Différences entre les versions de « Connexion distante »
Ligne 198 : | Ligne 198 : | ||
===Activation du serveur VPN sur une Freebox révolution (V6)=== | ===Activation du serveur VPN sur une Freebox révolution (V6)=== | ||
====IPSec IKEv2==== | |||
Connectez vous à [http://mafreebox.freebox.fr l'interface d'administration de votre freebox] | Connectez vous à [http://mafreebox.freebox.fr l'interface d'administration de votre freebox] | ||
Ligne 236 : | Ligne 237 : | ||
'''pensez à relever votre adresse IPv4 dans le menu « État de la Freebox », puis « État Internet »''' | '''pensez à relever votre adresse IPv4 dans le menu « État de la Freebox », puis « État Internet »''' | ||
====OpenVPN==== | |||
- '''OpenVPN Bridgé :''' c’est le mode pont. il va permettre d’accéder depuis l’extérieur au réseau local de la Freebox et à l'IPX800 ou tout autre dispositif. | |||
Le client VPN se connecte donc à la Freebox depuis l'extérieur, avec un PC. Ce PC fait alors partie du réseau local de la Freebox | |||
'''Extrait de l'aide Freebox''' : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur vous permet de voir les machines du réseau local | |||
- '''OpenVPN Routé :''' c’est le mode qui permet de passer par la Freebox pour aller ensuite sur Internet. | |||
Exemple : depuis l'extérieur ou depuis un réseau non sécurisé, il est possible de chiffrer les communications et surfer de manière sécurisée au travers de la Freebox. C'est comme si vous étiez chez vous, c'est l'IP de la Freebox qui est vue. | |||
'''Extrait de l'aide Freebox :''' ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local. | |||
Il faut activer les deux modes séparément, créer un utilisateur et télécharger le fichier de configuration qu’il faut alors ajouter dans son logiciel client d’OpenVPN pour pouvoir se connecter à la Freebox ; des tutoriaux expliquant comment faire ça. | |||
Pour nous connecter depuis l'extérieur à notre IPX800, c'est le mode OpenVPN Bridgé qu'il faudra activer. | |||
===Freebox : Se connecter avec un appareil Androïd=== | ===Freebox : Se connecter avec un appareil Androïd=== |
Version du 16 décembre 2017 à 11:08
Présentation
| |||
---|---|---|---|
Nom | Connexion distante | ||
Famille | Réseau | ||
Wiki créé le | 13/12/2017 | ||
Wiki mis à jour le | 14/12/2017 |
Se connecter à distance sur son réseau n'est pas chose facile.
En fonction du fournisseur internet et également de la configuration du réseau local, plusieurs possibilités sont offertes.
Bien sûr, il est possible d'avoir un PC allumé H24, sur lequel un logiciel de prise de main à distance sera installé,
Mais nous verrons ici les méthodes
- par redirection de port
- le VPN
sur des réseaux domestiques. Les réseaux complexes d'entreprise ne seront pas abordés.
Pré-requis
Pour se connecter depuis l'extérieur sur son réseau domestique, il est impératif de connaitre son adresse publique ou avoir un nom de domaine.
L'adresse publique est communiquée par le Fournisseur d'Accès Internet (FAI). Selon les abonnements, celle-ci peut être soit fixe, soit dynamique.
Bénéficier d'une IP fixe simplifie grandement la connexion à distance car elle est fournie par le FAI pour toute la durée de l'abonnement. Vu de l'extérieur, l'adresse du réseau ne change donc jamais.
Par contre, l'IP dynamique complique un peu la tâche : la durée d'un bail DHCP chez nos FAI est souvent de 24h, cela signifie que notre adresse publique est susceptible de changer toutes les 24h. Il est donc impossible, depuis l'extérieur, de se connecter chez soi, sans aller auparavant relever l'adresse publique actuelle de notre box.
Supposons que vous êtes absent de chez vous, mais que vous voulez vous connecter à votre IPX800. Il vous faut votre IP publique. Pour cela, vous devrez, au choix
- vous rendre sur le site internet du FAI et consulter votre compte abonné,
- lancer une application sur votre smartphone (application généralement fournie par le FAI (freebox compagnon, Ma Livebox, etc. ).
