN générée à partir du Synology, sur la carte SD du téléphone. | |||
[[Fichier:Android_openvpn_1b.PNG|230px]] [[Fichier:Android_openvpn_2.PNG|230px]] [[Fichier:Android_openvpn_3.PNG|230px]] | |||
Importez le fichier qui porte l'extension '''.opnvpn''' par l'option "'''import Profile from SD card'''" | |||
Renseignez l''''utilisateur''' et le '''mot de passe''' comme pour accéder au Synology. | |||
[[Fichier:Android_openvpn_4b.png|230px]] | |||
Cliquez sur '''Connect''' pour finir. | |||
[[Fichier:Android_openvpn_5.PNG|230px]] | |||
<!-- | |||
=====OpenVPN For Androïd===== | |||
[[Fichier:OpenVPN_for_Android.PNG]] | |||
--> | |||
====L2TP/IPSec==== | |||
===SYNO : Connexion à partir d'un iPhone=== | |||
====OpenVPN==== | |||
====L2TP/IPSec==== | |||
===SYNO : Connexion à partir d'un PC ou d'un Mac=== | |||
<!--https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Application/How_to_connect_to_Synology_s_VPN_Server_using_a_Windows_PC_or_Mac | |||
http://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/ | |||
https://www.le-vpn.com/fr/installation-openvpn-sur-android/ | |||
DDNS pour OVH : | |||
http://adrienfuret.fr/2015/05/nas-synology-ddns-ovh/ | |||
VPN macOS et IOS | |||
https://www.adrienfuret.fr/2015/06/18/vpn-synology-os-x-ios/ | |||
syno et Livebox | |||
https://www.adrienfuret.fr/2014/12/14/acces-distance-synology-livebox/ | |||
Freebox OpenVPN Win 10 | |||
https://forum.freenews.fr/index.php?topic=117463.0 | |||
--> | |||
=Plus loin avec le Reverse Proxy= | |||
Pour ceux qui s'intéressent aux Reverse Proxies, voici un lien proposé par @Captainigloo : | |||
https://www.domotique-fibaro.fr/topic/11978-acc%C3%A8s-s%C3%A9curis%C3%A9-hcl-et-hc2-avec-reverse-proxy/#entry187394''' | |||
Je n'ai pas testé. | |||
=OpenWRT= | |||
Les utilisateurs avertis qui n'ont pas la chance de disposer d'un matériel permettant d'héberger un serveur VPN sur leur réseau, peuvent créer un serveur VPN grâce à l'OS open source nommé [https://openwrt.org/fr/start OpenWRT]. Cet OS permet la création de serveur OpenVPN ou WireGuard. Il existe de nombreux tutoriels sur la toile. | |||
Plus simplement, il suffit de s'équiper d'un routeur OpenWRT du commerce, il en existe à tous les prix. | |||
Pour un prix abordable, il y a par exemple la GL-MT2500(A) | |||
Elle est à la fois <u>serveur VPN</u> (OpenVPN et WireGuard) '''et''' <u>Client VPN (protonVPN, SurfShark, NordVPN, ...)</u> | |||
Cela permet d'accéder à votre IPX800 depuis l'extérieur tout en surfant de manière sécurisée sur le Net. | |||
<br> | |||
=Remerciements= | |||
je tiens à remercier @Kevin_GCE et @Jweb pour leur aide, leurs relectures et leurs suggestions autant sur le contenu que sur la forme. | |||
Je tiens également à remercier @PatLeHibou pour ses 2 tutoriels concernant OpenVPN sur MacOS et Androïd. |
Version actuelle datée du 19 décembre 2024 à 16:39
Présentation
| |||
---|---|---|---|
Nom | Connexion distante | ||
Famille | Réseau | ||
Wiki créé le | 13/12/2017 | ||
Wiki mis à jour le | 04/10/2023 | ||
Auteur | fgtoul |
Se connecter à distance sur son réseau n'est pas chose facile.
Cependant, en fonction du fournisseur internet et également de la configuration du réseau local, plusieurs possibilités sont offertes.
Bien sûr, pour faire simple, il est possible d'avoir un PC allumé H24, sur lequel un logiciel de prise de main à distance sera installé,
Mais nous verrons ici les méthodes
- par redirection de port
- par VPN
sur des réseaux domestiques. Les réseaux complexes d'entreprise ne seront pas abordés.
Ce tutoriel ne sera certes pas exhaustif, mais il devrait vous servir à trouver une solution. A partir de là, vous pourrez vous rendre sur un site support plus adapté à votre matériel, ou bien rechercher sur internet un tutoriel spécifique à votre cas.
La connexion par VPN est vivement conseillée, étant plus sécurisée.
Pré-requis
Avant de pouvoir se connecter à distance, il est nécessaire de répondre à quelques questions essentielles.
Ma connexion ADSL dispose d'une adresse IP fixe ou dynamique ?
L'adresse publique est communiquée par le Fournisseur d'Accès Internet (FAI). Selon les abonnements, celle-ci peut être soit fixe, soit dynamique.
