Différences entre les versions de « Connexion distante »

De GCE Electronics
Aller à la navigation Aller à la recherche
Ligne 285 : Ligne 285 :
Bien entendu, il faudra attribuer une adresse IP fixe à la machine (PC, NAS, ...) qui héberge le serveur VPN (Ex : 192.168.0.110).
Bien entendu, il faudra attribuer une adresse IP fixe à la machine (PC, NAS, ...) qui héberge le serveur VPN (Ex : 192.168.0.110).


'''Pour accéder aux autres machines de votre réseau domestique (notamment à votre IPX800 ou encore votre EDRT2), pensez à ajouter l'adresse locale du serveur VPN en tant que passerelle sur votre PC client VPN. Sinon, vous ne pourrez voir que le serveur VPN (NAS dans notre cas)'''
 
 
'''Pour accéder aux autres machines de votre réseau domestique (notamment à votre IPX800 ou encore votre EDRT2), je vous conseille fortement l'utilisation d'un serveur OpenVPN.
A l'installation vous serez peut-être amené à devoir choisir entre ''OpenVPN bridgé'' ou ''OpenVPN routé''. Dans ce cas, il faudra choisir OpenVPN Bridgé.
Si à l'installation vous ne pouvez-pas choisir, alors vous aurez certainement à activer une option sur le serveur VPN
* Autoriser aux clients l'accès au LAN
ou
* Passerelle VPN
 
'''





Version du 18 décembre 2017 à 09:46

Présentation

Connexion distante

ConnexionDistante.png
Nom Connexion distante
Famille Réseau
Wiki créé le 13/12/2017
Wiki mis à jour le 14/12/2017


Se connecter à distance sur son réseau n'est pas chose facile. En fonction du fournisseur internet et également de la configuration du réseau local, plusieurs possibilités sont offertes.

Bien sûr, il est possible d'avoir un PC allumé H24, sur lequel un logiciel de prise de main à distance sera installé,

Mais nous verrons ici les méthodes

  • par redirection de port
  • le VPN

sur des réseaux domestiques. Les réseaux complexes d'entreprise ne seront pas abordés.

Pré-requis

Avant de pouvoir se connecter à distance, il est nécessaire de répondre à quelques questions essentielles.

Votre connexion ADSL dispose d'une adresse IP fixe ou dynamique ?

L'adresse publique est communiquée par le Fournisseur d'Accès Internet (FAI). Selon les abonnements, celle-ci peut être soit fixe, soit dynamique.

Bénéficier d'une IP fixe simplifie grandement la connexion à distance car elle est fournie par le FAI pour toute la durée de l'abonnement. Vue de l'extérieur, l'adresse du réseau ne change donc jamais.

Par contre, l'IP dynamique complique un peu la tâche : la durée d'un bail DHCP chez nos FAI est souvent de 24h, cela signifie que notre adresse publique est susceptible de changer toutes les 24h. Il est donc impossible, depuis l'extérieur, de se connecter chez soi, sans aller auparavant relever l'adresse publique actuelle de notre box.

Relevez votre adresse IP publique sur la console d'administration de votre compte FAI ou sur votre Box.
Si vous ne trouvez pas votre adresse IP :
Connectez un PC au même réseau que votre box et rendez vous sur un site comme www.mon-ip.com qui vous l'affichera.

Votre IPX800 dispose-t'elle d'une adresse IP fixe ?

Connectez vous à l'IPX et ouvrez le menu de cnfiguration du réseau

IPX800 V4 : Menu Administrateur / Réseau / Paramètres

IPX800 V3 : Lan Settings

Il est préférable de désactiver le mode DHCP et d'attribuer une adresse fixe à l'IPX800.

Si vous voulez utiliser l'adresse IP locale qui a déjà été attribuée par le serveur DHCP, pensez à paramétrer votre box pour qu'elle ne réattribue pas la même.