Heureusement, il existe des services (appelés DynDNS ou DDNS) qui permettent d'attribuer un nom de domaine sous-domaineà une adresse IP dynamique. La plupart proposent des noms de sous-domaines gratuits.
Cas de l'adresse IP Publique fixe
Relevez votre adresse IP publique sur la console d'administration de votre compte FAI ou sur votre Box.
Si vous ne trouvez pas votre adresse IP : Connectez un PC au même réseau que votre box et rendez vous sur un site comme www.mon-ip.com qui vous l'affichera.
Cas de l'adresse IP Publique dynamique
Les services DynDNS
Pour vous permettre d'accéder à distance à votre réseau et donc à votre IPX800, il faut créer un compte DynDNS afin d'obtenir un nom de sous-domaine lié à votre adresse publique.
Voici quelques fournisseurs de noms de domaines dynamiques
Lorsque vous créez un compte chez l'un de ces fournisseurs, votre adresse IP publique est automatiquement détectée.
Mais retourner sur cette page et mettre l'IP à jour à chaque changement, ce n'est pas cool, et encore faut-il constater que l'adresse a changé. Heureusement les box et quelques autres dispositifs (dont l'IPX800) sont capables de mettre l'adresse à jour régulièrement sur votre compte DynDNS.
L'IPX800 et DynDNS
Après avoir créé un compte auprès de l'un des fournisseurs de noms de domaines dynamiques, renseignez l'IPX800. Allez dans le menu Réseau, puis DNS Dynamique
Renseignez les champs suivants :
- le service DDNS,
- le nom d'utilisateur de votre compte DDNS,
- le mot de passe de votre compte DDNS,
- le nom host configuré dans le compte DDNS.
La Livebox (V2 / V4 / PRO V2) et DynDNS
Les noms de domaines proposés par les fabricants
Certains fabricants de matériels (NAS, Routeurs, ...) ou FAI (Free, ...) proposent leur propre service DDNS gratuit et permettent donc d'obtenir gratuitement et sans effort un nom de domaine personnalisé qui pointe vers votre adresse IP publique. Vérifiez sur votre réseau si l'un de vos dispositifs le permet.
Obtenir un nom de domaine avec un NAS Synology
Ouvrez le panneau de configuration, puis ouvrez le panneau Accès Externe. Dans l'onglet DDNS, ajoutez un nom de domaine et sélectionnez le fournisseur Synology.
Obtenir un nom de domaine avec la freebox V6 ou Mini 4K
Les freebox V6 et Mini 4K permettent de paramétrer un compte DNS dynamique (NO-IP / DynDNS / OVH ). Vous pourriez paramétrer la freebox en client DynDNS si vous aviez déjà un compte et un nom de domaine.
Mais depuis la version 3.3 de leur OS, ces box vous permettent de créer simplement des noms de domaines personnalisés et gratuits.
Pas besoin de passer par les services cités au dessus.
Allez sur l'interface de votre freebox et ouvrez les paramètres.
Cliquez sur l'option "Nom de domaine"
Suivez les instructions et créez votre nom de domaine.
La redirection de ports
A ce stade, vous devez avoir un nom de domaine ou une adresse IP fixe.
Les box ADSL offrent généralement la possibilité de configurer des redirections de ports (règle NAT), ce qui permet de se connecter à des dispositifs domestiques depuis l'extérieur. Cela permet de rediriger toutes les informations en provenance d'internet sur un port donné (port externe) vers une adresse IP locale. Le matériel devient alors accessible via l'adresse suivante
http://Mon_Adresse_publique:port_externe
ou
http://mon_nom_de_domaine:port_externe
Prenons notre IPX800 en exemple
Son interface Web est joignable par défaut sur le port 80.