Bénéficier d'une IP fixe simplifie grandement la connexion à distance car elle est fournie par le FAI pour toute la durée de l'abonnement. Vue de l'extérieur, l'adresse du réseau ne change donc jamais.
Par contre, l'IP dynamique complique un peu la tâche : la durée d'un bail DHCP chez nos FAI est souvent de 24h, cela signifie que notre adresse publique est susceptible de changer toutes les 24h. Il est donc impossible, depuis l'extérieur, de se connecter chez soi, sans aller auparavant relever l'adresse publique actuelle de notre box.
Relevez votre adresse IP publique sur la console d'administration de votre compte FAI ou sur votre Box. Si vous ne trouvez pas votre adresse IP : Connectez un PC au même réseau que votre box et rendez vous sur un site comme www.mon-ip.com qui vous l'affichera.
Mon IPX800 dispose-t'elle d'une adresse IP fixe ?
Connectez vous à l'IPX et ouvrez le menu de cnfiguration du réseau
IPX800 V4 : Menu Administrateur / Réseau / Paramètres
IPX800 V3 : Lan Settings
Il est préférable de désactiver le mode DHCP et d'attribuer une adresse fixe à l'IPX800. Si vous voulez utiliser l'adresse IP locale qui a déjà été attribuée par le serveur DHCP, pensez à paramétrer votre box pour qu'elle ne réattribue pas la même.
Quelle URL pour accéder à mon IPX800 ?
Vous pourrez accéder à votre IPX800 avec une URL du type http://mon_adresse_ip_publique uniquement si votre adresse publique est fixe.
> Si votre adresse IP publique est fixe, vous n'êtes pas obligé de paramétrer un service DynDNS, sauf si vous trouvez qu'entrer un nom de domaine dans votre navigateur est plus simple pour vous.
> Si votre adresse de connexion est dynamique, la solution consiste à créer un compte chez un fournisseur de nom de domaine (payant) ou de sous-domaine (gratuit). Lorsque vous créez un compte chez l'un de ces fournisseurs, votre adresse IP publique est automatiquement détectée. Mais retourner sur cette page et mettre l'IP à jour à chaque changement, ce n'est pas cool, et encore faut-il constater que l'adresse a changé.
Heureusement les box et quelques autres dispositifs (dont l'IPX800) sont capables de mettre l'adresse à jour régulièrement sur votre compte DynDNS, NO-IP ou autre.
Voici quelques fournisseurs de noms de domaines dynamiques
NO-IP DynDns DtDNS ChangeIP GNUDIP DNS-O-MATIC OVH
Outre les services payants (complets et illimités en général) , la plupart de ces fournisseurs proposent aussi des services gratuits . Le nombre de Hostnames et les fonctionnalités sont parfois limités, chez certains, il faudra même confirmer le nom du sous-domaine tous les mois. Chez d'autres, si vous avez une IP fixe, n'y songez pas, car au bout de 30 jours sans changement d'adresse IP, le Hostname est purement et simplement supprimé.
Malgré ces légères contraintes, ces services vous permettent d'obtenir un sous-domaine. Cela signifie que l'URL résultante dépendra du fournisseur choisi.
Elle sera donc sous la forme http://mon_sous_domaine.mon_fournisseur
Définition : DynDNS = DDNS = Dynamic DNS = Dynamic Domain Name Service
L'IPX800 et DynDNS
Si votre box ADSL est déjà paramétrée en client DynDNS, vous n'avez pas besoin (sauf cas particuliers) de configurer le DynDNS de l'IPX800.
Sur l'IPX800 V4, Allez dans le menu Réseau, puis DNS Dynamique
Pour l'IPX800 V3, allez dans le menu DynDNS
La Livebox (V2 / V4 / PRO V2) et DynDNS
Toutes les Livebox supportent le DynDNS. Vous pouvez paramétrer le compte ouvert chez l'un des fournisseurs puis paramétrer votre compte dans l'onglet DynDNS. La Livebox se chargera de mettre votre adresse publique à jour régulièrement sur votre compte.
Les noms de domaines proposés par les fabricants ou les FAI
Certains fabricants de matériels (NAS, Routeurs, ...) ou FAI proposent leur propre service DDNS gratuit et permettent donc d'obtenir gratuitement et sans effort un nom de domaine personnalisé qui pointe vers votre adresse IP publique. Vérifiez sur votre réseau si l'un de vos dispositifs le permet.
Un sous-domaine gratuit chez Free
Les freebox V6 et Mini 4K permettent de paramétrer un compte DNS dynamique (NO-IP / DynDNS / OVH ). Vous pourriez paramétrer la freebox en client DynDNS si vous aviez déjà un compte et un nom de domaine.
Mais depuis la version 3.3 de FreeboxOS, il est à noter que Free propose également un sous-domaine gratuit de freeboxos.fr.
Pas besoin de passer par les services cités au dessus.
Allez sur l'interface de votre freebox et ouvrez les paramètres.
Cliquez sur l'option "Nom de domaine"
Suivez les instructions et créez votre nom de domaine.
Un sous-domaine gratuit chez Synology
Le fabricant de NAS vous propose un sous-domaine en Synology.me.