Quelle URL voulez-vous pour accéder à votre IPX800

Vous ne pourrez accéder à votre IPX800 avec une URL du type http://mon_adresse_ip_publique uniquement si votre adresse publique est fixe.

Si c'est le cas, vous n'êtes pas obligé de paramétrer un service DynDNS, sauf si vous trouvez qu'entrer un nom de domaine dans votre navigateur est plus simple pour vous. Dans ce cas, vous auriez une adresse du type http://mon_nom_de_domaine.

Si votre adresse de connexion est dynamique, deux solutions s'offrent à vous.

  • la solution la plus simple consiste à créer un compte chez un fournisseur de nom de sous-domaine.

Lorsque vous créez un compte chez l'un de ces fournisseurs, votre adresse IP publique est automatiquement détectée. Mais retourner sur cette page et mettre l'IP à jour à chaque changement, ce n'est pas cool, et encore faut-il constater que l'adresse a changé.

Heureusement les box et quelques autres dispositifs (dont l'IPX800) sont capables de mettre l'adresse à jour régulièrement sur votre compte DynDNS, NO-IP ou autre.

Voici quelques fournisseurs de noms de domaines dynamiques

NO-IP
  
DynDns
  
DtDNS
  
ChangeIP
  
GNUDIP

DNS-O-MATIC

OVH
 

La plupart de ces services sont gratuits et vous permettent d'obtenir un sous-domaine. Cela signifie que l'URL résultante dépendra du fournisseur choisi.

Elle sera du type http://mon_sous_domaine.mon_fournisseur

L'IPX800 et DynDNS

Si votre box ADSL est déjà paramétrée en client DynDNS, vous n'avez pas besoin (sauf cas particuliers) de configurer le DynDNS de l'IPX800.

Sur l'IPX800 V4, Allez dans le menu Réseau, puis DNS Dynamique

Paramétrage DNS

Pour l'IPX800 V3, allez dans le menu DynDNS

Configuration d'un serveur DynDNS

La Livebox (V2 / V4 / PRO V2) et DynDNS

Livebox 2

Livebox 4

Livebox Pro V2

Les noms de domaines proposés par les fabricants ou les FAI

Certains fabricants de matériels (NAS, Routeurs, ...) ou FAI (Free, ...) proposent leur propre service DDNS gratuit et permettent donc d'obtenir gratuitement et sans effort un nom de domaine personnalisé qui pointe vers votre adresse IP publique. Vérifiez sur votre réseau si l'un de vos dispositifs le permet.

Un sous-domaine gratuit chez Free

Les freebox V6 et Mini 4K permettent de paramétrer un compte DNS dynamique (NO-IP / DynDNS / OVH ). Vous pourriez paramétrer la freebox en client DynDNS si vous aviez déjà un compte et un nom de domaine.

Mais depuis la version 3.3 de FreeboxOS, il est à noter que Free propose également un sous-domaine gratuit de freeboxos.fr.

Pas besoin de passer par les services cités au dessus.

Allez sur l'interface de votre freebox et ouvrez les paramètres.

Cliquez sur l'option "Nom de domaine"

VPN Domaine fbx.PNG

Suivez les instructions et créez votre nom de domaine.

un sous-domaine gratuit chez Synology

Synology vous propose un sous-domaine en Synology.me.

Ouvrez le panneau de configuration, puis ouvrez le panneau Accès Externe. Dans l'onglet DDNS, ajoutez un nom de domaine et sélectionnez le fournisseur Synology.


VPN DDNS Syno2.PNG


  • la seconde solution n'est pas gratuite mais vous permet d'obtenir un nom de domaine entièrement personnalisable du genre http://mon_domaine_personnel

Chez les fournisseurs ci-dessus, vous pouvez choisir une de leurs solutions payantes. Mais la mise en oeuvre chez vous sera un peu plus complexe.