Il est donc localement possible de contacter ce matériel sur son adresse IP locale http://Adresse_Locale_IPX800:80
==> Sur notre Box, créons une règle NAT pour rediriger le port 8080 externe (par exemple) au port 80 de l'adresse IP locale de notre IPX800
L'IPX800 pourra désormais être contactée depuis l'extérieur, à l'adresse http://Mon_Adresse_publique:8080
Créer une règle NAT sur une freebox V6 ou Mini 4K
Connectez vous sur l'interface d'administration de votre freebox
Entrez dans le menu Paramètres et activés le mode Avancé. Cliquez sur l'icône permettant la gestion des ports.
Ajoutez une nouvelle règle
Créer une règle NAT sur une Livebox (V2 / V4 / PRO V2)
Pour faire une redirection de port vers un matériel, il convient de rendre son adresse statique.
Pour ce faire, paramétrez le matériel en tant que client DHCP ou bien définissez lui une adresse statique, puis connectez le sur le réseau.
ensuite, rendez vous sur l'interface de configuration de la livebox, et ouvrez le panneau "Paramètres avancés" ou "Configuration avancée" en fonction du modèle.
Ouvrez l'onglet DHCP, choisissez le matériel et renseignez une IP statique.
Ensuite, dans la configuration NAT/PAT, créez vos redirections de ports.
Autres box Adsl
Pour les autres box, vous pouvez consulter l'assistance sur le site de votre fournisseur. Les rubriques à rechercher sont :
- Assigner une adresse IP statique au matériel
- Créer une règle NAT sur la box
Avantages de la redirection de port
Utilisation très simple. Il suffit de connaître l'adresse IP publique du moment et de se connecter en précisant le port TCP lié au matériel.
Inconvénients de la redirection de port
Il est nécessaire d'ouvrir autant de ports que de matériels à contacter. Il est nécessaire de mettre une politique musclée de mots de passe, paramétrer les FireWalls. Sur internet, il existe une pléthore d'outils qui scannent les ports ouverts et qui détectent le type de matériel qui se cache derrière. Connaissant les mots de passe par défaut mis en place par le fabricant dudit matériel, le hacker ne manquera pas de tenter de s'y connecter. Il est donc fortement conseillé de changer tous les mots de passe par défaut sur les matériels ayant accès à internet (IPX800, EDRT, NAS, Caméras, Box, ...)
Le VPN
Le VPN (Virtual Private Network ou Réseau Privé Virtuel) permet de relier un ou plusieurs dispositifs distants à travers une connexion internet. On parle de tunnel virtuel dans lequel les données sont cryptées. Pour que la connexion s’établisse, il y a échange de clés entre le serveur et le client. Ils vont échanger des clés (publique puis privée). La clé privée servira à décrypter les données.
La mise en place d’un VPN nécessite l’installation d’un serveur VPN d’une part, et d’un client VPN d'autre part.
Les appareils non connectés à ce réseau n'auront pas accès à l'information.
Il existe beaucoup de sites sur internet qui parlent du VPN, nous n'entrerons pas dans les détails ici.
Freebox V6 / Mini 4K
Activation du serveur VPN sur une Freebox révolution (V6)
IPSec IKEv2
Connectez vous à l'interface d'administration de votre freebox
Entrez dans les paramètres de la Freebox
Ouvrez la configuration du serveur VPN
Créez un utilisateur VPN. Déterminez un mot de passe de niveau élevé. Vous pouvez laisser en adressage dynamique.
Paramétrez le type de VPN. Ici, nous allons paramétrer un VPN en IPsec_IKEv2 Certains utilisateurs ont testé ce protocole avec
- iOS 8 : incompatible
- iOS 9 et 10 : compatible
- Win 7 + : compatible
Cochez la case "Activer"
Renseignez le nom de l'utilisateur et le mot de passe associé, créés ci-dessus.
Le nom du Serveur et l'ID distant devraient être renseignés par défaut.
Relevez les informations ID / utilisateur/mot de passe
C’est terminé pour la configuration du serveur VPN.