Ouvrez le panneau de configuration, puis ouvrez le panneau Accès Externe. Dans l'onglet DDNS, ajoutez un nom de domaine et sélectionnez le fournisseur Synology.
Ni ma box, ni mon synology ne proposent mon fournisseur DynDNS (?)
Sur le synology, installez le paquet DDNS UPDATER 2
Pour cela, si ce n'est déjà fait, dans les paramètres du Centre de paquets, ajoutez le repository CpHub comme source :
http://www.cphub.net
Parcourez les paquets de la Communauté
Remarque : le paquet Perl devrait avoir été installé au préalable. Le programme d'installation de DDNS Updater 2 vérifiera que tous les pré-requis sont fonctionnels et demandera l'installation du paquet si nécessaire.
Comment faire si je ne veux pas de compte DynDNS ?
la solution serait de mettre en place un peiti script sur un PC, un Raspberry, un NAS, ou toute autre machine allumée H24.
Ce script détectera le changement de votre adresse IP publique et vous la communiquera par email.
Pour Linux, vous avez ce petit script Bash ici
Pour Windows, script en PowerShell ici
La redirection de ports
A ce stade, vous devez avoir un nom de (sous-)domaine ou une adresse IP fixe. Vous avez donc la possibilité d'accéder à votre box Adsl ou fibre depuis l'extérieur, en entrant dans votre navigateur l'une des 3 possibilités suivantes
http://mon_adresse_ip_publique
(exemple : http://88.123.234.213.132)http://mon_sous_domaine.mon_fournisseur
(exemple : http://mon_domaine.dyndns.com)http://mon_domaine_personnel
(exemple http://gce-electronics.com) (je sais, il est déjà pris )
Mais ces 3 adresses ne permettent pas de communiquer avec le matériel qui se trouve sur le réseau local de la box. Si vous entrez l'une de ces 3 adresses dans votre navigateur, il ne devrait rien se passer, la box ignore les requêtes.
Si tous nos périphériques réseaux avaient une adresse IP publique, le problème serait résolu. Mais ce n'est pas le cas. La pénurie d'adresses IP s'est vite fait sentir après la création d'internet. Afin de résoudre ce problème, il a été décidé de spécialiser certaines plages d'adresses IP (10.0.0.0/8 ; 172.16.0.0/12 ; 192.168.0.0/16) pour une utilisation privée, celles-ci peuvent donc être utilisées dans chaque foyer. Mais ces adresses locales n'accèdent pas à internet, d'où la mise en place de la NAT et du port forwarding (PAT).
Pour communiquer depuis l'extérieur avec une machine qui se trouve sur votre réseau local, il va donc falloir lui attribuer un numéro de port externe unique. Ainsi, lorsque votre box (routeur) recevra des paquets sur ce port, elle les redirigera vers ladite machine.
Prenons votre IPX800 en exemple
Son interface Web est joignable par défaut sur le port 80.
Il est donc localement possible de contacter ce matériel sur son adresse IP locale http://Adresse_Locale_IPX800:80
==> Sur votre Box, créez une règle NAT pour rediriger le port 8080 externe (par exemple) vers le port 80 de l'adresse IP locale de votre IPX800
Votre IPX800 est désormais joignable par l'une des adresses suivantes
http://mon_adresse_ip_publique:8080
http://mon_sous_domaine.mon_fournisseur:8080
http://mon_domaine_personnel:8080
Créer une redirection de port sur une freebox V6 / Mini 4K / POP
Connectez vous sur l'interface d'administration de votre freebox
Adresse IP fixe V4 full-stack
Avant de commencer, vérifiez que l'option IP fixe V4 full-stack est bien activée sur votre compte client, pour cela, connectez-vous à votre compte
Baux Statiques
Si vous avez paramétré votre IPX800 comme client DHCP, il est toujours possible de paramétrer la Freebox pour qu'elle distribue toujours la même adresse à l'IPX. Cela serait donc comme si vous aviez paramétré l'IPX en adresse statique comme vu plus haut. La différence est que cette méthode simplifie le paramétrage réseau de l'IPX800 (Avantage), mais elle consomme une adresse dans la plage déservie par le DHCP (inconvénient)
Sur la Freebox, transformons un Bail DHCP dynamique, en Bail statique.
Allez dans les Paramètres de la freebox et activez le mode Avancé Lancez l'option DHCP,
puis ouvrez l'onglet Baux actifs
Recherchez votre matériel et faites un clic dessus avec le bouton droit de la souris
Redirections
Entrez dans le menu Paramètres et activez le mode Avancé. Cliquez sur l'icône permettant la gestion des ports.
Ajoutez une nouvelle règle
Créer une redirection de port sur une Livebox (V2 / V4 / PRO V2)
Adresse fixe
Pour faire une redirection de port vers un matériel, il convient de déclarer son adresse statique.
Pour ce faire, paramétrez le matériel en tant que client DHCP ou bien définissez lui une adresse statique, puis connectez le sur le réseau.
ensuite, rendez vous sur l'interface de configuration de la livebox, et ouvrez le panneau "Paramètres avancés" ou "Configuration avancée" en fonction du modèle.
Ouvrez l'onglet DHCP, choisissez le matériel et déclarez son IP statique.