La redirection de ports

A ce stade, vous devez avoir un nom de domaine ou une adresse IP fixe. Vous avez donc la possibilité d'accéder à votre box Adsl depuis l'extérieur, en entrant dans votre vavigateur l'une des 3 possibilités suivantes

  • http://mon_adresse_ip_publique (exemple : http://88.123.234.213.132)
  • http://mon_sous_domaine.mon_fournisseur (exemple : http://mon_domaine.dyndns.com)
  • http://mon_domaine_personnel (exemple http://gce-electronics.com)

Mais ces 3 adresses ne permettent pas de communiquer avec le matériel qui se trouve sur le réseau local de la box. Si vous entrez l'une de ces 3 adresses dans votre navigateur, il ne devrait rien se passer, la box ignore les requêtes. Si tous nos périphériques réseaux avaient une adresse IP publique, le problème serait résolu. Mais ce n'est pas le cas. La pénurie d'adresses IP s'est vite fait sentir. Afin de résoudre ce problème, il a été décidé de spécialiser certaines plages d'adresses IP (10.0.0.0/8 ; 172.16.0.0/12 ; 192.168.0.0/16) pour une utilisation privée, celles-ci peuvent donc être utilisées dans chaque foyer, normalement sans risque de conflit. Mais ces adresses locales n'accèdent pas à internet, d'où la mise en place de la NAT et du port forwarding.

Pour communiquer avec une machine qui se trouve sur votre réseau local, il va donc falloir lui attribuer un numéro de port externe unique. Ainsi, lorsque votre box (routeur) recevra des paquets vers ce port externe, elle les redirigera vers ladite machine.

Prenons votre IPX800 en exemple

Son interface Web est joignable par défaut sur le port 80.

Il est donc localement possible de contacter ce matériel sur son adresse IP locale http://Adresse_Locale_IPX800:80

==> Sur notre Box, créez une règle NAT pour rediriger le port 8080 externe (par exemple) vers le port 80 de l'adresse IP locale de votre IPX800

Elle est désormais joignable par l'une des adresses suivantes

  • http://mon_adresse_ip_publique:8080
  • http://mon_sous_domaine.mon_fournisseur:8080
  • http://mon_domaine_personnel:8080

Créer une redirection de port sur une freebox V6 ou Mini 4K

Connectez vous sur l'interface d'administration de votre freebox

Entrez dans le menu Paramètres et activés le mode Avancé. Cliquez sur l'icône permettant la gestion des ports.

VPN freeboxV6 ports.png

Ajoutez une nouvelle règle

VPN NAT freeboxV6 2.png


VPN NAT fbx.png

Créer une redirection de port sur une Livebox (V2 / V4 / PRO V2)

Pour faire une redirection de port vers un matériel, il convient de rendre son adresse statique.

Pour ce faire, paramétrez le matériel en tant que client DHCP ou bien définissez lui une adresse statique, puis connectez le sur le réseau.

ensuite, rendez vous sur l'interface de configuration de la livebox, et ouvrez le panneau "Paramètres avancés" ou "Configuration avancée" en fonction du modèle.

Ouvrez l'onglet DHCP, choisissez le matériel et renseignez une IP statique.

   Livebox 2   Livebox 4  
   Livebox PRO V2

Ensuite, dans la configuration NAT/PAT, créez vos redirections de ports.

   Livebox 2   Livebox 4  
   Livebox PRO V2

Autres box Adsl

Pour les autres box, vous pouvez consulter l'assistance sur le site de votre fournisseur. Les rubriques à rechercher sont :

  • Assigner une adresse IP statique au matériel
  • Créer une règle NAT sur la box

Avantages de la redirection de port

Utilisation très simple. Il suffit de connaître l'adresse IP publique du moment et de se connecter en précisant le port TCP lié au matériel.

Inconvénients de la redirection de port

Il est nécessaire d'ouvrir autant de ports que de matériels à contacter. Il est nécessaire de mettre une politique musclée de mots de passe, paramétrer les FireWalls. Sur internet, il existe une pléthore d'outils qui scannent les ports ouverts et qui détectent le type de matériel qui se cache derrière. Connaissant les mots de passe par défaut mis en place par le fabricant dudit matériel, le hacker ne manquera pas de tenter de s'y connecter. Il est donc fortement conseillé de changer tous les mots de passe par défaut sur les matériels ayant accès à internet (IPX800, EDRT, NAS, Caméras, Box, ...)