Vous pouvez à tout moment voir qui est connecté à votre VPN Freebox dans le menu « Connexions ».
pensez à relever votre adresse IPv4 dans le menu « État de la Freebox », puis « État Internet »
OpenVPN
- OpenVPN Bridgé : c’est le mode pont. il va permettre d’accéder depuis l’extérieur au réseau local de la Freebox et à l'IPX800 ou tout autre dispositif. Le client VPN se connecte donc à la Freebox depuis l'extérieur, avec un PC. Ce PC fait alors partie du réseau local de la Freebox
Extrait de l'aide Freebox : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur vous permet de voir les machines du réseau local
- OpenVPN Routé : c’est le mode qui permet de passer par la Freebox pour aller ensuite sur Internet. Exemple : depuis l'extérieur ou depuis un réseau non sécurisé, il est possible de chiffrer les communications et surfer de manière sécurisée au travers de la Freebox. C'est comme si vous étiez chez vous, c'est l'IP de la Freebox qui est vue.
Extrait de l'aide Freebox : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local.
Il faut activer les deux modes séparément, créer un utilisateur et télécharger le fichier de configuration qu’il faut alors ajouter dans son logiciel client d’OpenVPN pour pouvoir se connecter à la Freebox ; des tutoriaux expliquant comment faire ça.
Pour nous connecter depuis l'extérieur à notre IPX800, c'est le mode OpenVPN Bridgé qu'il faudra activer.
Freebox : Se connecter avec un appareil Androïd
Installez l'application strongSwan à partir du Play Store
Créez un nouveau profil VPN :
Profile Name : Mon_Profil Server : xxx.freeboxos.fr [votre ID distant relevé précédemment] Type : IKEv2 EAP (Username/Password) Username : [utilisateur de votre VPN] Password : [mot de passe de l'utilisateur VPN] CA certificate : Décochez select automatically Sélectionnez Digital Signature Trust Co. DST Root CA X3 N'allez pas dans les paramètres avancés. Sauvegardez
Cliquez sur la connexion que vous venez de créer et connectez vous. Dans le navigateur de votre smartphone, entrez l'adresse locale de votre IPX800.
Freebox : Se connecter avec un iPhone
Allez dans « Réglages », puis « Général », puis « VPN », et en enfin « Ajouter une configuration VPN… »
Saisissez les informations suivantes :
desciption : mettre un descriptif en cas de VPN multiple serveur : correspond à l’ip publique de votre Freebox id. distant : info notée précédemment id. local : le nom d’utilisateur VPN type : mettre sur aucun secret : le mot de passe de votre utilisateur VPN
Freebox : Se connecter avec un PC sous Windows
A partir de Windows 7, le VPN IKEv2 est natif.
Lancez le "centre Réseau et Partages"
Configurez une nouvelle connexion
Sélectionnez le type de connexion et faites [Suivant]
Sélectionnez le mode de Connexion
Renseignez l'ID distant que vous avez noté précédemment et faites [Suivant]
Renseignez l'utilisateur et son mot de passe, créés précédemment sur la Freebox
Livebox Pro (V2 / V3 / V4)
Activation du serveur VPN
Connectez vous sur l'interface de configuration de votre livebox. Pour simplifier la connexion à distance, nous utiliserons le logiciel client VPN Orange (SHREW).
Dans les paramètres avancés, activez l'onglet VPN et sélectionnez le serveur IPSEC pour utilisateurs nomades
Dans la rubrique Groupes, cliquez sur Ajouter.
Dans la fenêtre qui apparaît, saisissez les paramètres. Sélectionnez le logiciel VPN Shrew.
Le champ Clef partagée est un code choisi librement. Il servira lors de l'installation du logiciel Shrew.
Activez le groupe et ajoutez un utilisateur
Renseignez le nom de l'utilisateur et créez un mot de passe. Sélectionnez le groupe que vous avez créé précédemment. Activez l'utilisateur et sauvegardez.
Votre Livebox pro est maintenant configurée en tant que serveur VPN. Afin que les utilisateurs distants y aient accès, il est désormais nécessaire d’installer le logiciel VPN Orange sur leurs ordinateurs. Si vous voulez accroître la sécurité de votre réseau, vous pouvez paramétrer votre firewall.
Connexion avec un PC windows
Sur les PC, vous devez installer le logiciel VPN Orange Shrew
Rendez vous sur la page du support Orange, suivez les instructions.