Redirection
Ensuite, dans la configuration NAT/PAT, créez vos redirections de ports.
Autres box Adsl
Pour les autres box, vous pouvez consulter l'assistance sur le site de votre fournisseur. Les rubriques à rechercher sont :
- Assigner une adresse IP statique au matériel
- Créer une règle NAT sur la box
Avantages de la redirection de port
Utilisation très simple. Il suffit de connaître l'adresse IP publique du moment et de se connecter en précisant le port TCP lié au matériel.
Dangers de la redirection de port
Il est nécessaire d'ouvrir autant de ports que de matériels à contacter. Il est nécessaire de mettre une politique musclée de mots de passe, paramétrer les FireWalls. Sur internet, il existe une pléthore d'outils qui scannent les ports ouverts et qui détectent le type de matériel qui se cache derrière. Connaissant les mots de passe par défaut mis en place par le fabricant dudit matériel, le hacker ne manquera pas de tenter de s'y connecter. Il est donc fortement conseillé de changer tous les mots de passe par défaut, régulièrement, sur les matériels accessibles depuis internet (IPX800, EcoDevices, NAS, Caméras, Box, ...)
Web Redirect pour une URL encore plus simple
Généralement les fournisseurs DynDNS offrent la possibilité de créer plusieurs HostNames sur un compte, avec une option bien utile qui permet de rediriger un flux http ou une adresse IPv4 vers un port TCP et/ou UDP. Si vous utilisez cette option, vous aurez la possibilité de créer des HostNames pour chaque appareil de votre réseau local.
Prenons un exemple chez NO-IP
Créons d'abord un nom de domaine sur l'adresse IP publique de notre Box. La box (ou un autre dispositif du réseau local) devra être paramétrée pour mettre l'IP Publique à jour régulièrement (voir plus haut)
Cochez le type DNS HOST (A)
Maintenant, créons une Redirection Web avec le port de notre IPX800
Cochez le type Web Redirect
Notre IPX800 sera alors joignable par l'URL ipx800defgtoul.ddns.net qui la redirigera automatiquement vers le port 8080 de notre adresse publique. La box à son tour redirigera le flux vers le port 80 de l'adresse locale de l'IPX800
Créer un nom d'hôte pointant vers chaque dispositif du réseau local présente un intérêt : celui de ne pas avoir à se rappeler les numéros de ports pour se connecter aux matériels. Vous devrez malgrè tout créer une règle NAT sur votre Box pour chaque dispositif, redirigeant le port que vous avez paramétré pour le hostname de votre DDNS.
Avouez qu'il est plus facile de se connecter avec des URL type
- http://monIPX800.monDomaine.com
- http://MaDomoBox.monDomaine.com
- http://MonServeur.monDomaine.com
au lieu d'avoir à préciser les ports pour chaque dispositifs
- http://MaBox.monDomaine.com:8080
- http://MaBox.monDomaine.com:8081
- http://MaBox.monDomaine.com:8082
Cependant, si pour une raison ou une autre vous devez revoir une ou plusieurs règles NAT ou PAT sur votre box, il faudra penser à aller modifier chaque URL sur votre compte DDNS
Le VPN
Le VPN (Virtual Private Network ou Réseau Privé Virtuel) permet de relier un ou plusieurs dispositifs distants à travers une connexion internet. On parle de tunnel virtuel dans lequel les données sont cryptées.
Pour que la connexion s’établisse, il y a échange de clés entre le serveur et le client. Ils vont échanger des clés (publique puis privée). La clé privée servira à décrypter les données.
La mise en place d’un VPN nécessite l’installation d’un serveur VPN d’une part, et d’un client VPN d'autre part.
Les appareils non connectés à ce réseau n'auront pas accès à l'information.
Il existe beaucoup de sites sur internet qui parlent du VPN, nous n'entrerons pas dans les détails ici.
NB: Dans ce tutoriel, nous n'activerons pas les serveurs VPN avec protocole PPTP, jugé trop peu fiable.
A ce stade, vous devriez avoir un nom de domaine qui permettra de contacter votre serveur VPN depuis l'extérieur même si votre Box a une IP publique dynamique.
Si votre Box est pourvue de la fonction "Serveur VPN", alors le plus simple est de l'activer
Depuis l'extérieur, le PC sur lequel vous avez activé le client VPN prendra une adresse IP distribuée par le serveur VPN (dans le cas où vous avez conservé l'adressage dynamique) et fera partie intégrante de votre réseau domestique (la box devrait remplir la fonction de passerelle VPN). Vous pourrez alors vous connecter indifféremmant à votre IPX800, à votre NAS ou encore à votre EDRT2 en entrant simplement leur adresse locale dans votre navigateur.
Les box avec fonction Serveur VPN : Freebox Révolution (V6), Freebox Mini 4K, Livebox Pro (V2,V3,V4)
Voyez plus bas comment activer le serveur VPN sur votre box adsl et configurer le client.