Pour une URL encore plus simple

Généralement les fournisseurs DynDNS offrent la possibilité de créer plusieurs HostNames sur un compte, avec une option bien utile qui permet de rediriger un flux http ou une adresse IPv4 vers un port TCP et/ou UDP. Si vous utilisez cette option, vous aurez la possibilité de créer des HostNames pour chaque appareil de votre réseau local.

Prenons un exemple chez NO-IP

Créons d'abord un nom de domaine sur l'adresse IP publique de notre Box. La box (ou un autre dispositif du réseau local) devra être paramétrée pour mettre l'IP Publique à jour régulièrement (voir plus haut)

VPN No-IP1.PNG

Maintenant, créons une Redirection Web avec le port de notre IPX800

VPN No-IP2.PNG

Notre IPX800 sera alors joignable par l'URL ipx800defgtoul.ddns.net qui la redirigera automatiquement vers le port 8080 de notre adresse publique. La box à son tour redirigera le flux vers le port 80 de l'adresse locale de l'IPX800

VPN No-IP.PNG

Créer un nom d'hôte pointant vers chaque dispositif du réseau local présente un intérêt : celui de ne pas avoir à se rappeler les numéros de ports pour se connecter aux matériels. Vous devrez malgrè tout créer une règle NAT sur votre Box pour chaque dispositif, redirigeant le port que vous avez paramétré pour le hostname de votre DDNS.

Avouez qu'il est plus facile de se connecter avec des URL type

  • http://monIPX800.monDomaine.com
  • http://MaDomoBox.monDomaine.com
  • http://MonServeur.monDomaine.com

au lieu d'avoir à préciser les ports pour chaque dispositifs

  • http://MaBox.monDomaine.com:8080
  • http://MaBox.monDomaine.com:8081
  • http://MaBox.monDomaine.com:8082

(les numéros de ports ont été choisis aléatoirement pour l'exemple)

Cependant, si pour une raison ou une autre vous devez revoir une ou plusieurs règles NAT sur votre box, il faudra penser à aller modifier chaque URL sur votre compte DDNS

Le VPN

Le VPN (Virtual Private Network ou Réseau Privé Virtuel) permet de relier un ou plusieurs dispositifs distants à travers une connexion internet. On parle de tunnel virtuel dans lequel les données sont cryptées. Pour que la connexion s’établisse, il y a échange de clés entre le serveur et le client. Ils vont échanger des clés (publique puis privée). La clé privée servira à décrypter les données.

La mise en place d’un VPN nécessite l’installation d’un serveur VPN d’une part, et d’un client VPN d'autre part.

Les appareils non connectés à ce réseau n'auront pas accès à l'information.

Il existe beaucoup de sites sur internet qui parlent du VPN, nous n'entrerons pas dans les détails ici.

A ce stade, vous devriez avoir un nom de domaine qui permettra de contacter votre serveur VPN depuis l'extérieur même si votre Box a une IP publique dynamique.

Si votre Box est pourvue de la fonction "Serveur VPN", alors le plus simple est de l'activer

Serveur VPN installé sur la box ADSL

Depuis l'extérieur, le PC sur lequel vous avez activé la connexion VPN prendra une adresse IP distribuée par le serveur VPN (dans le cas où vous avez conservé l'adressage dynamique) et fera partie intégrante de votre réseau domestique. Vous pourrez alors vous connecter indifféremmant à votre IPX800, à votre NAS ou encore à votre EDRT2 en entrant simplement leur adresse locale dans votre navigateur. Les box avec fonction Serveur VPN : Freebox Révolution (V6), Freebox Mini 4K, Livebox Pro (V2,V3,V4) Voyez plus bas comment activer le serveur VPN sur votre box adsl et configurer le PC client.