Si votre Box ne supporte pas la fonction "Serveur VPN",
Si vous voulez vous connecter à votre serveur VPN se trouvant sur votre réseau local, derrière votre Box ou routeur ADSL , une redirection de ports sera nécessaire. Il faudra de plus veiller à ce que votre box (ou routeur) soit "VPN Passthrough", c'est à dire qu'elle devra "laisser passer" le trafic VPN entre le serveur et le client. Il est à noter que certains utilisateurs avaient rencontré des problèmes avec certaines box (notamment la BBOX) . Je ne sais pas si c'est résolu aujourd'hui.
Par exemple, sur les routeurs TP-Link, vous pourriez trouver ce genre de configuration :
Les ports à rediriger pour router les connexions VPN entrantes vers le serveur VPN local: * PPTP utilise le port 1723 en TCP * OpenVPN utilise le port 1194 en UDP * L2TP utilise le port 1701 en UDP. il faut l'ouvrir sur le firewall du NAS, mais ni l'autoriser ni le forwarder sur la box (1) * L2TP/IPSEC utilise les ports 500 et 4500 en UDP. (1) Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP directes. Or certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple) et vont tenter de s'y connecter sans monter le tunnel IPSec. Certes, la connexion fonctionne, mais elle n'est pas cryptée.
Bien entendu, il faudra attribuer une adresse IP fixe à la machine (PC, NAS, ...) qui héberge le serveur VPN (Ex : 192.168.0.110).
Pour accéder aux autres machines de votre réseau domestique (notamment à votre IPX800 ou encore votre EDRT2), je vous conseille fortement l'utilisation d'un serveur OpenVPN.
A l'installation vous serez peut-être amené à devoir choisir entre OpenVPN bridgé ou OpenVPN routé. Dans ce cas, il faudra choisir OpenVPN Bridgé.
Si à l'installation vous ne pouvez pas choisir, alors vous aurez certainement à activer une option sur le serveur VPN
Autoriser aux clients l'accès au LAN
ou Passerelle VPN
Si vous ne souhaitez pas utiliser OpenVPN, il faudra ajouter une route sur votre client, entre votre réseau local (192.168.xxx.0) et votre réseau VPN. Vous pourriez également ajouter l'adresse IP de votre serveur VPN en tant que passerelle sur votre PC, le but étant de faire savoir à votre PC comment joindre les machines de votre réseau local. Certains utilisateurs utilisent même leur box Adsl en passerelle, et non en routeur , puis ajoutent un routeur sous DD-WRT qui offre un firewall solide ainsi qu'un serveur VPN. Il existe trop de cas particuliers, trop de configurations possibles, nous n'irons pas plus loin, vous trouverez d'excellents tutos sur la toile.
Freebox V6 / Mini 4K / POP
Activation du serveur VPN sur une Freebox
Notez qu'à ce jour (Déc 2017), étant donné les problèmes rencontrés pour faire communiquer le serveur OpenVPN de la freebox (OS 3.4.1) avec les clients OpenVPN Androïd ou Windows , je préfère utiliser le protocole IPSec IKEv2 de la Freebox.
IPSec IKEv2
Connectez vous à l'interface d'administration de votre freebox
Entrez dans les paramètres de la Freebox
Ouvrez la configuration du serveur VPN
Créez un utilisateur VPN. Déterminez un mot de passe de niveau élevé. Vous pouvez laisser en adressage dynamique.
Paramétrez le type de VPN. Ici, nous allons paramétrer un VPN en IPsec_IKEv2
Cochez la case "Activer"
Renseignez le nom de l'utilisateur et le mot de passe associé, créés ci-dessus.
Le nom du Serveur et l'ID distant devraient être renseignés par défaut.
Relevez les informations ID / utilisateur/mot de passe
C’est terminé pour la configuration du serveur VPN.
Vous pouvez à tout moment voir qui est connecté à votre VPN Freebox dans le menu « Connexions ».
pensez à relever votre adresse IPv4 dans le menu « État de la Freebox », puis « État Internet »
OpenVPN
OpenVPN Bridgé (TAP)
c’est le mode pont, il va permettre d’accéder depuis l’extérieur au réseau local de la Freebox et à l'IPX800 ou tout autre dispositif. Le client VPN se connecte donc à la Freebox depuis l'extérieur, avec un PC. Ce PC fait alors partie du réseau local de la Freebox
Extrait de l'aide Freebox : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur vous permet de voir les machines du réseau local
Activation du serveur
- cochez la case Activer
- saisissez le numéro de port entrant
- sélectionnez le type de chiffrement à utiliser pour chiffrer la connexion.
- Désactivez la fragmentation si votre Client VPN ne prend pas cette fonctionnalité en charge
- Sélectionnez le protocole. Par défaut (non coché), la freebox privilégie UDP.
- cliquez sur Appliquer pour faire apparaître les paramètres de sécurité
- téléchargez la configuration qui vous servira à configurer votre client
- notez le nom du fichier
OpenVPN Routé (TUN)
c’est le mode qui permet de passer par la Freebox pour aller ensuite sur Internet. Exemple : depuis l'extérieur ou depuis un réseau non sécurisé, il est possible de chiffrer les communications et surfer de manière sécurisée au travers de la Freebox. C'est comme si vous étiez chez vous, c'est l'IP de la Freebox qui est vue.
Extrait de l'aide Freebox : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local.
Il faut activer les deux modes séparément, créer un utilisateur et télécharger le fichier de configuration qu’il faut alors ajouter dans son logiciel client d’OpenVPN pour pouvoir se connecter à la Freebox ; des tutoriaux expliquant comment faire ça.
Pour nous connecter depuis l'extérieur à notre IPX800, c'est le mode OpenVPN Bridgé qu'il faudra activer.
- cochez la case Activer
- saisissez le numéro de port entrant
- sélectionnez le type de chiffrement à utiliser pour chiffrer la connexion.
- Désactivez la fragmentation si votre Client VPN ne prend pas cette fonctionnalité en charge.
- Sélectionnez le protocole. Par défaut (non coché), la freebox privilégie UDP
- cliquez sur Appliquer pour faire apparaître les paramètres de sécurité
- téléchargez la configuration
- notez le nom du fichier
WireGuard
Sur la freebox, ouvrez le menu « Serveur VPN »
Créez un utilisateur spécifique pour le VPN WireGuard.
Allez dans le menu "Utilisateurs" et cliquez sur "Ajouter"
sélectionnez une ip fixe et validez.
Rendez-vous sur l’onglet WireGuard puis activez le protocole.
En face de l’utilisateur que vous avez créé, cliquez sur l’option QR code.
Sur votre téléphone ios ou Android, installez l’application officielle Wireguard
Dans les options de configuration, vous pourrez lire le QR code généré par la freebox, la configuration sera alors simplissime.
Freebox : Se connecter avec un appareil Androïd
IPSec IKEv2
Installez l'application strongSwan à partir du Play Store
- Créez un nouveau profil VPN :
Profile Name : Mon_Profil Server : xxx.freeboxos.fr [votre ID distant relevé précédemment] Type : IKEv2 EAP (Username/Password) Username : [utilisateur de votre VPN] Password : [mot de passe de l'utilisateur VPN] CA certificate : Décochez select automatically Sélectionnez Digital Signature Trust Co. DST Root CA X3 N'allez pas dans les paramètres avancés.
- Sauvegardez
Cliquez sur la connexion que vous venez de créer et connectez vous. Dans le navigateur de votre smartphone, entrez l'adresse locale de votre IPX800.
OpenVPN Routé
Tutoriel proposé par @PatLeHibou
Après installation et lancement de OpenVPN for Android, l’appui sur le bouton + permet d’ajouter un profil de connexion :
En cliquant sur Importer, il faut aller chercher le fichier configuration .ovpn que l’on aura préalablement chargé quelque part sur son téléphone.
L’écran principal présente ensuite la liste des connexions possibles (si tu en as chargé plusieurs) :
Cliquer sur l’une d’elle va demander la première fois le login et le mot de passe que l’on a déclaré coté serveur (Freebox ou autre) et que l’on pourra faire mémoriser dans le téléphone pour ne pas avoir à la resaisir à chaque fois.
Puis la connexion se lance avec un magnifique écran de log très abscons pour les novices :
Mais l’essentiel est qu’une petite clé apparaît en haut de l’écran indiquant qu’on est connecté en VPN.
Freebox : Se connecter avec iOS
L2TP/IPSec
Allez dans « Réglages », puis « Général », puis « VPN », et en enfin « Ajouter une configuration VPN… »
Saisissez les informations suivantes :
description : mettre un descriptif en cas de VPN multiple serveur : correspond à l’ip publique de votre Freebox id. distant : info notée précédemment id. local : le nom d’utilisateur VPN type : mettre sur aucun secret : le mot de passe de votre utilisateur VPN
OpenVPN
Freebox : Se connecter avec OS X / MacOS
L2TP/IPSec
Désolé, rien pour le moment
OpenVPN Routé ou Bridgé
Tutoriel proposé par @PatLeHibou
Pour vous connecter au serveur OpenVPN Routé ou Bridgé, activé sur la Freebox, installez le logiciel Tunnelblick que vous pouvez télécharger ici
Procédez à l'installation.
Après installation de Tunnelblick, téléchargez le fichier "Config_OpenVPN_xxxx.ovpn" généré sur la freebox.
Ensuite, il suffit de double-cliquer sur ce fichier pour que Tunnelblick propose l'installation pour tous les utilisateurs ou vous seulement :
Modifiant la configuration réseau du système, il faut vous authentifier en tant qu’administrateur :
Et si tout se passe bien, vous recevez le message de réussite :
L’interface de Tunnelblick :
Cliquez sur “Connecter”. La première fois, vous devrez vous authentifier avec le nom et le mot de passe renseigné dans la Freebox pour les utilisateurs VPN:
Cela ne vous sera pas redemandé, si vous cochez les cases “Enregistrer dans le Trousseau d’accès”.
Freebox : Se connecter avec un PC sous Windows
L2TP/IPSec
A partir de Windows 7, le VPN IPSec IKEv2 est natif.