Si votre Box ne supporte pas la fonction serveur VPN,

Serveur VPN installé sur une machine derrière la box ADSL

Si vous voulez vous connecter à votre serveur VPN qui se trouve sur votre réseau local, derrière votre routeur ADSL (box ADSL), il faudra vous connecter à votre box ou routeur ADSL mais une redirection de ports sera nécessaire pour vous permettre de vous connecter au serveur VPN (en tant que client VPN).

  Les ports à rediriger pour router les connexions VPN vers le serveur VPN : 
  
  * PPTP utilise le port 1723 en TCP
  * OpenVPN utilise le port 1194 en UDP
  * L2TP utilise le port 1701 en UDP. il faut l'ouvrir sur le firewall du NAS, mais ni l'autoriser ni le forwarder sur la box (1)
  * L2TP/IPSEC utilise les ports 500 et 4500 en UDP.

(1) Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP directes. Or certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple) et vont tenter de s'y connecter sans monter le tunnel IPSec. Certes, la connexion fonctionne, mais elle n'est pas cryptée.

Bien entendu, il faudra attribuer une adresse IP fixe à la machine (PC, NAS, ...) qui héberge le serveur VPN (Ex : 192.168.0.110).


Pour accéder aux autres machines de votre réseau domestique (notamment à votre IPX800 ou encore votre EDRT2), je vous conseille fortement l'utilisation d'un serveur OpenVPN. A l'installation vous serez peut-être amené à devoir choisir entre OpenVPN bridgé ou OpenVPN routé. Dans ce cas, il faudra choisir OpenVPN Bridgé. Si à l'installation vous ne pouvez-pas choisir, alors vous aurez certainement à activer une option sur le serveur VPN

  • Autoriser aux clients l'accès au LAN

ou

  • Passerelle VPN




Freebox V6 / Mini 4K

Activation du serveur VPN sur une Freebox révolution (V6)

IPSec IKEv2

Connectez vous à l'interface d'administration de votre freebox

Entrez dans les paramètres de la Freebox

Ouvrez la configuration du serveur VPN

VPN freeboxV6.png

Créez un utilisateur VPN. Déterminez un mot de passe de niveau élevé. Vous pouvez laisser en adressage dynamique.


VPN user freeboxV6.png

Paramétrez le type de VPN. Ici, nous allons paramétrer un VPN en IPsec_IKEv2 Certains utilisateurs ont testé ce protocole avec

  • iOS 8 : incompatible
  • iOS 9 et 10 : compatible
  • Win 7 + : compatible


VPN IPSEC freeboxV6.png

Cochez la case "Activer"

Renseignez le nom de l'utilisateur et le mot de passe associé, créés ci-dessus.

Le nom du Serveur et l'ID distant devraient être renseignés par défaut.

Relevez les informations ID / utilisateur/mot de passe

C’est terminé pour la configuration du serveur VPN.

Vous pouvez à tout moment voir qui est connecté à votre VPN Freebox dans le menu « Connexions ».

pensez à relever votre adresse IPv4 dans le menu « État de la Freebox », puis « État Internet »

OpenVPN

OpenVPN Bridgé

c’est le mode pont. il va permettre d’accéder depuis l’extérieur au réseau local de la Freebox et à l'IPX800 ou tout autre dispositif. Le client VPN se connecte donc à la Freebox depuis l'extérieur, avec un PC. Ce PC fait alors partie du réseau local de la Freebox

   Extrait de l'aide Freebox : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur vous permet de voir les machines du réseau local
 
OpenVPN Routé

c’est le mode qui permet de passer par la Freebox pour aller ensuite sur Internet. Exemple : depuis l'extérieur ou depuis un réseau non sécurisé, il est possible de chiffrer les communications et surfer de manière sécurisée au travers de la Freebox. C'est comme si vous étiez chez vous, c'est l'IP de la Freebox qui est vue.