Lancez le "centre Réseau et Partages"
Configurez une nouvelle connexion
Sélectionnez le type de connexion et faites [Suivant]
Sélectionnez le mode de Connexion
Renseignez l'ID distant que vous avez noté précédemment et faites [Suivant]
Renseignez l'utilisateur et son mot de passe, créés précédemment sur la Freebox
Connectez le VPN
OpenVPN
Personnellement j'ai rencontré de nombreux déboires pendant le test d'OpenVPN sur différents PC avec des versions différentes de Windows. Je préfère utiliser le protocole IPSec IKEv2 natif de Windows.
Malgré tout, voici une méthode qui devrait fonctionner pour une majorité d'entre vous si votre PC est en version 7 ou ultérieure,
Téléchargez la dernière version du client ici Faites l'installation avec les paramètres par défaut en veillant à ce qu'il installe bien l'interface réseau virtuelle (TAP) et l'interface (GUI)
Lancez OpenVPN GUI en tant qu'administrateur (clic droit sur son raccourci bureau puis "Exécuter en tant qu'administrateur").
Dans le SysTray, cliquez avec le bouton droit sur l'icône d'OpenVPN, choisissez l'option "Importer..."
Importez le fichier de configuration généré par la freebox.
Refaites un clic droit sur l'icône OpenVPN GUI du systray et choisissez l'option "Connecter" Saisissez le code utilisateur VPN et mot de passe que vous avez défini sur la Freebox.
l'icône de OpenVPN devrait devenir verte.
Livebox Pro (V2 / V3 / V4)
Activation du serveur VPN
Connectez vous sur l'interface de configuration de votre livebox. Pour simplifier la connexion à distance, nous utiliserons le logiciel client VPN Orange (SHREW).
L2TP/IPSec
Dans les paramètres avancés, activez l'onglet VPN et sélectionnez le serveur IPSEC pour utilisateurs nomades
Dans la rubrique Groupes, cliquez sur Ajouter.
Dans la fenêtre qui apparaît, saisissez les paramètres. Sélectionnez le logiciel VPN Shrew.
Le champ Clef partagée est un code choisi librement. Il servira lors de l'installation du logiciel Shrew.
Activez le groupe et ajoutez un utilisateur
Renseignez le nom de l'utilisateur et créez un mot de passe. Sélectionnez le groupe que vous avez créé précédemment. Activez l'utilisateur et sauvegardez.
Votre Livebox pro est maintenant configurée en tant que serveur VPN. Afin que les utilisateurs distants y aient accès, il est désormais nécessaire d’installer le logiciel VPN Orange sur leurs ordinateurs. Si vous voulez accroître la sécurité de votre réseau, vous pouvez paramétrer votre firewall.
OpenVPN
Livebox pro : se connecter avec un PC windows
L2TP/IPSec
Sur les PC, vous devez installer le logiciel VPN Orange Shrew
Rendez vous sur la page du support Orange, suivez les instructions.
OpenVPN
Livebox pro : se connecter avec iOS
Livebox pro : se connecter avec MacOS
Synology
Activation du serveur VPN
VPN Server propose une solution VPN simple qui transforme votre produit Synology en un serveur VPN, offrant une méthode sûre de connexion à un LAN privé sur un emplacement distant. Tous les services PPTP, OpenVPN et L2TP/IPSec sont pris en charge. Dans le centre de paquets, installez VPN Server
NB : Si vous avez activé le Firewall sur le Synology, vous pouvez avoir une notification Décochez le port 1723. Nous n'utiliserons pas le protocole PPTP.
Si vous devez paramétrer le Firewall manuellement, voici les ports à ouvrir.
Sur mon Syno, je gère le firewall pour toutes les interfaces réseaux (je n'en ai qu'une :D). Si vous devez gérer par interface, vous devrez adapter votre paramétrage.
En fonction des protocoles VPN que vous utiliserez, voici la liste des ports à autoriser : OpenVPN : 1194 UDP L2TP/IPsec : 500 UDP et 4500 UDP L2TP/IPsec : 1701 UDP Attention : nous autorisons le port 1701 sur le Synology pour les connexions entrantes, mais nous ne le forwardons sous aucun prétexte sur la box ou le routeur ou la box. En fonction du client voulant se connecter, la connexion pourrait ne pas être cryptée (ouverture sur le Synology du L2TP sans le tunnel IPSec). En terme de performances, préférez UDP à TCP.
Les 3 premières règles me servent à débrider le firewall sur mes réseaux privés. Au moins, lorsque je suis en local, le firewall ne me bloque jamais. Par contre, ces 3 plages étant privées, elles ne s'appliqueront jamais à une connexion en provenance d'Internet. Vous pouvez les copier chez vous sans risque.
NB : Sur votre box ou Routeur, il faudra créer une règle NAT/PAT pour rediriger les ports nécessaires aux protocoles activés OpenVPN : 1194 UDP L2TP/IPSec : 500 / 4500 /
Après installation, exécutez le paquet VPN Server.
Dans l'onglet Vue générale, vous pouvez vérifier l'état des 3 protocoles disponibles
Dans l'onglet Paramètres Généraux, vérifiez vos paramètres. Choisissez l'interface réseau au besoin et les utilisateurs.
Choisissez les Utilisateurs Locaux sauf si vous avez un LDAP.
J'ai laissé la coche par défaut pour autoriser l'application des privilèges à tous les utilisateurs,vous pouvez décocher et autoriser manuellement par la suite si vous préférez...
Si vous avez autorisé tous les utilisateurs par défaut, tous les droits VPN sont octroyés. Décochez les droits si besoin.
Activation de OpenVPN
- Activez OpenVPN, Notez l'adresse IP du serveur. Normalement vous pouvez la laisser par défaut, sauf si votre réseau local est sur la même plage.
Important : Avant de renseigner l'adresse IP dynamique du serveur VPN Les adresses IP dynamiques doivent être comprises dans les plages suivantes : De « 10.0.0.0 » à « 10.255.255.0 » De « 172.16.0.0 » à « 172.31.255.0 » De « 192.168.0.0 » à « 192.168.255.0 » L'adresse IP dynamique spécifiée d'un serveur VPN et les adresses IP virtuelles attribuées aux clients VPN ne doivent jamais entrer en conflit avec les adresses IP utilisées par votre réseau local. Si vous utilisez plusieurs serveurs VPN (L2TP/IPSec, OpenVPN, ...), renseignez des plages différentes pour chacun d'eux.
- Laissez le port 1194 par défaut et sélectionnez le protocole UDP.
- Sélectionnez un mode de cryptage.
- Autorisez l'accès au LAN du serveur par les clients
- Pour finir, Exportez la configuration, vous en aurez besoin pour la connexion des clients.
Comme indiqué dans le README.txt, il faut éditer le fichier de configuration avant de l'importer, les lignes importantes sont :
remote YOUR_SERVER_IP 1194 il faut remplacer YOUR_SERVER_IP par l'adresse IP publique de votre Box. Si vous avez un nom de domaine, vous pouvez le renseigner à la place de l'IP.
Activation de L2TP/IPSec
L2TP sur IPSec est un assemblage de 2 protocoles de tunnel. Le client va créer un premier tunnel sécurisé par IPSec puis un second tunnel L2TP à l'intérieur.
IPSec : protocole qui assure une connexion chiffrée L2TP : protocole qui gère l'authentification et le transport non chiffré des données.
Important : Avant de renseigner l'adresse IP dynamique du serveur VPN Les adresses IP dynamiques doivent être comprises dans les plages suivantes : De « 10.0.0.0 » à « 10.255.255.0 » De « 172.16.0.0 » à « 172.31.255.0 » De « 192.168.0.0 » à « 192.168.255.0 » L'adresse IP dynamique spécifiée d'un serveur VPN et les adresses IP virtuelles attribuées aux clients VPN ne doivent jamais entrer en conflit avec les adresses IP utilisées par votre réseau local. Si vous utilisez plusieurs serveurs VPN (L2TP/IPSec, OpenVPN, ...), renseignez des plages différentes pour chacun d'eux.
Choisissez une des options suivantes dans le menu déroulant Autentification pour authentifier les clients VPN :
PAP: Le mot de passe des clients VPN n'est pas crypté lors de l'authentification. MS-CHAP v2 : Le mot de passe des clients VPN est crypté lors de l'authentification à l'aide de Microsoft CHAP version 2.
SYNO : Connexion à partir d'un client Androïd
OpenVPN
plusieurs applications pour Android. A vous de choisir
Application officielle
Sur le smartphone, installez le logiciel OpenVPN Connect à partir de Google Play.
Décompressez puis copiez la configuration OpenVPN générée à partir du Synology, sur la carte SD du téléphone.
Importez le fichier qui porte l'extension .opnvpn par l'option "import Profile from SD card"
Renseignez l'utilisateur et le mot de passe comme pour accéder au Synology.
Cliquez sur Connect pour finir.
L2TP/IPSec
SYNO : Connexion à partir d'un iPhone
OpenVPN
L2TP/IPSec
SYNO : Connexion à partir d'un PC ou d'un Mac
Plus loin avec le Reverse Proxy
Pour ceux qui s'intéressent aux Reverse Proxies, voici un lien proposé par @Captainigloo :
Je n'ai pas testé.
OpenWRT
Les utilisateurs avertis qui n'ont pas la chance de disposer d'un matériel permettant d'héberger un serveur VPN sur leur réseau, peuvent créer un serveur VPN grâce à l'OS open source nommé OpenWRT. Cet OS permet la création de serveur OpenVPN ou WireGuard. Il existe de nombreux tutoriels sur la toile.
Plus simplement, il suffit de s'équiper d'un routeur OpenWRT du commerce, il en existe à tous les prix.
Pour un prix abordable, il y a par exemple la GL-MT2500(A)
Elle est à la fois serveur VPN (OpenVPN et WireGuard) et Client VPN (protonVPN, SurfShark, NordVPN, ...)
Cela permet d'accéder à votre IPX800 depuis l'extérieur tout en surfant de manière sécurisée sur le Net.
Remerciements
je tiens à remercier @Kevin_GCE et @Jweb pour leur aide, leurs relectures et leurs suggestions autant sur le contenu que sur la forme.
Je tiens également à remercier @PatLeHibou pour ses 2 tutoriels concernant OpenVPN sur MacOS et Androïd.