Extrait de l'aide Freebox : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local.



Il faut activer les deux modes séparément, créer un utilisateur et télécharger le fichier de configuration qu’il faut alors ajouter dans son logiciel client d’OpenVPN pour pouvoir se connecter à la Freebox ; des tutoriaux expliquant comment faire ça. Pour nous connecter depuis l'extérieur à notre IPX800, c'est le mode OpenVPN Bridgé qu'il faudra activer.

Freebox : Se connecter avec un appareil Androïd

Installez l'application strongSwan à partir du Play Store

Créez un nouveau profil VPN :

  Profile Name : Mon_Profil
  
  Server : xxx.freeboxos.fr [votre ID distant relevé précédemment]
  
  Type : IKEv2 EAP (Username/Password)
  
  Username : [utilisateur de votre VPN]
  
  Password : [mot de passe de l'utilisateur VPN]

  CA certificate : Décochez select automatically
  Sélectionnez Digital Signature Trust Co. DST Root CA X3

N'allez pas dans les paramètres avancés.
  
Sauvegardez

Cliquez sur la connexion que vous venez de créer et connectez vous. Dans le navigateur de votre smartphone, entrez l'adresse locale de votre IPX800.

Freebox : Se connecter avec un iPhone

Allez dans « Réglages », puis « Général », puis « VPN », et en enfin « Ajouter une configuration VPN… »


Saisissez les informations suivantes :

   desciption : mettre un descriptif en cas de VPN multiple
   serveur : correspond à l’ip publique de votre Freebox
   id. distant : info notée précédemment
   id. local : le nom d’utilisateur VPN
   type : mettre sur aucun
   secret : le mot de passe de votre utilisateur VPN

Freebox : Se connecter avec un PC sous Windows

A partir de Windows 7, le VPN IKEv2 est natif.

Lancez le "centre Réseau et Partages"

Configurez une nouvelle connexion

   VPN Win10 0.PNG

Sélectionnez le type de connexion et faites [Suivant]

   VPN Win10 2.PNG

Sélectionnez le mode de Connexion

   VPN Win10 3.PNG

Renseignez l'ID distant que vous avez noté précédemment et faites [Suivant]

   VPN Win10 4.PNG

Renseignez l'utilisateur et son mot de passe, créés précédemment sur la Freebox

   VPN Win10 5.PNG

Livebox Pro (V2 / V3 / V4)

Activation du serveur VPN

Connectez vous sur l'interface de configuration de votre livebox. Pour simplifier la connexion à distance, nous utiliserons le logiciel client VPN Orange (SHREW).

Dans les paramètres avancés, activez l'onglet VPN et sélectionnez le serveur IPSEC pour utilisateurs nomades

   LiveboxPro2 VPN.PNG  LiveboxPro2 VPN2.PNG

Dans la rubrique Groupes, cliquez sur Ajouter.

Dans la fenêtre qui apparaît, saisissez les paramètres. Sélectionnez le logiciel VPN Shrew.

Le champ Clef partagée est un code choisi librement. Il servira lors de l'installation du logiciel Shrew.

   LiveboxPro2 VPN3.PNG    LiveboxPro2 VPN4.PNG

Activez le groupe et ajoutez un utilisateur

   LiveboxPro2 VPN5.PNG

Renseignez le nom de l'utilisateur et créez un mot de passe. Sélectionnez le groupe que vous avez créé précédemment. Activez l'utilisateur et sauvegardez.

Votre Livebox pro est maintenant configurée en tant que serveur VPN. Afin que les utilisateurs distants y aient accès, il est désormais nécessaire d’installer le logiciel VPN Orange sur leurs ordinateurs. Si vous voulez accroître la sécurité de votre réseau, vous pouvez paramétrer votre firewall.

Connexion avec un PC windows

Sur les PC, vous devez installer le logiciel VPN Orange Shrew

Rendez vous sur la page du support Orange, suivez les instructions.